Laurie-Anne Bourdain, Risk and Privacy Officer

  • Partager

Schrems II et RGPD : Pourquoi l’évaluation du transfert de données est importante pour votre entreprise

En juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a annoncé dans sa décision sur le cas Schrems II que le Privacy Shield n’était pas un mécanisme adéquat pour garantir un transfert sûr des données personnelles vers les États-Unis. Le Privacy Shield a été déclaré invalide, rendant ainsi les transferts de données personnelles l’utilisant, non conformes au Règlement Général sur la Protection des Données (RGPD).

 Ce même jugement a également noté que les clauses contractuelles types (ou “Standard Contractual Clauses” SCCs en Anglais) ne pouvaient pas être utilisées seules pour transférer des données personnelles dans des pays où les lois ne permettraient pas la pleine application et exécution de ces clauses.

Ceci est particulièrement vrai pour les transferts vers les Etats-Unis, où les lois de surveillance accordent un accès quasi illimité aux données aux agences de surveillance américaines ; mais cette décision doit être appliquée aux transferts vers tous les pays qui ne font pas partie de l’Espace Économique Européen ou qui ne bénéficient pas d’une décision d’adéquation (Andorre, Argentine, Canada (organisations commerciales), Iles Féroé, Guernesey, Israël, Ile de Man, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay).

 

Les clauses contractuelles types ne peuvent plus être utilisées aveuglément, les entreprises doivent d’abord réaliser une évaluation d’impact du transfert (EIT) pour les transferts, nouveaux et existants, vers des pays tiers.

 Le Conseil Européen de la Protection des Données (CEPD) a publié en novembre 2020 des recommandations pour la réalisation de ces EIT. Leur recommandation prévoit un plan en 6 étapes pour les entreprises échangeant des données avec des pays tiers :

  1. Identifier et cartographier les transferts de données personnelles, y compris les transferts ultérieurs : transferts effectués par les sous-traitants et sous-traitants secondaires vers des tiers supplémentaires ;

  2. Identifier l’outil de transfert utilisé, tel qu’une décision d’adéquation, les SCCs ou les règles d’entreprise contraignantes ;

  3. Évaluer si l’outil de transfert est efficace, en tenant compte de la législation et des pratiques générales du pays tiers (protection des données, surveillance, respect des droits des personnes…), de la possibilité pour les personnes concernées d’exercer, de manière efficace et effective, leurs droits et d’obtenir un recours judiciaire, ainsi que de la présence d’une autorité de contrôle indépendante et de ses activités.

  4. Mettre en œuvre des mesures supplémentaires (voir ci-dessous) ou arrêter les transferts lorsqu’ils ne peuvent offrir le même niveau de protection que dans l’UE.

  5. Prendre toute mesure procédurale formelle nécessaire à la mise en œuvre des mesures supplémentaires identifiées, comme l’obtention d’une autorisation de l’autorité de protection des données si les mesures supplémentaires sont en contradiction avec les SCCs.

  6. Réévaluez à intervalles appropriés les changements juridiques ou des pratiques dans les pays tiers, vérifiez que vos mesures supplémentaires restent efficaces et que vos sous-traitants les respectent.

La réalisation de cette évaluation est particulièrement difficile pour les entreprises, même si elles disposent d’un service juridique bien doté en personnel, car elle nécessite une connaissance approfondie et actualisée des lois et pratiques de chaque pays où des données à caractère personnel sont transférées. Cette évaluation n’est simple que pour les États-Unis (elle a été faite par la CJUE) : tout transfert vers des entreprises soumises à la section 702 du Foreign Intelligence Surveillance Act (FISA) et/ou à l’Executive Order 12333 est à risque. Cela représente une grande partie des fournisseurs auxquels de nombreuses entreprises font appel.

 

Des mesures supplémentaires mentionnées par le CEPD sont possibles à mettre en œuvre pour des transferts légitimes de données vers les États-Unis, mais dans la pratique, elles sont extrêmement peu pratiques.

À l’exception d’un nombre limité de cas décrits dans les recommandations du CEPD, les mesures supplémentaires recommandées ne s’avéreront ni efficaces ni efficientes pour garantir la poursuite des opérations utilisant des services basés aux États-Unis. Voici quelques-uns des exemples fournis par l’EDPB :

  1. La mise en œuvre d’un cryptage fort de bout en bout des données personnelles, sans que le sous-traitant ait accès à la clé de décryptage.

Il s’agit d’une solution valable lorsque le sous-traitant n’a besoin que d’archiver un ensemble de données ; mais elle supprime la possibilité pour le sous-traitant de manipuler ou d’utiliser les données comme il le faudrait, par exemple pour envoyer des communications, effectuer des contrôles anti-fraude ou vérifier l’identité d’un utilisateur.

  1. L’anonymisation ou la pseudonymisation (les données reçues par le sous-traitant doivent être anonymes pour lui) des données personnelles traitées, avec la certitude que le fournisseur ne puisse réidentifier aucune personne concernée.

Il s’agit d’une solution qui peut être utilisée lorsque le sous-traitant n’a pas besoin de l’ensemble des données pour fournir ses services (comme les statistiques ou l’intelligence économique), mais qui ne s’avérera pas applicable lorsque le sous-traitant aura besoin de plus de données pour effectuer le traitement requis, comme la fourniture d’un logiciel basé sur le cloud.

Même si le RGPD prévoit une mise en œuvre de solutions basée sur une analyse des risques  pour les personnes concernées, les transferts de données ne sont pas un élément du règlement qui peut être soumis à de telles décisions basées sur l’analyse des risques. Cela signifie que même si les risques pour les droits et libertés des personnes sont faibles, tout transfert de données doit être conforme aux exigences du RGPD et aux recommandations du CEPD et des autorités de contrôle concernées.

Cependant, comme on l’a vu, aujourd’hui, il peut être impossible pour les entreprises de mettre en œuvre des mesures supplémentaires qui permettront un transfert de données personnelles conforme vers des pays tiers ; et l’arrêt de ces transferts peut entraver les objectifs commerciaux.

Le CEPD a pris en compte ce retour d’information et travaille à une nouvelle version de ses recommandations de novembre 2020.

  • Partager

Articles similaires

Blogs

Automatisation des processus d’entreprise avec Ponto

Depuis le lancement de la PSD2 en septembre 2019, les banques sont plus nombreuses à respecter leur obligation de publier ...

Blogs

Tendance FinTech #2 : reconnaissez l’importance d’une identité numérique

La technologie ne sert pas uniquement à aider votre entreprise. Elle contribue à son avenir et à sa croissance. Cette situation se constate ...

Blogs

La PSD2 passe à côté de son objectif d’innovation

La directive européenne sur les services de paiements (PSD2) a pour but de faciliter les flux financiers en Europe, notamment ...