earlegal #hors-serie - Transferts internationaux de données à caractère personnel – Actualités

All over the world
Common sense. Innovative solutions.
Transferts internationaux de données à
caractère personnel
La jurisprudence Schrems II,
les nouvelles clauses contractuelles types et les mesures supplémentaires
Jean-François HENROTTE
Thomas ESPEEL

creacitivity.lexing.be
Fil rouge
2
La SA WASCOMED souhaite transférer des données à caractère
personnel à ses partenaires situés :
• A Guernesey
• Aux USA
• Au Fidji

Transferts internationaux : principe et exceptions
Interdiction de principe des transferts de données à caractère personnel
vers un pays tiers (44 et s. RGPD)
Par exception, le transfert vers un pays tiers peut avoir lieu dans 3
hypothèses:
1) Décision d’adéquation (45 RGPD)
2) Transfert moyennant des garanties appropriées (46 RGPD)
3) Dérogations pour des situations particulières (49 RGPD)
3

1) Décision d’adéquation
 Décision par laquelle la Commission européenne déclare que le pays de destination assure un
niveau de protection des données suffisant.
 Liste des pays bénéficiant de décision d’adéquation :
 l’Andorre
 l’Argentine
 le Canada
 les îles Féroé
 Guernesey
 l’Israël
 l’île de Man
 Jersey
 la Nouvelle-Zélande
 la Suisse
 l’Uruguay
 le Japon
 Le Royame-Uni
 La Corée du sud ?
4

2) Transfert moyennant des garanties appropriées
Il y a 4 mécanismes de transferts reconnus par le RGPD :
• un instrument juridiquement contraignant et exécutoire entre les autorités
ou organismes publics
• des règles d'entreprise contraignantes conformément à l'article 47 RGPD
(« BCR » - Binding Corporate Rules)
• des clauses contractuelles types de protection des données (« CCT »)
• un code de conduite approuvé ou une certification approuvée
5

3) Dérogations pour des situations particulières
• la personne concernée a donné son consentement explicite après avoir été informée des risques
du transfert;
• le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le
responsable du traitement;
• le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de
la personne concernée entre le responsable du traitement et une autre personne physique ou
morale;
• le transfert est nécessaire pour des motifs importants d'intérêt public;
• le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice;
• le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres
personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de
donner son consentement;
• le transfert a lieu au départ d'un registre public
6

Fil rouge
7
• A Guernesey
• Aux USA
• Au Fidji Article 45 RGPD

Fil rouge
8
• Au Guernesey
• Aux USA
• Au Fidji
Article 46 RGPD ?

Arrêt Schrems II
9
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf

Arrêt Schrems II
Décision de la CJUE du 16 juillet 2020 (aff. C-311/18)
Data Protection Commissioner c. Facebook Ireland Ltd et M. Schrems
1. Invalidation de la décision d’adéquation 2016/1250 créant le EU-US Privacy Shield
permettant le transfert de données par une entité européenne à des organisations
établies aux États-Unis
2. Validation du mécanisme de transfert de données basé sur les clauses contractuelles
types (CCT)
MAIS
10
il incombe à l’exportateur et à l’importateur de données d’évaluer si, en pratique, la
législation du pays tiers permet d’assurer aux données transférées un niveau de
protection substantiellement équivalent à celui garanti au sein de l’EEE !

Arrêt Schrems II
Conséquences :
• Les organismes dont les transferts de données vers les USA se fondent sur
l’adoption de CCT ne peuvent se limiter à ça. En effet, ils doivent :
• analyser la législation de l’Etat de destination des données – en ce compris la
possibilité pour les agences étatiques d’intercepter les données (exemple: FISA 702
et E.O. 12.333) ; et
• adopter les mesures supplémentaires nécessaires au vu de cette analyse afin
d’assurer un niveau de protection adéquat.
11

