Vous vous interrogez sur le processus de transfert de données à l’étranger et notamment aux USA ?
L’essor toujours plus important d’Internet, la dématérialisation mondiale de biens et de services, la multiplication des échanges, l’apparition et l’usage croissant de nouvelles technologies ont engendré une circulation toujours plus importante de données à travers le monde. Toutefois, le transfert de données personnelles en dehors de l’Europe (EU) est aujourd’hui très réglementé. Notamment depuis l’invalidation du privacy shield aux États-Unis, beaucoup de questions se posent quant aux conséquences d’un transfert de données à l’international.
Mais alors, est-il possible de transférer des données hors de l’UE ? Quelle est la réglementation en vigueur ? Quelles sont les conséquences de l’annulation du privacy shield ? Existe-t-il des dérogations ? Et pourquoi est-il indispensable de se faire accompagner par un avocat spécialisé ?
Me Anthony Canivez, avocat spécialisé en droit des affaires, décrypte pour vous le sujet du transfert de données personnelles hors de l’Europe.
Le transfert de données hors de l’UE : oui ou non ?
Les données personnelles font l’objet d’une très grande protection au niveau européen et leur transfert hors de l’UE est encadré par des règles très précises. En effet, il est très important de sécuriser ces données. Il en va de l’intérêt du consommateur et des entreprises.
S’il est tout à fait possible de transférer des données hors de l’UE, cela ne peut se faire qu’à la condition d’être capable d’en assurer une réelle protection. Pour cela, il faut se référer au Règlement européen sur la protection des données (RGPD) qui offre un panel d’outils juridiques permettant d’encadrer le traitement et le transfert de données en provenance de l’Europe. Grâce au RGPD, les règles permettant de sécuriser les données à caractère personnel s’appliquent et ceci peu importe si les données sont transférées au sein d’un pays appartenant à l’UE ou dans un pays en dehors de l’UE (aussi appelé pays tiers).
Mais alors quels sont les outils existants permettant d’encadrer les transferts internationaux ?
Les organismes procédant à du transfert de données d’un pays de l’UE vers un pays tiers par exemple peuvent recourir à des outils divers.
Le plus important est l’obtention d’une décision d’adéquation. Cette décision rendue par la Commission européenne permet de certifier que le pays visé propose un niveau de protection suffisant, en adéquation avec les règles européennes. Ainsi, dans l’hypothèse où la Commission rend une décision d'adéquation, cela veut dire qu’il n’est pas nécessaire pour le fournisseur de données d'apporter des garanties supplémentaires en cas de transfert de données vers une entreprise située dans un pays tiers. En d’autres termes, la législation proposée par le pays tiers en matière de protection des données est jugée adéquate avec les exigences européennes. Il existe une liste des pays ayant obtenu une décision d’adéquation, comme le Canada par exemple.
Dans l’hypothèse où aucune décision d’adéquation n’est rendue, d’autres garanties doivent être mises en place. Il est absolument nécessaire que les personnes visées disposent de droits opposables et de voies de droit effectives afin de pallier cette absence de décision d’adéquation.
Les garanties proposées peuvent être les suivantes :
- les clauses contractuelles types adoptées par la Commission européenne (dites CCT) ;
- les clauses adoptées par l’autorité de contrôle visée qui doivent cependant être approuvées par la Commission ;
- des règles internes aux entreprises (dites BCR ou Binding Corporate Rules) : il s’agit de règles d’entreprises contraignantes et qui permettent de caractériser une politique intragroupe de protection des données ;
- un code de conduite ;
- un mécanisme de certification approuvé par la CNIL ;
- la mise en place d’arrangements administratifs contraignants entre les autorités publiques administratives. L’objectif étant d’assurer une réelle coopération entre les différentes autorités publiques. On pense notamment à la mise en œuvre d’une convention internationale.
Si le transfert est prévu vers un pays tiers qui ne bénéficie ni d’une décision d’adéquation ni de garanties appropriées, le transfert peut se faire grâce à des dérogations spéciales. C’est le cas notamment si la personne visée à tout d’abord reçu l’ensemble des informations quant aux possibles risques liés au transfert et a, malgré cela, consentie explicitement au transfert. Enfin, sachez que c’est en principe le responsable de traitement qui est chargé de la bonne mise en œuvre de ces transferts.
Par exemple, vous dirigez une entreprise française et vous désirez transférer des données en Argentine, au Canada et aux États-Unis. Pour cela, il sera tout d’abord nécessaire de vérifier si ce pays bénéficie d’une décision d‘adéquation. C’est le cas pour l’Argentine et le Canada. Il sera donc facile de transférer des données sans qu’aucune garantie supplémentaire ne soit nécessaire. A contrario, les USA n’étant pas un pays reconnu comme proposant des garanties suffisantes par l’UE, il est nécessaire d’encadrer le transfert via des garanties supplémentaires.
