L’EDSA publie des lignes direc­tri­ces sur les trans­ferts de don­nées en ver­tu de Schrems II

Auto­ri­té :

,

Sec­teurs d’activité :

Les lois :

,

Thè­mes :

,
Français 
Français  Deutsch  English 

Contenu 

Com­me annon­cé pré­cé­dem­ment, le Comi­té euro­pé­en de la pro­tec­tion des don­nées (CEPD) a publié, en date du 10 novembre 2020, des recom­man­da­ti­ons plus détail­lées sur la maniè­re dont les exporta­teurs de don­nées qui sou­hai­tent con­tin­uer à trans­fé­rer des don­nées per­son­nel­les vers des pays tiers en dehors de l’EEE (pays tiers) peu­vent, con­for­mé­ment au Arrêt Schrems II doi­vent pro­cé­der (Recom­man­da­ti­ons 01/2020 sur les mesu­res qui com­plè­tent les outils de trans­fert pour assurer la con­for­mi­té avec le niveau de pro­tec­tion des don­nées per­son­nel­les de l’UE).

Dans l’ar­rêt Schrems II, la Cour de justi­ce des Com­mun­au­tés euro­pé­en­nes (CJCE) a con­sta­té que le Pri­va­cy Shield UE-USA était caduc, que le trans­fert de don­nées vers un pays tiers restait pos­si­ble sur la base des clau­ses con­trac­tu­el­les stan­dard (CCS), mais que des mesu­res de pro­tec­tion sup­p­lé­men­tai­res étai­ent éven­tu­el­le­ment néces­saires. Il les a main­tenant con­cré­ti­sées dans les recom­man­da­ti­ons publiées.

Dans ce con­tex­te, l’ED­SA recom­man­de une appro­che en six étapes :

  • Con­naît­re ses trans­ferts” : déter­mi­na­ti­on des trans­ferts de don­nées concernés ;
  • Véri­fie l’ou­til de trans­fert auquel ton trans­fert se réfè­re: Déter­mi­ner les garan­ties sur la base des­quel­les les trans­ferts de don­nées con­cer­nés sont effectués ;
  • Éva­luer la loi ou la pra­tique du pays tiers” : examen des dis­po­si­ti­ons léga­les étran­gè­res et des pra­ti­ques des auto­ri­tés sus­cep­ti­bles de com­pro­mett­re le respect des garan­ties (p. ex. accès éten­du et dis­pro­por­ti­onné aux don­nées per­son­nel­les par les auto­ri­tés locales) ;
  • Iden­ti­fier et adop­ter des mesu­res com­plé­men­tai­res“Déter­mi­na­ti­on des mesu­res sup­p­lé­men­tai­res néces­saires pour respec­ter les dis­po­si­ti­ons du RGPD lors de la trans­mis­si­on des données ;
  • Effec­tuer tou­te démar­che for­mel­le de pro­cé­du­re” : mise en œuvre des mesu­res sup­p­lé­men­tai­res, le cas échéant en con­sul­tant les auto­ri­tés de sur­veil­lan­ce com­pé­ten­tes (p. ex. en véri­fi­ant si les tech­ni­ques de cryp­ta­ge mises en œuvre satis­font aux exi­gen­ces d’u­ne trans­mis­si­on sécurisée) ;
  • Rééva­luez vot­re trans­fert de don­nées à des inter­val­les appro­priés” : véri­fier régu­liè­re­ment si les mesu­res pri­ses répon­dent tou­jours aux exigences.

L’ac­cent est mis sur l’ex­amen de l’ord­re juri­di­que étran­ger (étape 3) et des mesu­res à mett­re en œuvre sur la base de celui-ci (étape 4).

Dans l’an­ne­xe 2, l’ED­SA pré­sen­te ensuite, à l’ai­de de dif­fér­ents scé­na­ri­os (use cases), des exemp­les d’uti­li­sa­ti­on de l’In­ter­net. mesu­res de pro­tec­tion pos­si­bles qui garan­tis­sent une trans­mis­si­on des don­nées con­for­me au RGPD, en plus de la garan­tie don­née par la loi. Art. 46 RGPD (con­cré­ti­sa­ti­on de l’é­tape 4 ci-des­sus ; on y trouve éga­le­ment des réfé­ren­ces au droit amé­ri­cain (étape 3).

L’EDSA men­ti­on­ne en par­ti­cu­lier les mesu­res sui­van­tes, dont cer­tai­nes sont plus détaillées :

