blog
Publication des recommandations du CEPD sur les transferts de données en dehors de l’UE : des solutions plus pratiques attendues
24 juin 2021

Le 18 juin 2021, le Comité européen de la protection des données (CEPD) a adopté une version finale de ses Recommandations sur les mesures supplémentaires permettant d’assurer un niveau de protection adéquat des données transférées vers l’étranger.

Le Comité, qui avait pris acte de l’invalidation du « Privacy Shield » par la CJUE ayant remis en cause les transferts de données vers les États-Unis qui reposaient sur ce fondement (arrêt Schrems II), avait publié un projet de ces recommandations en novembre 2020 et sollicité l’avis des parties prenantes par le biais d’une consultation publique.

Tenant compte de ces commentaires, le CEPD a en particulier précisé dans cette nouvelle version l'importance d'examiner les pratiques des autorités publiques du pays tiers dans l'évaluation de l'efficacité de l'outil de transfert utilisé par l’exportateur et la possibilité de prendre en compte l'expérience pratique de l'importateur dans l’évaluation du niveau de protection des données, avec certaines réserves.

Au titre de ces Recommandations, le CEPD préconise de suivre les six étapes suivantes : 

  1. Identifier l’ensemble des opérations de transferts de données personnelles vers des pays situés en dehors de l’Union européenne (ci-après les « pays tiers») effectués par l’entreprise, et vérifier si ces données répondent aux impératifs de pertinence et minimisation des données par rapport aux finalités des traitements.

  2. S’assurer que chaque opération de transfert vers un pays tiers repose sur un des mécanismes juridiques prévu au chapitre V du RGPD.

    Cette étape implique en premier lieu de vérifier si le pays en question fait l’objet d’une décision d’adéquation prévue à l’article 45 du RGPD, par laquelle la Commission européenne aurait reconnu que le pays concerné offrait un niveau de protection des données satisfaisant. Si tel est le cas, le responsable de traitement ou sous-traitant peut librement procéder à ses opérations de transfert sans avoir à mettre en place des mesures supplémentaires.

    Dans le cas contraire, il conviendra de s’appuyer sur l’un des outils juridiques de l’article 46 du RGPD, qui permettent de mettre en place des garanties appropriées (règles d’entreprise contraignantes (« BCR »), clauses contractuelles types (« CCT »), code de conduite…), et de s’assurer que les personnes concernées disposent de moyens effectifs d’exercer leurs droits.

    Enfin, le traitement pourra être effectué s’il relève d’un des cas dérogatoires prévus à l’article 49 du RGPD, comme par exemple l’obtention du consentement des personnes concernées ou la nécessité de procéder à de tels transferts pour exécuter un contrat entre le responsable de traitement et la personne concernée. Ces traitements doivent cependant revêtir un caractère ponctuel et exceptionnel et ne peuvent constituer un fondement pour des transferts effectués de manière régulière. A ce titre, le CEPD a publié ses lignes directrices 2/2018 relatives aux dérogations prévues à l'article 49 du RGPD.
  1. Pour pouvoir légitimement avoir recours à l’un des mécanismes de l’article 46, l’exportateur de données doit nécessairement procéder à une analyse des législations et/ou pratiques en vigueur dans le pays tiers afin de s’assurer que ces dernières n’empiètent pas sur l’effectivité de cet outil.

    Conformément à cette position, les clauses contractuelles types approuvées par la Commission européenne, mises à jour le 4 juin dernier au regard de la jurisprudence de la CJUE, imposent désormais de vérifier les « législations et pratiques locales ayant une incidence sur le respect des clauses » (art. 14 des CCT).

    Selon la conclusion tirée de cette analyse, l’organisme devra renoncer à transférer les données ou appliquer des mesures techniques, contractuelles ou organisationnelles supplémentaires.

    Ainsi par exemple, s’il est estimé que (i) la législation du pays tiers prévoit une protection essentiellement équivalente à celle en vigueur au sein de l’Union mais que cette législation n’est manifestement pas correctement appliquée en pratique ou (ii) lorsqu’il n’existe aucune disposition légale pertinente dans le pays concerné et que des pratiques compromettant les engagements pris au titre de l’outil juridique choisi y sont observées, le transfert pourra être effectué en mettant en place des mesures supplémentaires appropriées.

