Transferts de données personnelles hors UE : comment les traiter ?

Des transferts autorisés… sous conditions

Le Règlement Général sur la Protection des Données (RGPD) encadre précisément les transferts de données personnelles en dehors de l’UE afin que les règles visant à les protéger continuent de s’appliquer indépendamment du pays où elles sont transférées.

Ces transferts hors UE sont autorisés sous réserve d’assurer un niveau de protection des données suffisant et approprié. Pour ce faire, les transferts doivent être encadrés par le biais d’outils juridiques mais aussi techniques et organisationnels.

6 étapes à suivre pour analyser et encadrer les transferts

Le CEPD recommande de suivre six étapes pour analyser et encadrer ces transferts : 

1. Identifier les transferts de données personnelles hors UE

Les organismes doivent connaître l’ensemble des transferts de données personnelles hors UE qu’ils effectuent. A cette fin, la CNIL préconise de procéder à une revue des outils numériques et de leurs paramétrages. La seule analyse des contrats avec les prestataires et partenaires n’est pas suffisante.

Ces transferts doivent figurer à minima dans le registre de traitement de l’organisme. Ils peuvent également être recensés dans un « outil de suivi des transferts hors UE » afin d’y renseigner de manière plus précise les flux hors UE de données personnelles mis en œuvre, les outils concernés par ces transferts, l’encadrement juridique appliqué, etc. Le cas échéant, cet outil peut constituer un complément du registre ou être inséré en son sein.

2. Vérifier l’outil de transfert utilisable

Le Règlement prévoit que les transferts de données doivent être encadrés par des outils juridiques pouvant être utilisés tant par les responsables de traitement que les sous-traitants.

Les outils les plus couramment utilisés sont :

• la décision d’adéquation prise par la Commission européenne qui atteste qu’un pays assure un niveau de protection des données adéquat,
• les clauses contractuelles types de la Commission européenne, qui sont des modèles de contrat encadrant les transferts,
• les règles internes d’entreprise contraignantes (BCR).

Ainsi, pour qu’un transfert vers un pays tiers puisse avoir lieu, il doit, à défaut de décision d’adéquation, être encadré par un des outils de transfert prévus par le RGPD.

S’agissant des nouvelles clauses contractuelles types adoptées le 4 juin, il convient désormais de les utiliser pour les nouveaux transferts de données. Quant aux transferts fondés sur les anciennes clauses contractuelles types, une période transitoire est prévue jusqu’au 27 décembre 2022 pour mettre à jour les contrats et remplacer les anciennes CCT par les nouvelles.

3. Évaluer l’efficacité de l’outil de transfert compte tenu de toutes les circonstances du transfert

C’est sans doute l’étape la plus complexe à mettre en œuvre. Il s’agit de procéder à l’évaluation de la législation du pays tiers destinataire des données afin de s’assurer que le niveau de protection des données requis au sein de l’UE est effectivement respecté dans le pays tiers. Elle implique de connaître le droit et la pratique du pays tiers et de documenter l’analyse effectuée.

4. Déterminer et adopter les mesures supplémentaires

Si l’évaluation précédente révèle que la législation du pays tiers empiète sur l’efficacité de l’outil de transfert utilisé, l’organisme doit adopter des mesures supplémentaires – en collaboration avec le destinataire des données situé hors UE – ou bien, éviter, suspendre ou mettre fin au transfert si aucune des mesures ne s’avère conforme aux objectifs attendus.

Ces mesures supplémentaires peuvent être contractuelles (ex : prévoir des audits renforcés), techniques (ex : chiffrement, pseudonymisation, etc.) ou organisationnelles (ex : adopter des politiques internes de gouvernance des transferts en particulier avec des groupes d’entreprise).

 5. Réaliser, si nécessaire des étapes procédurales pour l’adoption des mesures supplémentaires

Lorsque des mesures supplémentaires ont été adoptées par l’organisme, il est possible que des étapes procédurales aient à être réalisées. Par exemple, si les mesures supplémentaires ajoutées contredisent les CCT, une autorisation à la CNIL devra être demandée pour pouvoir les adopter.

6. Réévaluer à intervalles appropriés le niveau de protection des données transférées

Il convient de réévaluer en permanence la situation du pays tiers vers lequel les données personnelles ont été transférées : elle pourrait avoir une incidence sur l’évaluation initiale du niveau de protection des données.