Arrêt Schrems II
Cas pratique :
X Suite au COVID-19 et afin de réduire ses coûts, la SA WASCOMED souhaite recourir au
Cloud computing pour héberger ses données. Elle fait donc appel à un fournisseur de
services Cloud réputé. Celui-ci est toutefois établi aux USA.
X La SA WASCOMED aimerait transférer certaines données d’essais cliniques à son
partenaire de recherche situé aux USA.
12

Clauses contractuelles types (CCT)
 Anciennes clauses:
• Décision 2001/497/CE : RT - RT
• Décision 2010/87/UE : RT - ST
 Les CCT devaient être actualisées pour :
• Tenir compte des nouvelles exigences du RGPD
• Tenir compte de l’évolution de l’économie numérique et de la complexité grandissante des
opérations de transfert
• Tenir compte de la jurisprudence de la CJUE (Schrems II)
 Après avoir publié un premier projet soumis à consultation publique, la
Commission a adopté, ce 4 juin 2021, la version finale des nouvelles clauses
contractuelles types
13

Nouvelles clauses contractuelles types (CCT)
14
Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative
aux clauses contractuelles types pour le transfert de données à caractère
personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du
Parlement européen et du Conseil
.

 Champs d’application :
 Transfert entre un RT ou ST établi au sein de l’UE (« exportateur de données ») et un ST
ou RT établi en dehors de l’EEE (« importateur de données »)
 Le traitement effectué par l’importateur de données ne relève pas du champ
d’application du RGPD
Transfert de données par un RT ou un ST qui n’est pas établi dans l’UE, dans la mesure où
le traitement est soumis au RGPD (ex: exemple parce qu’il est lié à l’offre de biens ou de
services à des personnes concernées dans l’Union)
 Approche modulaire tenant compte des différents scénarios de transfert en fonction du rôle de
l’importateur et de l’exportateur
4 types de scénarios possibles :
• RT  RT
• RT  ST
• ST  ST
• ST  RT
15

 Les CCT peuvent être inclues dans un contrat plus large à conditions que les autres clauses
dudit contrat ne contredisent pas les CCT
 Les personnes concernées doivent être informées de l’utilisation des CCT et du moyen d’en
obtenir une copie/l’endroit où elles sont mise à disposition (transparence)
 Réalité multipartite : adhésion de plus de 2 parties possible + RT et ST supplémentaires
peuvent adhérer aux CCT en qualité d’exportateur ou importateur en adhérant aux clauses.
16

17

Entrée en vigueur des nouvelles CCT : 27 juin 2020
Anciennes CCT sont abrogées et ne sont plus valides : 27 septembre 2021
Anciennes CCT doivent être remplacées par les nouvelles : 27 décembre 2022
18
Deadline:

Recommandations de l’EDPB sur les mesures supplémentaires
19
• Recommandations 01/2020 sur les mesures qui complètent
les outils de transfert pour assurer la conformité avec le
niveau de protection des données personnelles de l’UE
= feuille de route en six étapes pour aider les exportateurs de
données dans l’évaluation des transferts de données vers les pays tiers
et l’identification des mesures supplémentaires appropriées.
• Recommandations 02/2020 sur les garanties essentielles
européennes pour les mesures de surveillance
= indications supplémentaires pour évaluer si les mesures de
surveillance du pays de l'importateur permettant l'accès aux données
personnelles par les autorités publiques peuvent être considérées comme une
interférence justifiable ou non.
.

20
Les mécanismes de transfert de l’article 46RGPD (garanties appropriées)
=
engagements contractuels
Ne lient pas les autorités publiques
 Risque : les autorités peuvent avoir des pouvoirs d’accéder aux données
(pendant ou après leur transfert).
Ne suffisent pas automatiquement à assurer une protection équivalente au RGPD
 obligation pour l’exportateur d’évaluer si des mesures supplémentaires sont nécessaires sur base :
• du transfert spécifique
• du mécanisme de transfert
• de la législation et des pratiques de l’Etat de destination des données (en ce compris les pouvoirs des
autorités publiques à accéder aux données)

