Pour rappel la Cour de Justice de l’Union européenne (CJUE) a, par une décision du 16 juillet 2020 dite « Shrems II »[1] (voir notre article sur le sujet - https://www.ych-avocats.fr/actualites/242-LE-PRIVACY-SHIELD-ANNULE-PAR-LA-CJUE.html ) :
|
LES RECOMMANDATIONS DU CEPD SUITE A L’INVALIDATION DU PRIVACY SHIELD : LA FIN DES PRESTATAIRES AMÉRICAINS ?
Suite à la décision Shrems II de juillet 2016 invalidant le Privacy Shield, le Comité Européen à la Protection des Données vient préciser les mesures qui doivent être mises en œuvre par les entreprises pour transférer des données hors de l’Union européenne et permettre « que la protection voyage avec les données, où qu’elles aillent ». Sauf que ces recommandations, qui ne sont pas définitives, rendent illicite le recours à des prestataires situés aux États-Unis.
Le Comité européen de la Protection des données (« CEPD ») a publié, le 10 novembre 2020, un projet de recommandations[2] soumis à consultation publique sur les « mesures supplémentaires » que les entreprises doivent mettre en place pour transférer des données à caractère personnel dans un pays tiers conformément à la Réglementation. Ces mesures ont pour objectif d’assurer un niveau de protection des données équivalent à celui de l’Union européenne. Le CEPD répond à deux questions :
- Comment évaluer le niveau de protection offert par un pays tiers ?
- Quelles mesures mettre en place pour être en conformité ?
Que retenir ?
Le CEPD apporte des recommandations pratiques sur les mesures à prendre pour transférer des données hors de l’Union européenne, mais apporte également des réserves importantes pour certains transferts.
Ainsi, selon le CEPD, dans cette première version des recommandations, les transferts de données en clair vers un prestataire situé aux États-Unis seraient illicites, car aucune mesure n’est suffisante pour garantir la protection des données face à la réglementation américaine. À titre d’exemple est considéré comme illicite le recours à un prestataire de Cloud américain, ou à un prestataire de paie avec de la maintenance aux États-Unis.
Cette interdiction vaut également pour les prestataires situés dans tous les pays « où le pouvoir accordé aux autorités publiques pour accéder aux données transférées va au-delà de ce qui est nécessaire dans une société démocratique », sans donner plus d’exemples il ne semble pas possible non plus de recourir à un prestataire situé en Chine.
Reste à savoir si la position du CEPD va tenir face à la consultation publique et notamment aux entreprises qui ne manqueront pas de contester ces recommandations.
Que faire ?
En prévision d’une confirmation de l’interdiction des transferts de données vers les Etats-Unis il faut rapatrier ses données vers des prestataires européens.
De plus, il est recommandé de suivre les étapes décrites par le CEPD pour s’assurer de la licéité des transferts hors UE - À vos fiches accountability !
Étapes 1 et 2 - Recenser vos transferts et les « outils de transfert » utilisés
Cela paraît évident, mais le CEPD rappelle que le recensement des traitements et des transferts est une première étape pour garantir la conformité avec la Réglementation.
En pratique, il faut analyser les contrats et regarder si des transferts hors de l’Union européenne sont prévus. Il est également nécessaire d’interroger vos sous-traitants si vous ne pouvez pas clairement identifier les sous-traitants ultérieurs. Si des traitements hors UE vers des pays qui ne sont pas considérés comme adéquats (article 45 du RGPD) sont prévus, fondés sur un « outil de transfert » tel que les CCT ou les BCR (article 46 du RGPD) alors il faut passer à l’étape suivante. |
Étape 3 - Evaluer le niveau de protection du pays tiers :
Il faut regarder si la législation est susceptible d’entraver l’efficacité de la « garantie appropriée » qui est utilisée (CCT ou BCR). Par exemple, il faut regarder si la législation autorise l’accès aux données aux autorités publiques en toute circonstance. Le CEPD incite à se référer à ses recommandations « European Essential Guarantees recommandations » pour réaliser cette évaluation.
En pratique, l’importateur de données (le prestataire ou le partenaire) doit vous accompagner pour faire cette évaluation. Une clause de garantie peut être ajoutée au contrat relatif au transfert. L’évaluation doit être documentée, à des fins d’accountability et doit être renouvelée régulièrement. Si la législation du pays semble empiéter sur l’efficacité de l’outil de transfert choisi, alors il faudra mettre en place des mesures supplémentaires. |
Étape 4 - Déterminer les mesures supplémentaires qui doivent être mises en place :
Le CEPD liste des exemples de mesures supplémentaires qui peuvent être mises en place, en précisant que ces mesures doivent être appliquées au cas pas cas, car elles peuvent être valides dans certains pays et pas dans d’autres.
Les meures supplémentaires peuvent être techniques, organisationnelles ou contractuelles. Par exemple : appliquer un chiffrement conforme à l’état de l’art, pseudonymiser les données, …
Le CEPD dresse également la liste de situations dans lesquelles aucune mesure ne pourra suffire :
- le transfert à des prestataires de service qui nécessite d’avoir accès aux données en clair (ex : service cloud) ;
- les accès à distance à des fins professionnelles, par exemple le transfert de données RH au sein d’un groupe de société ;
En pratique, il faut prévoir, en impliquant la DSI ou la sécurité et en collaboration avec l’importateur, les mesures qui seront adéquates pour le transfert et les documenter. Si aucune mesure ne semble adéquate, il faut mettre fin au transfert. |
Étape 5 et 6 – Si besoin réaliser les formalités supplémentaires et assurer le suivi
Certains outils de transfert (les BCR par exemple) nécessitent de consulter l’autorité de contrôle compétente. Ces formalités devront donc être réalisées.
Ensuite, il faut assurer le suivi et réévaluer les risques relatifs au transfert de manière régulière et documentée conformément au principe d’accountability.
En conclusion, les règles applicables aux transferts de données hors de l’Union européenne ne sont pas définitives néanmoins il ne faut pas attendre pour commencer à prendre les mesures de conformité exigées, aucun délai n’est laissé aux entreprises et la CNIL peut sanctionner dès à présent.
À vos fiches accountability !
#RGPD #PrivacyShield #CNIL #CEPD #EDPB #Guidelines #LignesDirectrices #ShremsII #USA #conformité #États-Unis
Par Yuna Lesteven, avocate.
[2] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data