  • tech­ni­que Mesu­resCes mesu­res ne sont tou­te­fois pas néces­saire­ment suf­fi­san­tes, par exemp­le lorsqu’un four­nis­seur de ser­vices infor­ma­ti­ques en nuage doit accé­der à des don­nées clai­res dans ou depuis un État dis­po­sant de pos­si­bi­li­tés d’ac­cès exce­s­si­ves ou lorsqu’u­ne socié­té étran­gè­re du grou­pe a beso­in de don­nées clai­res à des fins com­mer­cia­les com­mu­nes. Voi­ci quel­ques exemp­les de tel­les mesures : 
    • des solu­ti­ons sta­te-of-the-art robu­stes et cor­rec­te­ment mises en œuvreCryp­ta­ge, par exemple 
      • de don­nées avant leur trans­fert vers un héber­geur étran­ger, l’ED­SA sem­blant exi­ger que la clé soit gérée par le cli­ent ou par un pays situé dans l’EEE ou dans un pays offrant une pro­tec­tion adéquate ;
      • des don­nées en cours de trans­port (éven­tu­el­le­ment en com­bi­nai­son avec un cryp­ta­ge des don­nées de bout en bout) lorsqu’el­les ne font que tran­siter par un pays tiers ;
    • Pseud­ony­mi­sa­ti­on des don­nées avant leur trans­fert (par exemp­le à des fins de recher­che), dans la mesu­re où des infor­ma­ti­ons suf­fi­san­tes pour la ré-iden­ti­fi­ca­ti­on sont dis­po­ni­bles uni­quement pour l’ex­porta­teur – et non pour des auto­ri­tés étran­gè­res -, sont con­ser­vées dans un État de l’EEE ou dans un État offrant un niveau de pro­tec­tion adé­quat et sont pro­té­gées par des mesu­res suffisantes.
  • Mesu­res con­trac­tu­el­lesLes États mem­bres peu­vent pré­voir des mesu­res de pro­tec­tion cont­re les ris­ques liés à l’uti­li­sa­ti­on d’In­ter­net, tel­les que des mesu­res visa­nt à 
    • l’ob­li­ga­ti­on de four­nir des mesu­res tech­ni­ques de se rencontrer ;
    • Obli­ga­ti­on d’in­for­ma­ti­on de l’im­por­ta­teur en cas d’in­ter­ven­ti­on des auto­ri­tés (qui ne peu­vent tou­te­fois pas fai­re face au ris­que si le droit local respec­te les “Euro­pean Essen­ti­al Guarantees”) ;
    • Assu­ran­ces de l’im­por­ta­teur, par exemp­le qu’il n’a pas instal­lé de por­tes déro­bées, qu’il n’a pas faci­li­té l’ac­cès aux don­nées per­son­nel­les ou que son droit local n’e­xi­ge pas d’in­stal­ler des por­tes déro­bées ou de don­ner accès aux don­nées per­son­nel­les d’u­ne aut­re maniè­re (par exemp­le en remet­tant une clé) ;
    • élar­gi Droits d’ex­amen des Epor­teurs (audit) ;
    • l’ob­li­ga­ti­on d’in­for­mer sur les accès des auto­ri­tés infor­mer ou qu’au­cun accès n’a eu lieu jus­qu’à un cer­tain moment (“War­rant Cana­ry„);
    • Obli­ga­ti­ons de l’im­por­ta­teur con­cer­nant cer­tai­nes ActionsIl est important d’é­pui­ser les voies de recours cont­re les ord­res de resti­tu­ti­on, d’at­ti­rer l’at­ten­ti­on de l’au­to­ri­té requé­ran­te sur les limi­tes pré­vues par le RGPD et d’in­for­mer l’im­por­ta­teur des accès ;
    • Mesu­res pour Pro­tec­tion des per­son­nes con­cer­néesL’ob­li­ga­ti­on d’in­for­mer les per­son­nes con­cer­nées de l’ac­cès aux don­nées par les auto­ri­tés et d’ai­der les per­son­nes con­cer­nées à fai­re valoir leurs droits.
  • Mesu­res orga­ni­sa­ti­on­nel­lesPar exemp­le, mise en œuvre de poli­ti­ques, de pro­ce­s­sus et de nor­mes de l’ex­porta­teur de don­nées, que l’im­por­ta­teur de don­nées doit éga­le­ment respec­ter, com­me suit : 
    • Poli­ti­ques inter­nes au grou­pe con­cer­nant les trans­ferts transfrontaliers ;
    • Docu­men­ta­ti­on des accès ou des deman­des par l’im­por­ta­teur et infor­ma­ti­on cor­re­spond­an­te de l’ex­porta­teur (et, sur deman­de, des per­son­nes concernées) ;
    • la publi­ca­ti­on régu­liè­re de rap­ports de transparence ;
    • Ren­forcer les mesu­res exi­stan­tes pour mini­mi­ser les données ;
    • Pro­ce­s­sus d’im­pli­ca­ti­on du délé­gué à la pro­tec­tion des don­nées, du ser­vice juri­di­que et de l’au­dit inter­ne, le cas échéant ;
    • l’ap­pli­ca­ti­on de nor­mes stric­tes en matiè­re de sécu­ri­té et de pro­tec­tion des don­nées (par exemp­le, les nor­mes ISO) ;
    • Adop­ter et exami­ner régu­liè­re­ment des direc­ti­ves inter­nes pour éva­luer l’a­dé­qua­ti­on des mesures.

En d’aut­res ter­mes, les exi­gen­ces en matiè­re de garan­ties sup­p­lé­men­tai­res sont éle­vées. Mais sur­tout, la que­sti­on de savoir quel­les mesu­res ou quel­les com­bi­nai­sons de mesu­res peu­vent offrir une pro­tec­tion suf­fi­san­te dans quel­les cir­con­stances reste ouver­te. Les recom­man­da­ti­ons de l’ED­SA ne sont donc pas d’u­ne gran­de aide pour les praticiens.