    Les recommandations visent également le cas de figure où il serait estimé que les données sont susceptibles de relever du champ d’application d’une législation ne respectant pas les exigences européennes en matière de droits fondamentaux, de nécessité et de proportionnalité des traitements d’informations à caractère personnel. Faisant directement écho à la décision Schrems II, le CEPD prend en exemple l’hypothèse d’un transfert vers les États-Unis. Ainsi, si le responsable de traitement ou sous-traitant estime que le transfert pourrait tomber sous le coup du Foreign Intelligence Surveillance Act (FISA), mais qu’il existe une incertitude quant au champ d'application pratique de cette loi, il pourra décider de :
    • mettre fin au transfert ;
    • adopter des mesures supplémentaires appropriées ou ;
    • prendre en compte d'autres informations objectives, fiables, pertinentes, vérifiables et de préférence accessibles au public, permettant de clarifier le champ d'application de la loi.

      Ces informations doivent apporter des réponses à certaines questions pertinentes, telles que par exemple :
    • existe-t-il une interdiction légale de révéler qu’une demande spécifique d'accès aux données a été reçue ?
    • le destinataire envisagé des données a-t-il confirmé qu'il a reçu ou au contraire qu’il n’a pas reçu des demandes d'accès aux données de la part d'autorités publiques américaines dans le passé ?
    • les importateurs de données du même secteur que le destinataire envisagé ont-ils reçu des demandes d'accès aux données pour des données transférées similaires dans le passé ?

      Si, au terme de cette analyse il est conclu :
    • que la loi américaine en cause s’applique au transfert de données, l’organisme devra alors étudier la possibilité de mettre en place des mesures supplémentaires, et éventuellement renoncer au transfert si ces mesures sont insuffisantes à garantir une protection adéquate des données, conformément à l’étape 4 ci-dessous ;
    • que ladite loi ne s'applique pas au transfert et n'a donc pas d'incidence sur l'efficacité du mécanisme prévu par l'article 46 du RGPD, il sera alors possible de procéder au transfert sans adopter de mesures supplémentaires.
  1. Si l’évaluation effectuée à l’étape précédente a révélé la nécessité de mettre en place des mesures supplémentaires, il convient alors d’identifier ces mesures. L’évaluation de leur efficacité, qui dépend notamment du pays concerné et du contexte du transfert, doit faire l’objet d’une documentation en interne.

    Pour assister les organismes dans cette démarche, les Recommandations du CEPD comportent une liste non exhaustive d'exemples de ces mesures, précisant les conditions qu'elles exigeraient pour être efficaces dans certains scénarios précis.

    Selon le cas d’espèce, il peut être conseillé de combiner plusieurs mesures. Dans les cas où aucune mesure supplémentaire ne permettrait d’atteindre un niveau de protection essentiellement équivalent, le CEPD recommande de suspendre ou de mettre fin au transfert.
  1. La cinquième étape consiste à prendre toutes les mesures procédurales formelles que l'adoption de la mesure complémentaire pourrait exiger, en fonction de l'outil de transfert de l'article 46 du RGPD retenu. Les Recommandations du 18 juin précisent certaines de ces formalités.

  2. La sixième et dernière étape consiste à réévaluer à intervalles appropriés le niveau de protection des données offert par le pays tiers et l’adéquation des mesures mises en place.

Si l’on doit résumer la position du CEPD : il n’existe pas d’interdiction générale de transférer des données vers les Etats-Unis mais cela reste problématique. Pour être conforme aux exigences du RGPD, il convient de mener une analyse du champ d’application des lois américaines et une vérification des pratiques du partenaire destinataire des données pour le moins complexes à mettre en œuvre. Il est ainsi regrettable que l’autorité européenne ne soit pas parvenue à définir des solutions plus claires et pragmatiques à l’attention des exportateurs de données.

Andrea Jelinek, Présidente du CEPD, a déclaré que le Comité continuerait à prendre en compte les effets de l'arrêt Schrems II et les commentaires recueillis lors de la consultation publique dans ses futures orientations. Nous pouvons donc espérer de plus amples éclaircissements concernant les transferts de données vers les États-Unis.  

