Recommandations 2.0 du CEPD : quelles évolutions pour les exportateurs de données ?

Le contexte post Schrems II

Comme la CJUE (Cour de Justice de l’Union européenne) l’a rappelé dans son arrêt Schrems II, le RGPD impose aux exportateurs de données d’évaluer les conditions qui encadrent les transferts de données personnelles.

Les responsables de traitement et leurs sous-traitants se doivent de mettre en place des mesures adaptées, pour garantir que ces données font l’objet d’une protection équivalente à celle garantie au sein de l’Union européenne. Ces outils de transfert comprennent les CCT mais également les dérogations, Règles d’Entreprises Contraignantes (BCR) et Arrangements Administratifs.

Dans cet arrêt, la Cour indiquait que les CCT pouvaient toujours être utilisées pour les transferts, mais qu’il incombe à l’exportateur d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le RGPD.

Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection équivalent. C’est à propos de ces mesures complémentaires que le CEPD a publié, le 18 juin dernier, la version finale de ses Recommandations.

Nouveautés des recommandations 2.0

La version finale des recommandations comprend plusieurs modifications, par rapport à la première version de novembre 2020, faisant suite aux commentaires reçus lors de la consultation publique.

La présidente du CEPD, Andrea Jelinek, a déclaré que « l’impact de Schrems II ne peut être sous-estimé : les flux de données internationaux sont déjà soumis à un examen beaucoup plus attentif de la part des autorités de contrôle, qui mènent des enquêtes à leurs niveaux respectifs. L’objectif des recommandations du CEPD est de guider les exportateurs dans le transfert licite de données à caractère personnel vers des pays tiers, tout en garantissant que les données transférées bénéficient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’Espace économique européen. »

Parmi les principales modifications figurent :

• l’importance accordée à l’examen des pratiques des autorités publiques des pays tiers dans l’évaluation juridique des exportateurs,
• la possibilité que l’exportateur tienne compte dans son évaluation, avec certaines réserves, de l’expérience pratique de l’importateur et,
• la précision selon laquelle la législation du pays tiers de destination permettant à ses autorités d’accéder aux données transférées, même sans l’intervention de l’importateur, peut également empiéter sur l’efficacité de l’outil de transfert.

Ces recommandations contiennent, dans leur annexe 2, une liste non exhaustive d’exemples de mesures.

Le document précise que certaines mesures supplémentaires peuvent être efficaces dans certains pays, mais pas nécessairement dans d’autres.

Les mesures peuvent être d’ordre technique, contractuel ou opérationnel.

Dans cette annexe, parmi ces exemples de mesures techniques figurent le chiffrement ou la pseudonymisation, détaillés par des cas d’usage.

Les exemples d’ordre contractuel portent notamment sur la transparence des obligations légales de l’importateur ou son obligation d’assurer l’application des droits des personnes.

Quant aux mesures opérationnelles, il peut s’agir de politiques internes imposées par l’exportateur à l’importateur ou de méthodes de minimisation des données.

L’exportateur reste responsable d’évaluer leur efficacité dans le contexte du transfert, et à la lumière de la législation, de l’outil de transfert choisi et des pratiques des pays tiers. Ces mesures doivent être documentées et réévaluées dans le temps.

Dans les cas où aucune mesure supplémentaire n’est appropriée, la rédaction des Recommandations conseille de suspendre ou de mettre fin au transfert.

Quelles précautions prendre en pratique ?

Les exportateurs de données doivent identifier l’ensemble des transferts de données personnelles hors de l’UE, vers les États-Unis ou d’autres pays, à l’exception des pays considérés comme en adéquation avec le RGPD.

Ensuite, ceux-ci doivent procéder à une évaluation rigoureuse de la légalité de chacun de ces transferts. Puis, ces entreprises exportatrices doivent prévoir un plan d’action pour permettre leur mise en conformité avec le cadre juridique applicable.

Depuis le 23 juin dernier, la CNIL propose une méthodologie pour encadrer les transferts.

Sa préconisation est de vérifier les outils numériques, les contrats et d’élaborer un document synthétique recensant les transferts. En connaissant la criticité des transferts et les solutions envisageables, la Commission recommande de définir un plan d’action et de le soumettre au responsable de la structure exportatrice. Et de revoir régulièrement la conformité des flux. Cette méthode complète les Recommandations du CEPD.

Ces Recommandations, malgré leur intitulé, ont bien un caractère obligatoire et toutes les entreprises européennes y sont soumises, afin de ne pas courir le risque de sanctions prévues au RGPD.

Pour les exportateurs disposant déjà d’anciennes CCT conformes, un délai de 18 mois est accordé afin de procéder à leur adaptation.

Pour toutes les entreprises exportant des données, vers les États-Unis ou ailleurs, ces exigences européennes de protection des données personnelles vont nécessiter un effort de mise en conformité.

Me Sabine Marcellin est avocate associée au cabinet DLGA.