Le privacy shield : annulation & conséquences
Le privacy shield est un accord franco-américain qui offrait la possibilité de transférer librement les données détenues par des citoyens de l’Union européenne vers des entreprises situées sur le territoire américain. La Cour de Justice de l’Union Européenne (CJUE) a toutefois jugé au mois de juillet 2020 que les lois américaines étaient beaucoup trop intrusives et a donc décidé que la protection offerte par la législation en matière de protection des données n’était pas suffisante. Une annulation du privacy shield a donc été prononcée. La conséquence première a été de placer toutes les entreprises qui se fondaient sur cette certification en situation de violation du RGPD.
Ainsi, si cet arrêt n’interdit pas de façon définitive le transfert de données vers les États-Unis, il est toutefois aujourd’hui beaucoup plus complexe de faire parvenir des données personnelles. En pratique, il n’est pas rare que des entreprises, éditeurs SaaS français intègrent une multitude de composants logiciels tiers au sein de leurs propres solutions, comme notamment des outils de communication, des interfaces de chat ou SMS, des outils d’analyse de données. Ces outils sont bien souvent américains. Il sera nécessaire de rester vigilant et de procéder à une analyse des risques.
Pour cela vous pouvez :
- Cartographier vos flux : afin d’avoir une idée précise des données que vous transférez, de leur volume ainsi que de leur sensibilité.
- Identifier les outils utilisés : il s’agit de se demander si le transfert des données se fonde sur une décision d’adéquation ou sur d’autres mécanismes.
- Identifier le droit applicable au sein du pays tiers.
- Mettre en œuvre des mesures complémentaires si besoin afin de parvenir au niveau de protection imposé par le RGPD.
- Pensez à vérifier régulièrement le niveau de protection.
Le responsable de traitement devra donc penser à mettre en œuvre des mesures supplémentaires par le biais notamment de l’insertion dans les contrats des nouvelles clauses types validées par la Commission européenne et également de prévoir des outils complémentaires qui permettent d’assurer un niveau de protection suffisant et exigé par l’UE. Le tout étant de s’assurer que la législation du pays tiers ne limite pas l’impact de ces mesures.
Les clauses contractuelles types
Les clauses contractuelles types sont des modèles de contrat de transfert de données validées par la Commission européenne et pouvant être utilisées notamment pour pallier la disparition du privacy shield. Ces clauses vont être intégrées dans des contrats et vont permettre d’encadrer le transfert de données. Toutefois, il convient de noter que ces clauses ont elles aussi été impactées par l’arrêt Schrems II. En effet, s’il a été reconnu la validité des clauses contractuelles types, la CJUE a précisé que l’utilisation de celles-ci ne pourra se faire uniquement si une analyse de la législation en vigueur, des conditions de transfert et de la nécessité d’adopter des mesures supplémentaires, est exercée.
La Commission européenne a donc procédé à la mise à jour de ces clauses le 4 juin 2021 afin de répondre à la disparition de ce privacy shield et assurer une base entièrement conforme au RGPD. Ces nouvelles clauses entreront en vigueur en septembre 2021 et vous bénéficierez d’une période de transition de trois à compter de leur entrée en vigueur. Notez que vous pouvez retrouver ces clauses directement sur le site de la Commission européenne.
Ces clauses vont permettre de couvrir différentes situations de transferts et notamment les transferts entre responsables de traitement UE et responsables de traitement non-UE ou encore les transferts entre sous-traitants UE et sous-traitants non UE.
Transferts & dérogations
Si vous désirez transférer des données provenant de l’UE vers les USA vous allez devoir vous interrogez notamment sur les coûts qu’une telle opération va engendrer. En effet, il est très important de se demander si la rentabilité sera meilleure dans le cadre d’un transfert en dehors de l’UE plutôt qu’au sein même de l’UE. En effet, c’est parfois l’occasion de s’interroger sur l’utilisation d’un service informatique autre qu’américain.
Si toutefois le dirigeant ne peut se passer de ces outils basés aux États-Unis, il devra alors s’assurer que les clauses contractuelles types ont bien été intégrées aux documents contractuels qui le lie avec l’entreprise tiers et permettre à ses clients d’y accéder.
Enfin, lorsque les clauses contractuelles types ne suffisent pas, comme pour les États-Unis, il conviendra d’ajouter des mesures supplémentaires : s’assurer que l’éditeur américain communique sur son site les mesures de protection mises en place, et de réfléchir aux données transférées : sont-elles indispensables ? Existe-t-il un moyen de les protéger davantage, via un système de cryptage par exemple ? etc.
Pourquoi est-il important de se faire accompagner par un avocat ?
Il est indispensable de se faire accompagner par un avocat spécialisé afin de vous assurer une mise en conformité. En effet, le niveau de protection imposé par le RGPD étant très élevé, il faut s’assurer que le transfert de données personnelles dans des pays tiers respecte l’ensemble des règles. Un avocat sera donc le professionnel à même de vous conseiller et d'analyser les données que vous transférez. Un avocat pourra également vous assister dans la réalisation de vos clauses contractuelles types.
Une question ? Laissez votre commentaire