Pour en savoir plus : https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf

blog
Publication des recommandations du CEPD sur les transferts de données en dehors de l’UE : des solutions plus pratiques attendues
24 June 2021

Le 18 juin 2021, le Comité européen de la protection des données (CEPD) a adopté une version finale de ses Recommandations sur les mesures supplémentaires permettant d’assurer un niveau de protection adéquat des données transférées vers l’étranger.

Le Comité, qui avait pris acte de l’invalidation du « Privacy Shield » par la CJUE ayant remis en cause les transferts de données vers les États-Unis qui reposaient sur ce fondement (arrêt Schrems II), avait publié un projet de ces recommandations en novembre 2020 et sollicité l’avis des parties prenantes par le biais d’une consultation publique.

Tenant compte de ces commentaires, le CEPD a en particulier précisé dans cette nouvelle version l'importance d'examiner les pratiques des autorités publiques du pays tiers dans l'évaluation de l'efficacité de l'outil de transfert utilisé par l’exportateur et la possibilité de prendre en compte l'expérience pratique de l'importateur dans l’évaluation du niveau de protection des données, avec certaines réserves.

Au titre de ces Recommandations, le CEPD préconise de suivre les six étapes suivantes : 

  1. Identifier l’ensemble des opérations de transferts de données personnelles vers des pays situés en dehors de l’Union européenne (ci-après les « pays tiers») effectués par l’entreprise, et vérifier si ces données répondent aux impératifs de pertinence et minimisation des données par rapport aux finalités des traitements.

  2. S’assurer que chaque opération de transfert vers un pays tiers repose sur un des mécanismes juridiques prévu au chapitre V du RGPD.

    Cette étape implique en premier lieu de vérifier si le pays en question fait l’objet d’une décision d’adéquation prévue à l’article 45 du RGPD, par laquelle la Commission européenne aurait reconnu que le pays concerné offrait un niveau de protection des données satisfaisant. Si tel est le cas, le responsable de traitement ou sous-traitant peut librement procéder à ses opérations de transfert sans avoir à mettre en place des mesures supplémentaires.

    Dans le cas contraire, il conviendra de s’appuyer sur l’un des outils juridiques de l’article 46 du RGPD, qui permettent de mettre en place des garanties appropriées (règles d’entreprise contraignantes (« BCR »), clauses contractuelles types (« CCT »), code de conduite…), et de s’assurer que les personnes concernées disposent de moyens effectifs d’exercer leurs droits.

    Enfin, le traitement pourra être effectué s’il relève d’un des cas dérogatoires prévus à l’article 49 du RGPD, comme par exemple l’obtention du consentement des personnes concernées ou la nécessité de procéder à de tels transferts pour exécuter un contrat entre le responsable de traitement et la personne concernée. Ces traitements doivent cependant revêtir un caractère ponctuel et exceptionnel et ne peuvent constituer un fondement pour des transferts effectués de manière régulière. A ce titre, le CEPD a publié ses lignes directrices 2/2018 relatives aux dérogations prévues à l'article 49 du RGPD.
  1. Pour pouvoir légitimement avoir recours à l’un des mécanismes de l’article 46, l’exportateur de données doit nécessairement procéder à une analyse des législations et/ou pratiques en vigueur dans le pays tiers afin de s’assurer que ces dernières n’empiètent pas sur l’effectivité de cet outil.

    Conformément à cette position, les clauses contractuelles types approuvées par la Commission européenne, mises à jour le 4 juin dernier au regard de la jurisprudence de la CJUE, imposent désormais de vérifier les « législations et pratiques locales ayant une incidence sur le respect des clauses » (art. 14 des CCT).

    Selon la conclusion tirée de cette analyse, l’organisme devra renoncer à transférer les données ou appliquer des mesures techniques, contractuelles ou organisationnelles supplémentaires.

    Ainsi par exemple, s’il est estimé que (i) la législation du pays tiers prévoit une protection essentiellement équivalente à celle en vigueur au sein de l’Union mais que cette législation n’est manifestement pas correctement appliquée en pratique ou (ii) lorsqu’il n’existe aucune disposition légale pertinente dans le pays concerné et que des pratiques compromettant les engagements pris au titre de l’outil juridique choisi y sont observées, le transfert pourra être effectué en mettant en place des mesures supplémentaires appropriées.