Diminution du niveau de protection
en raison de la législation du pays
de destination
Garanties apportées par le mécanisme de transfert de
l’article 46 RGPD
21
Niveau de protection équivalent aux exigences de l’Union
Mesures
supplémentaires qui
compensent la
diminution de
protection

Conséquence :
L’exportateur de données, qu’il soit RT ou ST, doit vérifier au cas par cas si la loi et/
ou les pratiques du pays tiers sont susceptibles de porter atteinte aux garanties
mises en place par le mécanisme de transfert.
Comment ?
Le Comité européen de la protection des données (CEPD) a publié 2
recommandations afin de guider l’exportateur dans son raisonnement
De plus, ce raisonnement doit être documenté en vertu du principe
d’accountability
22

Recommandations 01/2020 sur les mesures qui complètent les outils de transfert pour assurer
la conformité avec le niveau de protection des données personnelles de l’UE
 Version finale publiée le 18 juin 2021
 Contenu :
 Procédure en 6 étapes pour évaluer les transferts de données vers des pays tiers
 Annexe 1 : définitions
 Annexe 2 : liste exemplative de mesures supplémentaires qui peuvent être mises en place
 Annexe 3 : liste de sources d’informations pour évaluer les législations et pratiques du pays de
destination des données
Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de
surveillance
 Liste de critères pour évaluer si une mesure de surveillance constitue une ingérence justifiée ou
non
23

« Roadmap » en six étapes
24

Les 6 étapes pour évaluer des transferts de données à l’étranger
Connaissez vos transferts de données
Identifiez et cartographiez tous les transferts de
données à caractère personnel vers des pays tiers et
assurez-vous que ces transferts sont conformes au
principe de minimisation des données du RGPD.
L'accès à distance (« remote access ») depuis un pays tiers (par
exemple, pour des services d'assistance IT) et/ou l’hébergement
(cloud ou non) situé en dehors de l’UE sont également
considérés comme un transfert.
Prendre en compte les futurs transferts/ transferts subséquents
(« onward transfers »)
25

Identifiez les outils de transfert sur lesquels
vous vous appuyez
Identifiez le mécanisme de transfert de données approprié
parmi :
• Décision d'adéquation (article 45) ;
• Garanties appropriées (article 46) ; ou
• Dérogations (article 49)
Si le transfert est fondé sur une décision d'adéquation ou
satisfait aux conditions strictes d'une dérogation, aucune autre
exigence n'est requise.
Si le transfert de données est fondé sur des garanties
appropriées, passez à l'étape 3.
26

Évaluez l'efficacité de l'outil de transfert (de
l'article 46 du RGPD) sur lequel vous vous
appuyez dans le contexte de votre transfert de
données spécifique
Évaluez (avec le soutien de l'importateur) si les lois ou les
pratiques du pays tiers peuvent empêcher que les données
à caractère personnel transférées ne bénéficient d'un
niveau de protection essentiellement équivalent à celui
prévu par le RGPD.
Il convient d'accorder une attention particulière aux
législations nationales qui prévoient l'obligation de
divulguer des données à caractère personnel aux autorités
publiques ou d'accorder à ces autorités publiques des
pouvoirs d'accès aux données à caractère personnel.
Recommandations 02/2020
27

Est-ce que la législation et les pratiques du pays tiers empiètent sur l’effectivité
des garanties appropriés du mécanisme de transfert de l’article 46 RGPD au vu
du transfert spécifique ?
1. Identifier les lois et pratiques pertinentes à la lumière de toutes les circonstances
du transfert, et en particulier :
• finalité du transfert,
• entités impliquées dans le traitement,
• secteur,
• catégorie de données transférées,
• stockage des données ou accès à distance des données,
• format des données,
• possibilité de transferts subséquents des même données …
28

