RGPD et transfert de données : comment faire ?

De plus en plus de contrats internationaux reposent ou du moins impliquent un transfert de données. Cela peut être le cas si le contrat porte sur l’exploitation de ces données, comme c’est le cas dans le cadre d’une relation avec un sous-traitant au sens du RGPD, par exemple.

Plus largement, c’est aussi le cas chaque fois que l’exécution d’un service implique l’accès de votre prestataire à des données personnelles que vous auriez collectées, y compris sur vos salariés par exemple.

Dans ces situations, vous devez opérer un transfert de données vers un pays hors UE ou de l’Espace Economique Européen (EEE). Le RGPD encadre très strictement ces transferts. En effet, l’article 44 adopte une rédaction restrictive en posant une interdiction de principe : selon le texte, “un transfert, vers un pays tiers ou ) une organisation internationale, de données à caractère personnel (…) ne peut avoir lieu que si” certaines conditions sont respectées.

Autrement dit, en dehors de ces cas limitativement énumérés par le RGPD, les transferts de données à l’international sont interdits. Dans ce contexte, quelles sont les conditions définies par le RGPD pour le transfert de données hors UE ? Où en est-on en 2022 du Privacy Shield qui était venu faciliter les transferts vers les Etats-Unis ? Que permet l’article 49 du RGPD ?

Les conditions du RGPD pour le transfert de données hors UE

Précisons que ces autorisations du RGPD pour le transfert de données hors UE et EEE concerne aussi bien le responsable de traitement que le sous-traitant, à condition que les autres règles encadrant le transfert de données par un sous-traitant soient respectées.

Le RGPD impose en fait une condition principale à tout transfert et indique plusieurs façons de la respecter. Cette condition est que la protection des données personnelles collectées soit d’un niveau suffisant. Pour cela, plusieurs types de garanties peuvent être apportées :

Les BCR ou Binding Corporate Rules

Il s’agit de règles internes qui concernent les grands groupes. Ces règles permettent aux entreprises implantées dans des pays européens et non-européens de transférer plus facilement leurs données à leurs filiales implantées en-dehors de l’Union Européenne, par exemple.

A noter que depuis l’invalidation du Privacy Shield, les BCR sont insuffisantes pour transférer des données vers certains pays et notamment vers les Etats-Unis, et d’autres mesures doivent être prises pour les compléter.

Les décisions d’adéquation de la Commission européenne

La Commission européenne peut mener une analyse de la législation de certains pays non-européens et notamment de la réglementation portant sur la protection des données.

Lorsque la Commission européenne considère que le niveau de protection apporté par ces règles sont suffisantes, elle peut adopter une décision d’adéquation qui autorise le transfert de données dans le cadre du RGPD vers ces pays.

L’insertion de clauses types dans les contrats

Il s’agit le responsable de traitement et son sous-traitant, notamment, d’inclure dans le contrat qui les lie un certain nombre de clauses types. Ces clauses ont vocation à garantir un bon niveau de protection des données personnelles et doivent donc être contraignantes.

Ces clauses types peuvent provenir directement de la Commission européenne, comme c’était le cas avant l’adoption du RGPD : on parle alors de Clauses Contractuelles Types ou CCT. Depuis le RGPD, il est également possible d’utiliser les clauses rédigées par les différentes autorités de contrôle, comme la CNIL en France. Ces clauses doivent alors avoir été approuvées par la Commission européenne.

Autres garanties suffisantes

D’autres modes de garanties permettent le transfert de données hors UE de façon conforme au RGPD. Parmi elles, citons l’adoption de codes de conduite, qui sont pris au niveau de branches d’entreprises. Ces codes de conduite internes aux branches ont vocation à garantir la protection des données personnelles de la part de professionnels d’un secteur donné.

Ils doivent également être approuvés au préalable par la Commission européenne, et leur respect est assuré par un organisme de contrôle indépendant approuvé par l’autorité de contrôle nationale ou la Commission européenne.

Enfin, on peut citer l’emploi par l’obtention par l’entreprise concernée d’une certification. Celle-ci peut être obtenue pour un produit ou service donné, un processus ou un système de données, par exemple. Elle s’obtient auprès d’un organisme agréé ou d’une autorité de contrôle directement, selon les cas. Elle permet notamment à l’entreprise concernée de communiquer sur le niveau de protection apporté aux données traitées, ce qui démontre une fois de plus que le respect du RGPD devient de plus en plus un enjeu commercial !

Pour plus d’informations, consultez notre livre blanc sur les transferts des données.

Où en est-on du Privacy Shield pour transférer des données aux Etats-Unis ?

Pour rappel, le Privacy Shield est un mécanisme d’auto-certification permettant aux entreprises de recevoir et de traiter plus facilement les données des entreprises européennes. Cet accord avait été noué entre l’UE et les Etats-Unis mais a été invalidé en 2020 par la Cour de justice de l’UE (CJUE).

En conséquence, le Privacy Shield ne peut plus être utilisé comme condition valable pour transférer des données vers les Etats-Unis, y compris dans le cadre des BCR qu’on a déjà mentionnés, par exemple.

Ainsi, il est nécessaire de recourir à d’autres types de protection et de garanties, comme celles qu’on vient d’évoquer. On peut d’ailleurs citer les décisions retentissantes des autorités de contrôles autrichienne puis française qui ont invalidé le transfert de données vers Google Analytics suite à l’arrêt de la CJUE.

Les conséquences de la fin du Privacy Shield en 2020 sont donc importantes. Néanmoins, il faut noter que les travaux entre les Etats-Unis et l’Europe continuent et qu’une annonce d’accord “de principe” a été faite début 2022. Néanmoins, le retour d’un nouveau Privacy Shield implique des modifications importantes de la législation américaine (sans entrer dans les détails) qui n’ont à date pas encore eu lieu…

Exceptions : le transfert de données hors UE dans le cadre de l’article 49 du RGPD

Enfin, le transfert de données en dehors de l’UE peut être autorisée par le RGPD dans le cadre de son article 49 qui énumère un certain nombre d’exceptions.

C’est le cas lorsque la personne concernée consent explicitement au transfert de ses données, après avoir été informée des risques liés. A noter que le recueil du consentement doit être adapté à ce cadre précis.

Ensuite, le transfert de données peut avoir lieu s’il est nécessaire à l’exécution ou à la conclusion du contrat entre l’entreprise et les personnes concernées.

Deux autres cas permettent le transfert de données hors UE en dehors des cadres précités, lorsque ce transfert permet l’exercice de droits en justice ; ou qu’il est nécessaire pour la sauvegarde d’intérêts vitaux de la personne concernée ou pour des motifs importants d’intérêt public.

Enfin, on peut citer certains cas pour la transmission d’informations au public ou à toute personne justifiant d’intérêts légitimes. On pense alors au travail de certains journalistes ou lanceurs d’alertes ou encore à des fins de recherche scientifique.

Dans tous ces cas toutefois, le transfert lui-même doit respecter quelques règles : il ne doit pas être répétitif, doit concerner un petit nombre de personnes et doit être nécessaire à la poursuite de l’objectif poursuivi et cité par l’article 49.

Enfin, s’ajoutent à ces règles celles qui encadrent la relation entre le responsable de traitement et le sous-traitant dans le cadre d’un transfert de données. Notamment, il est nécessaire de rédiger et de fournir certaines documentations comme le registre des sous-traitants.