Transferts de données hors Union européenne : la CNIL publie un guide pratique pour conduire un Transfer Impact Assessment. Les organismes ont 1 mois pour transmettre leurs observations à la CNIL.

Contexte

Le Règlement Général sur la Protection des Données (« RGPD ») a pour objectif d’assurer un niveau de protection des données personnelles équivalent au sein de l’Union européenne (« EU ») en imposant un cadre réglementaire s’appliquant à l’ensemble des traitements effectués sur le territoire de l’UE ou affectant des personnes résidant dans l’UE. 

Certaines entreprises sont amenées dans le cadre de leurs activités à transférer des données personnelles en dehors de l’UE, par exemple en faisant appel à des prestataires situés dans des pays tiers, en ayant recours à des services de cloud, ou encore en communiquant des données personnelles à une maison mère ou à des filiales. Se pose alors la question de la protection des données personnelles transférées en dehors de l’UE, dans des pays qui n’ont pas la même législation que l’UE.

Selon le RGPD, les données personnelles doivent continuer à bénéficier du même niveau de protection offert par le RGPD au sein de l’UE. C’est par exemple le cas lorsque les données personnelles sont transférées vers un pays bénéficiant d’une décision d’adéquation, c’est-à-dire un pays reconnu par la Commission européen comme offrant un niveau de protection adéquat ne nécessitant pas de mettre en place de mesures supplémentaires.

En l’absence de décision d’adéquation, l’exportateur de données, qu’il soit responsable de traitement ou sous-traitant, doit prendre des mesures pour palier l’insuffisance de protection des données dans le pays tiers, destinataire des données, en prévoyant des garanties appropriées (Règles d’entreprise contraignantes (BCR), Clauses contractuelles types (SCCs), etc.). 

La Cour de Justice de l’Union européenne (CJUE) dans son arrêt dit « Schrems II » du 16 juillet 2020 a considéré que les clauses contractuelles types étaient insuffisantes pour assurer une protection efficace des données personnelles car elles ne peuvent pas lier les pays tiers en raison de leur caractère contractuel.

Par conséquent, la CJUE a considéré que l’exportateur de données doit (i) vérifier si la législation du pays tiers, destinataire des données, garantit un niveau de protection essentiellement équivalent à celui garanti dans l’UE et (ii) déterminer les mesures complémentaires appropriées lorsque celles-ci apparaissent nécessaires, en sus de l’implémentation des garanties appropriées.

Afin de remplir cette obligation, et lorsque le transfert de données personnelles repose sur un outil de transfert prévu par l’article 46 du RGPD, l’exportateur de données personnelles, en collaboration avec l’importateur de données personnelles, doit mener une analyse d’impact des transferts de données (également appelée Transfer Impact Assessemment).

Le Comité européen de la protection des données (CEPD) a d’ores et déjà publié, en juin 2021, des recommandations sur les mesures qui complètent les instruments de transfert destinées à garantir le respect du niveau de protection des données personnelles de l’UE   dans lesquelles le CEPD détaille les différentes étapes devant être suivies par l’exportateur de données pour mener une AITD et fournit des indications sur les mesures supplémentaires pouvant être implantées ainsi que sur leur efficacité.

Jusqu’à présent, les entreprises se reposaient essentiellement sur ces recommandations ainsi que sur les recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance  pour effectuer des AITD.

C’est dans ce contexte que la CNIL a décidé d’élaborer son propre guide pratique afin, selon ses propres termes, « d’aider les exportateurs de données à réaliser leur AITD ».

Elle publie à ce stade un projet de guide qu’elle soumet à consultation publique jusqu’au 12 février 2024. La publication du guide définitif est envisagée courant 2024.

Les objectifs de ce guide

Ce guide doit être utilisé comme une méthodologie mise à disposition des exportateurs de données leur permettant d’effectuer une AITD.

Il convient de noter que la CNIL s’est largement reposée sur les recommandations du CEPD dans l’élaboration de ce guide. Néanmoins, ce guide a vocation à être plus opérationnel que les recommandations du CEPD puisqu’il intègre un modèle d’AITD qui peut être utilisé tel quel par les exportateurs de données. Il s’agit en effet d’un tableau à compléter, incluant des cases à cocher, qui reprend et réorganise les différentes étapes et éléments mentionnés par le CEPD dans ses recommandations.

Le guide contient ainsi une première partie dédiée aux questions à se poser afin de déterminer si une AITD est nécessaire :

• Est-ce que les données en cause sont bien des données personnelles ?

• Un transfert de données personnelles est-il bien réalisé ?

• Quelle est la qualification des acteurs impliqués ?

• Le transfert respecte-t-il l’ensemble des principes du RGPD et, en particulier, pouvez-vous minimiser la quantité de données à caractère personnel transférées ou transférer des données anonymisées plutôt que des données à caractère personnel ?

• Est-ce que votre transfert peut s’effectuer vers un pays qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat ?

