RGPD – Attention aux transferts internationaux de données

Aux termes de l’article 45 du Règlement général à la protection des données (RGPD), un transfert de données à caractère personnel vers un pays tiers à l’Union européenne ou à une organisation internationale peut avoir lieu lorsque la Commission européenne a constaté que cette entité tierce à l’Union assure un niveau de protection adéquat des données concernées.

Dans l’hypothèse d’un tel constat, qui se manifeste par une décision d’adéquation, le transfert de données ne nécessite pas d’autorisation spécifique. Peu de pays tiers à l’Union disposent toutefois d’une décision d’adéquation et, dans les autres cas, le RGPD prévoit des conditions strictes.

Cependant, il est peu contestable que l’environnement IT européen dépend, soit d’acteurs non européens pour des questions techniques et historiques (typiquement, les GAFAM), soit voit une partie de ses services IT partagés entre l’Union et des pays tiers, traditionnellement pour des raisons de coûts. Il en résulte d’inévitables transferts de données et ce en dépit d’une jurisprudence toujours plus contraignante de la Cour de Justice et l’application logique des principes centraux du RGPD.

L’objectif est de s’assurer que les données personnelles quittant l’Union bénéficient d’un standard de protection équivalent, sinon identique, à celui dont elles bénéficient dans l’Union.

Pour y parvenir, le responsable de traitement desdites données doit s’assurer de la sécurité de ce transfert, par des moyens techniques pertinents, mais aussi au moyen de garanties juridiques concrètes qu’il inclut dans ses contrats avec ses partenaires, qu’ils soient coresponsables de traitement, sous-traitants ou encore responsables de traitement des données gérées par l’opérateur européen.

Cette obligation du responsable de traitement est lourde. Il dispose toutefois d’un outil (très partiel) que sont les clauses contractuelles standards (ou clauses contractuelles types). Ces clauses permettent au responsable de traitement de se conformer au prescrit des articles 45 et suivants du RGPD.

En 2021, à la suite d’un arrêt de la Cour de Justice (arrêt Schrems II), de nouvelles clauses types ont été adoptées par la Commission. Ces clauses entrent en vigueur le 27 décembre 2022 et doivent être appliquées par tout opérateur pour cette date. À défaut, il sera impératif pour le responsable de traitement, quel qu’il soit, de se mettre en conformité au plus vite.

Ces clauses sont cependant peu satisfaisantes et délèguent en réalité une forte responsabilité au responsable de traitement. En effet, concrètement, ces clauses imposent aux exportateurs et importateurs de données d’évaluer eux-mêmes la législation des pays destinataires ainsi que les risques d’accès aux données par les autorités locales.

Dans le viseur, les autorités américaines et leurs prérogatives en vertu des Patriot et Cloud Acts, notamment. Toutefois, quasiment tous les pays non européens (ceux qui n’ont pas de décision d’adéquation) sont concernés.

Une telle obligation d’évaluation de la législation n’est pas simple à honorer et requerra de la discipline ainsi que... du bon sens.

Il incombera surtout à l’opérateur européen de prendre des mesures techniques, organisationnelles et contractuelles afin de limiter au maximum les risques techniques liés aux transferts de données qu’il effectuerait de et vers des pays tiers à l’Union et de documenter les mesures ainsi adoptées.

À cet égard, l’ajout de clauses de garantie et d’audit des partenaires, filiales ou cocontractants sera souhaitable pour l’entrepreneur se devant de garder le contrôle sur le traitement des données qu’il transfère. Une surveillance adéquate de la sous-traitance en-dehors de l’Union sera également essentielle. Un tel exercice de conformité ne se limite pas, en effet, à un simple engagement sur papier, mais à une surveillance effective de son environnement contractuel.

Les nouvelles clauses contractuelles entrent en vigueur ce 27 décembre et il n’est jamais trop tard pour une mise en conformité ou pour un passage en revue des contrats conclus. Leur examen, réexamen ou suivi peut, en outre, faire l’objet de potentiels subsides.