2. Evaluer la possibilité d’accès aux données par les autorités publiques
 Peuvent-elles avoir accès aux donnés (avec ou sans la connaissance/autorisation de
l’importateur) ?
 Peuvent-elles avoir accès aux données pendant leur transmission via le fournisseur
de service de communication ou les chaines de communications utilisés sur base de :
 La législation ?
 Les capacités techniques, financières et humaines ?
29

Recommandations 02/2020 sur les garanties essentielles européennes pour les
mesures de surveillance
 Critères pour évaluer si une mesure de surveillance constitue une ingérence justifiée ou
non :
Le traitement doit être fondé sur des règles claires, précises et accessibles.
La nécessité et la proportionnalité au regard des objectifs légitimes poursuivis
doivent être démontrées
Un mécanisme de contrôle indépendant doit exister
Des recours effectifs doivent être disponibles pour l'individu
30

La loi empiète sur les garanties appropriées si :
Elle ne respecte pas les droits fondamentaux
Elle permet des ingérences qui excèdent ce qui est nécessaire (test de proportionnalité)
La loi rencontre formellement les exigences des standards du RGPD mais n’est
manifestement pas appliquée/ respectée en pratique
Il existe dans le pays tiers des pratiques incompatibles avec les engagements pris en
vertu du mécanisme de transfert choisi
L’absence de règlementation sur l’accès aux données ne permet pas de dire
automatiquement que le mécanisme de transfert peut être appliqué avec effectivité.
Les données transférées peuvent tomber dans le champ d’application de législations
problématiques du pays tiers
- Dans ce cas, l’exportateur peut choisir de continuer le transfert s’il considère et s’il sait prouver qu’après une analyse adéquate, il
n’y a pas de raison de penser que la législation problématique sera appliquée au transfert de données en pratique.
31

Informations sur la législation et pratiques du pays tiers :
L’importateur doit communiquer les sources et les informations pertinents
relatives aux lois et pratiques du pays tiers
L’annexe 3 de la recommandation 01/2020 liste différentes sources possibles
Les sources et informations doivent être pertinentes, objectives, fiables,
vérifiables et accessibles (si pas publique)
L’exportateur peut également prendre en compte l’expérience documentée
de l’importateur face à des demandes d’accès venant d’autorités publiques
(sauf si la loi interdit à l’importateur de le faire)
32

Annexe 3 : liste non exhaustive des sources d’information
 Jurisprudence de la CJUE et CEDH
 Décisions d’adéquation
 Résolutions et rapports d’organisations intergouvernementales
 Jurisprudence d'autorités judiciaires ou administratives indépendantes
 Rapports basés sur l’expérience pratique vis-à-vis de demande d’accès
antérieures
 Warrant canaries
 Rapports d’académiques et d’ONG
 Rapports de transparence
…
33

Résultat de l’analyse :
o Soit le mécanisme de transfert que vous utilisez permet effectivement
d’assurer aux données un niveau protection substantiellement équivalent à
celui du RGPD et le transfert peut avoir lieu.
o Soit le mécanisme de transfert que vous utilisez ne le permet pas
 responsabilité de l’exportateur de mettre en place des mesures
supplémentaires qui permettent d’atteindre cette protection OU de ne
pas transférer les données.
34

Identifiez et adoptez des mesures
supplémentaires
Si la législation du pays tiers n'offre pas un niveau de
protection essentiellement équivalent à celui de l'UE, il
convient d'identifier et d'adopter des mesures
supplémentaires efficaces.
Si aucune mesure supplémentaire appropriée ne peut être
adoptée, vous devez suspendre ou mettre fin au transfert
de données.
Les données déjà transférées doivent être retournées ou
détruites.
35

Les mesures supplémentaires appropriées
 Les mesures peuvent être :
1. Techniques
2. Contractuelles
3. Organisationnelles
!!! En pratique, les mesures contractuelles
et organisationnelles ne permettent pas,
à elles seules de protéger suffisamment
les données.
Seules des mesures techniques peuvent
rendre ineffectif l’accès des autorités
aux données.
36

1. Les mesures techniques :
 Le chiffrement
Hypothèse : stockage des données (ex: backup) dans le pays tiers où les données ne sont pas
accessibles en clair
- chiffrement fort est utilisé (en tenant compte (1) de l'état de l'art, (2) des ressources dont disposent les autorités étrangères, (3) de la
période pendant laquelle la confidentialité doit être préservée),
- avant la transmission,
- mis en œuvre correctement (logiciel certifié et correctement entretenu),
- clés gérées de manière fiable au sein de l'UE, de l'EEE ou dans un pays ayant fait l'objet d'une décision d'adéquation.
Hypothèse : chiffrement pour protéger les données d’un accès par les autorités publiques du
pays destinataire pendant le transit des données.
- L’exportateur et l’importateur se mettent d’accord sur une clé de chiffrement
- Des mesures sont prises contre les attaques, vulnérabilités et backdoors
- Chiffrement du transport et éventuellement en plus un chiffrement de bout à bout
- Les clés de chiffrements sont confiées à l’exportateur établi dans un pays offrant un niveau de protection équivalent
37

- En 2020, les Etats-Unis ont soumis au Congrès une proposition de loi
sur les portes dérobées (backdoor access) pour améliorer la capacité
des autorités à accéder aux données chiffrées
- Certaines législations interdisent à l’importateur de prévenir
l’exportateur des demandes d’accès formulées par les autorités
38

Ex: législations qui imposent le déchiffrement de données chiffrées
dans leur pays
39

Common sense. Innovative solutions. creactivity.lexing.be
40
Source : https://www.gp-digital.org/world-map-of-encryption/
Restrictions sur l’utilisation d’outils de chiffrement

 La pseudonymisation
Hypothèse : l’importateur pseudonymise les données avant de les envoyer dans le pays tiers (ex:
données utilisées dans la recherche)
• Lorsqu’il est question de pseudonymisation : une analyse approfondie des données démontre qu'elles ne peuvent être
recoupées avec aucune information dont les autorités publiques du pays destinataire pourraient posséder pour être
attribuées à une personne physique identifiée ou identifiable,
• les informations supplémentaires nécessaires pour réidentifier les données sont :
• conservées séparément,
• au sein de l'UE, de l'EEE ou dans un pays qui a fait l'objet d'une décision d'adéquation,
• par l'exportateur de données,
• protégées par des sauvegardes techniques et organisationnelles appropriées.
 Bien que l’anonymisation des données ne soit pas listé dans la recommandation, il est
évident que si les données sont rendues anonymes avant leur transfert, il ne s’agit plus de
données à caractère personnel. Par conséquent, le RGPD ne s’applique plus et le transfert
peut avoir lieu.
41

 Secret professionnel
Hypothèse : l’importateur de données dans le pays tiers est spécialement protégé par les lois de son pays
contre la divulgation des données qu’il détient
- La loi du pays tiers exempte spécifiquement ce destinataire de donner accès aux données en sa possession
- Comprend toutes les données en sa possession
- Le destinataire ne transmet pas ces données à une autre entité qui ne bénéficie pas de la même protection
- Les données sont chiffrées avant leur envoi et seule la personne détentrice du secret professionnel possède la clé de
déchiffrement.
 Division des données
Hypothèse : traitement de données faisant intervenir plusieurs acteurs
- Chaque acteur se voit remettre une partie des données ne lui permettant pas d’identifier la personne à qui ses données se
rapportent
- L’exportateur réceptionne ensuite le résultat obtenu par chaque entité après que celle-ci ait fait son traitement pour restituer le
résultat final/rassembler les données agrégées.
X Constat d'échec pour le surplus : le transfert à des fournisseurs de services informatiques en nuage (cloud) ou à d’autres
sous-traitants nécessitant un accès à des données en clair ou l’accès à distance aux données à des fins professionnelles !
42

Fil rouge
43
• Au Guernesey
• Aux USA
• Au Fidji
Article 46 RGPD ?

Fil rouge
44
• Au Guernesey
• Aux USA
• Au Fidji
Article 46 RGPD ?

2. Les mesures contractuelles
Exemples:
 Obligation pour l’importateur d'utiliser des mesures techniques spécifiques,
 Transparence de l'importateur sur l'accès aux données dans son pays par les autorités
publiques et sur les demandes d'accès aux données personnelles par les autorités publiques
reçues au cours d'une période déterminée,
 Garantie de l'importateur qu'il n'a pas délibérément créé/qu’il n’existe pas/que la loi ne lui
impose pas de créer de portes dérobées (« backdoors ») pouvant être utilisées pour
accéder au système et/ou aux données à caractère personnel
45

2. Les mesures contractuelles (suite)
 clauses qui renforcent le pouvoir de l'exportateur de procéder à des audits des
installations de l'importateur, sur place et/ou à distance, afin de vérifier si des données ont
été divulguées aux autorités publiques et dans quelles conditions,
 clauses qui renforcent l'obligation de l'importateur de données d'informer rapidement
l'exportateur de données de son incapacité à respecter les engagements contractuels et, par
conséquent, la norme requise de "niveau de protection des données essentiellement
équivalent",
 clauses par lesquelles l'importateur s'engage à publier régulièrement un message signé de
manière cryptographique informant l'exportateur qu’il n'a reçu aucun ordre de
divulgation de données à caractère personnel (méthode du "warrant canary")
46

3. Les mesures organisationnelles
 Politiques internes pour la gouvernance des transferts prévoyant :
 la nomination d'une équipe spécifique pour traiter les demandes impliquant des transferts de données personnelles
 la notification à la direction juridique et à la direction de l'entreprise ainsi qu'à l'exportateur de données dès réception de ces
demandes
 procédure pour contester les demandes disproportionnées ou illégales et la fourniture d'informations transparentes aux
personnes concernées
 Mesures de transparence et de responsabilité :
 Documenter et enregistrer les demandes d'accès reçues des autorités publiques et la réponse fournie, le raisonnement juridique
et les acteurs impliqués. Ces enregistrements doivent être mis à la disposition de l'exportateur de données, qui doit à son tour
les fournir aux personnes concernées si nécessaire.
 Publication régulière de rapports de transparence concernant les demandes gouvernementales d'accès aux données et le type
de réponse fournie, dans la mesure où la publication est autorisée par la législation locale.
 Méthodes d'organisation et mesures de minimisation des données
 Adoption de normes, standards et de bonnes pratiques
47

Prenez les mesures procédurales nécessaires à la
mise en œuvre des mesures supplémentaires
identifiées
Une consultation spécifique avec l'autorité de contrôle de la
protection des données compétente peut être requise en fonction
des mesures de protection appropriées sur lesquelles vous vous
appuyez.
 Pas d’autorisation nécessaire pour l’utilisation de CCT ni pour
y ajouter des mesures complémentaires qui ne contredisent
pas les clauses existantes.
 Autorisation nécessaire pour modifier les CCT ou pour y
ajouter des clauses qui contredisent les clauses existantes.
48

Réévaluez à intervalles appropriés
(vigilance continue)
Réévaluez périodiquement si la protection
accordée aux données personnelles transférées a
changé en raison de l'adoption d'une nouvelle
législation dans le pays tiers ou à la suite
d’évolution des technologies.
Aucune indication précise n'est donnée sur la
fréquence de la réévaluation.
49

Common sense. Innovative solutions. creactivity.lexing.be
Des questions ?
Merci de votre attention !
50

earlegal #hors-serie - Transferts internationaux de données à caractère personnel – Actualités

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à earlegal #hors-serie - Transferts internationaux de données à caractère personnel – Actualités

Similaire à earlegal #hors-serie - Transferts internationaux de données à caractère personnel – Actualités (20)

Plus de Lexing - Belgium

Plus de Lexing - Belgium (20)

earlegal #hors-serie - Transferts internationaux de données à caractère personnel – Actualités