Le guide fournit ensuite un modèle d’AITD établi selon les six étapes mentionnées par le CEPD permettant d’effectuer une AITD et qui sont les suivantes :

1. Connaître son transfert
   
   
2. Recenser l’instrument de transfert utilisé
   
   
3. Évaluer la législation et les pratiques du pays de destination des données et l’efficacité de l’outil de transfert
   
   
4. Identifier et adopter des mesures supplémentaires
   
   
5. Mettre en œuvre les mesures supplémentaires et les étapes procédurales nécessaires
   
   
6. Réévaluer à intervalles appropriés le niveau de protection et suivre les développements potentiels qui pourraient l’affecter.

La compilation des différentes étapes et précisions fournies par le CEPD dans ses recommandations sous la forme d’un tableau répertoriant l’ensemble des éléments devant être intégrés dans une AITD apparaît donc utile et pratique pour les exportateurs de données.

Quelques éléments sont toutefois à relever :

• Ce guide ne contient pas, et n’a pas vocation à contenir, d’évaluation des législations et pratiques des pays tiers. La CNIL ne se positionne donc pas sur le niveau de protection offert par les pays en dehors de l’UE, laissant ainsi aux entreprises le soin d’effectuer l’analyse des législations et pratiques des pays tiers.

• Le modèle inclut une section dédiée aux instruments de transferts utilisés, qui correspond à l’étape 2 de l’AITD également prévue par le CEPD. Comme l’indiquent à la fois le CEPD et la CNIL, la réalisation d’une AITD n’est pas requise lorsque le pays destinataire bénéficie d’une décision d’adéquation. Or, avec ce modèle, qui est un modèle d’AITD, il apparaît que l’exportateur de données devrait compléter l’étape 1 (connaître son transfert) et l’étape 2 – (instrument de transfert utilisé et documentation), pour l’ensemble des transferts réalisés et ce, quel que soit l’instrument de transferts. Dans ce contexte, les exigences de la CNIL semblent aller au-delà de celles du CEPD.

Si ce projet de guide est adopté tel quel, les organisations qui ne réalisent pas d’AITD, à juste titre, pour les transferts vers des pays bénéficiant d’une décision d’adéquation, devraient revoir leur stratégie de conformité si elles souhaitent s’aligner avec les exigences plus fortes de la CNIL.

• Si des transferts ultérieurs sont effectués par l’importateur de données, la CNIL considère qu’il convient de réaliser une AITD spécifique pour chaque type de transfert ultérieur. Les recommandations du CEPD ne sont pas aussi précises sur ce point puisque le CEPD se contente d’indiquer que « lors de la cartographie des transferts, il convient de ne pas oublier de tenir compte également des transferts ultérieurs ». Regrouper le transfert initial et les transferts ultérieurs au sein d’une même AITD ne semble donc pas être la recommandation de la CNIL. Un autre document devra être préparé pour chaque transfert ultérieur, ce qui alourdit l’obligation imposée à l’exportateur de données, telle que décrite dans les recommandations du CEPD.

• La CNIL renforce en outre le rôle et les obligations de l’importateur de données, en particulier lorsqu’il agit en qualité de sous-traitant. La CJUE a indiqué dans son arrêt Schrems II que « l’exportateur de données [doit] vérifier, au cas par cas et, le cas échéant, en collaboration avec l’importateur de données, si le droit du pays tiers de destination garantit un niveau de protection essentiellement équivalent, au regard du droit de l’Union […] ». L’importateur de données peut être responsable de traitement ou sous-traitant. La CNIL se montre exigeant à son égard puisqu’elle indique que la coopération de l’importateur est indispensable à la réalisation de l’AITD.

La CNIL fait une interprétation de ce devoir de coopération encore plus stricte lorsque l’importateur agit en qualité de sous-traitant. Elle précise que « Dans le cadre d’une relation de sous-traitance, la transmission de ces informations au responsable de traitement par le sous-traitant importateur des données fait partie des obligations de ce dernier en vertu de l’article 28 du RGPD, et notamment de l’article 28(3)(h) ». La CNIL considère également que « la transmission par le sous-traitant importateur d’une simple conclusion ou d’un résumé exécutif de son évaluation, sans la fourniture d’éléments concrets sur la législation du pays tiers et les pratiques des autorités, ainsi que sur circonstances du transfert, ne lui permet pas de satisfaire à ses obligations en vertu de l’article 28 du RGPD ». Cette interprétation exigeante de l’article 28 du RGPD impose au sous-traitant importateur de données une implication significative, puisqu’il doit fournir des éléments concrets sur la législation du pays tiers et des pratiques de son pays.

Ce guide pratique et opérationnel, dont il faut encore attendre la publication définitive courant 2024, n’est pas obligatoire mais constitue un outil permettant d’accompagner les entreprises dans leur conformité concernant la réalisation d’AITD. 

Le projet de guide pratique de la CNIL est disponible en français et en anglais. Les organismes ont jusqu’au 12 février 2024 pour soumettre leurs observations. 

Pour toute question, vous pouvez contacter Willy Mikalef (Partner) et Julie Verdure (Associate).