    Les recommandations visent également le cas de figure où il serait estimé que les données sont susceptibles de relever du champ d’application d’une législation ne respectant pas les exigences européennes en matière de droits fondamentaux, de nécessité et de proportionnalité des traitements d’informations à caractère personnel. Faisant directement écho à la décision Schrems II, le CEPD prend en exemple l’hypothèse d’un transfert vers les États-Unis. Ainsi, si le responsable de traitement ou sous-traitant estime que le transfert pourrait tomber sous le coup du Foreign Intelligence Surveillance Act (FISA), mais qu’il existe une incertitude quant au champ d'application pratique de cette loi, il pourra décider de :
    • mettre fin au transfert ;
    • adopter des mesures supplémentaires appropriées ou ;
    • prendre en compte d'autres informations objectives, fiables, pertinentes, vérifiables et de préférence accessibles au public, permettant de clarifier le champ d'application de la loi.

      Ces informations doivent apporter des réponses à certaines questions pertinentes, telles que par exemple :
    • existe-t-il une interdiction légale de révéler qu’une demande spécifique d'accès aux données a été reçue ?
    • le destinataire envisagé des données a-t-il confirmé qu'il a reçu ou au contraire qu’il n’a pas reçu des demandes d'accès aux données de la part d'autorités publiques américaines dans le passé ?
    • les importateurs de données du même secteur que le destinataire envisagé ont-ils reçu des demandes d'accès aux données pour des données transférées similaires dans le passé ?

      Si, au terme de cette analyse il est conclu :
    • que la loi américaine en cause s’applique au transfert de données, l’organisme devra alors étudier la possibilité de mettre en place des mesures supplémentaires, et éventuellement renoncer au transfert si ces mesures sont insuffisantes à garantir une protection adéquate des données, conformément à l’étape 4 ci-dessous ;
    • que ladite loi ne s'applique pas au transfert et n'a donc pas d'incidence sur l'efficacité du mécanisme prévu par l'article 46 du RGPD, il sera alors possible de procéder au transfert sans adopter de mesures supplémentaires.
  1. Si l’évaluation effectuée à l’étape précédente a révélé la nécessité de mettre en place des mesures supplémentaires, il convient alors d’identifier ces mesures. L’évaluation de leur efficacité, qui dépend notamment du pays concerné et du contexte du transfert, doit faire l’objet d’une documentation en interne.

    Pour assister les organismes dans cette démarche, les Recommandations du CEPD comportent une liste non exhaustive d'exemples de ces mesures, précisant les conditions qu'elles exigeraient pour être efficaces dans certains scénarios précis.

    Selon le cas d’espèce, il peut être conseillé de combiner plusieurs mesures. Dans les cas où aucune mesure supplémentaire ne permettrait d’atteindre un niveau de protection essentiellement équivalent, le CEPD recommande de suspendre ou de mettre fin au transfert.
  1. La cinquième étape consiste à prendre toutes les mesures procédurales formelles que l'adoption de la mesure complémentaire pourrait exiger, en fonction de l'outil de transfert de l'article 46 du RGPD retenu. Les Recommandations du 18 juin précisent certaines de ces formalités.

  2. La sixième et dernière étape consiste à réévaluer à intervalles appropriés le niveau de protection des données offert par le pays tiers et l’adéquation des mesures mises en place.

Si l’on doit résumer la position du CEPD : il n’existe pas d’interdiction générale de transférer des données vers les Etats-Unis mais cela reste problématique. Pour être conforme aux exigences du RGPD, il convient de mener une analyse du champ d’application des lois américaines et une vérification des pratiques du partenaire destinataire des données pour le moins complexes à mettre en œuvre. Il est ainsi regrettable que l’autorité européenne ne soit pas parvenue à définir des solutions plus claires et pragmatiques à l’attention des exportateurs de données.

Andrea Jelinek, Présidente du CEPD, a déclaré que le Comité continuerait à prendre en compte les effets de l'arrêt Schrems II et les commentaires recueillis lors de la consultation publique dans ses futures orientations. Nous pouvons donc espérer de plus amples éclaircissements concernant les transferts de données vers les États-Unis.  

Pour en savoir plus : https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf