ArtemSam - Fotolia
Privacy Shield : les solutions concrètes du Comité Européen de Protection des Données
Le CEPD a publié des recommandations sur les mesures à prendre, et applicables, dans un contexte de cloud computing, en les illustrant d’exemples pragmatiques. Le suspense est levé, mais les mesures, très exigeantes, confirment que l’Union européenne veut être un modèle dans la protection des données.
Depuis la fin du Privacy Shield, la question du transfert de données hors UE est encore plus sensible. Mais le CEPD (Comité Européen de Protection des Données) a publié, le 10 novembre, une recommandation sur les mesures qui permettent d’assurer la conformité des transferts hors espace européen (« EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data »). Pour les entreprises européennes qui recourent au cloud ou à des applications qui stockent leurs données hors UE (et qui sont curieuses de l’évolution des recommandations européennes), le suspense est levé.
L’objectif de ce texte est d’aider les exportateurs de données – qu’ils soient responsables de traitement ou sous-traitants – à connaître les mesures complémentaires à prendre afin de pouvoir transférer des données hors de l’UE, en conformité aux exigences européennes. Cette recommandation est soumise à consultation publique jusqu’au 30 novembre 2020.
Suite à l’arrêt de la Cour de Justice de l’Union européenne du 16 juillet 2020, dit « Schrems II », qui invalidait le Privacy Shield, les entreprises avaient bien compris que l’outil majeur qui encadrait les transferts de données vers les États-Unis disparaissait. Cependant, face aux prestataires américains – dont en premier lieu les acteurs numériques majeurs – les entreprises restaient dans l’attente de savoir comment en pratique s’assurer de la conformité des transferts.
Les 6 phases de la réponse de la CEPD
Le CEPD a pour rôle de conseiller la Commission européenne en matière de protection des données. Dans sa publication, les exportateurs de données pourront trouver une méthodologie de vérification de l’adéquation de leur transfert hors UE ainsi que des exemples de mesures.
La méthodologie de vérification recommandée par le CEPB comprend six phases :
- l’identification et la connaissance des données transférées,
- la vérification des outils de transfert,
- l’évaluation de la réglementation du pays destinataire,
- l’identification et l’adoption de mesures complémentaires visant à renforcer le niveau de protection,
- le respect de procédures formelles liées aux mesures retenues,
- le réexamen périodique du niveau de protection dans le temps.
Mesures complémentaires de protection
Dans cette méthodologie d’analyse de risques, l’étape la plus attendue concerne les mesures complémentaires de protection. Une annexe détaillée (« Annex 2 - Examples of supplementary measures ») est consacrée aux mesures techniques, contractuelles et organisationnelles.
Quelles sont-elles ? Quelques exemples de mesures techniques sont analysés : chiffrement des données ou du transfert, pseudonymisation, protection légale par le destinataire et traitement fractionné ou multipartite.
Pour chaque mesure, le document détaille les conditions nécessaires afin que la technologie soit considérée comme suffisante.
Pour le chiffrement par exemple, les exigences sont multiples : chiffrement des données en mode renforcé, robustesse de l’algorithme et de son paramétrage, résistance du chiffrement prenant en compte la durée de traitement, spécifications du logiciel attestées, notamment par une certification, et gestion fiable et sous le contrôle de l’exportateur des clefs de chiffrement.
Parmi ces scénarios techniques, deux exemples ne sont pas considérés comme conformes au RGPD : le transfert de données en clair vers le cloud ou l’accès aux données à distance, par un exploitant importateur qui les utilise à des fins commerciales, dans le cadre de l’usage d’une messagerie électronique notamment.
Outre les mesures techniques, les mesures contractuelles sont également illustrées par des exemples d’obligation pour l’importateur de données hors UE : recours à des mesures techniques spécifiques, transparence des mesures légales applicables, assurance de l’application du droit d’accès des personnes, etc.
Pour chaque mesure contractuelle, l’obligation est accompagnée de conditions.
Par exemple, pour la transparence quant à l’accès des autorités publiques de l’importateur aux données, l’importateur devrait énumérer les lois et règlements applicables, informer l’exportateur de la jurisprudence, indiquer les mesures à prendre pour éviter l’accès des autorités et préciser quand cet importateur a l’interdiction d’informer l’exportateur.
Ces questions complexes pourraient prendre la forme de questionnaires à compléter par l’importateur.
Enfin, les mesures organisationnelles recommandées peuvent prendre la forme de procédures internes appliquées par l’exportateur et imposées aux importateurs, de mesures de minimisation des données, d’usage de certifications et normes…
Conclusion
Au-delà de la période de consultation de la « Recommandation », qui pourra naturellement entraîner quelques évolutions, le ton est donné.
Le texte, qui est construit sur des exemples pragmatiques, présente aux exportateurs de données des mesures techniques, juridiques et organisationnelles d’un haut niveau d’exigence.
L’Union européenne confirme donc ici son ambition de défendre l’excellence en matière de protection des données.
Me Sabine Marcellin est avocate associée au cabinet DLGA. À lire également, sous sa plume sur LeMagIT : « Fin du Privacy Shield : les premières mesures pratiques à prendre ».