Mise à jour quelques mois après l’arrêt Schrems II
Dans l’arrêt Schrems II du 16 juillet 2020, la Cour de Justice a jugé que le transfert de données à caractère personnel en dehors de l’EEE (Espace Economique Européen) sur base des clauses contractuelles standard « standard contractual clauses - (SCC’s) » n’était conforme au RGPD que pour autant que le pays destinataire offre une protection des données équivalente à celle de l’UE. Des recommandations ont depuis été émises quant aux mesures supplémentaires que les entreprises peuvent prendre si le cadre légal dans le pays tiers n’offre pas une protection suffisante. Un projet de nouvelles clauses contractuelles a par ailleurs été publié.
Dans un précédent newsflash, nous vous avions détaillé le contenu de l’arrêt Schrems II, ayant pour conséquence, d’une part, que le EU-US Privacyshield a été déclaré invalide et, d’autre part, que le transfert de données à caractère personnel sur base des SCC’s n’est possible que pour autant que la protection légale des données dans le pays tiers corresponde, dans les grandes lignes, au niveau de protection qui est garanti au sein de l’UE (vous pouvez lire ce newsflash via ce lien).
Recommandations du Comité Européen de la Protection des Données
Peu de temps après l’arrêt, le Comité Européen de la Protection des Données a annoncé que des directives seraient encore émises quant aux mesures supplémentaires qui peuvent être prises lorsqu’il apparait que le cadre légal du pays tiers n’offre pas de protection équivalente au RGPD. Ces recommandations, attendues depuis longtemps, ont été publiées le 11 novembre 2020 et comprennent six étapes concrètes que les responsables du traitement doivent suivre afin de réaliser leurs transferts en dehors de l’EEE de manière conforme à l’arrêt Schrems II :
(i) Connaissez vos transferts. Premièrement, il convient de déterminer vers quels pays, situés en dehors de l’EEE, des données à caractère personnel sont transférées. A cet égard, il doit être également vérifié si le transfert est adéquat et pertinent, et s’il reste limité à ce qui est nécessaire pour les finalités pour lesquelles les données sont traitées dans le pays tiers ;
(ii) Identifiez les mécanismes de transfert. la deuxième étape consiste à vérifier sur base de quel mécanisme se fonde le transfert. Il peut s’agir d’une décision d’adéquation (e. a. pour le Canada, la Suisse, le Japon, …), des garanties adéquates prévues à l’article 46 du RGPD (SCC’s, règles d’entreprise contraignantes, codes de conduite et certification) ou des exceptions spécifiques ponctuelles prévues à l’article 49 du RGPD (e. a. transferts qui sont nécessaires pour l’exécution ou en vue de la conclusion d’un contrat ou ceux qui interviennent sur base du consentement exprès de l’intéressé) ;
(iii) Evaluez l’efficacité des mécanismes de transfert. Si le transfert se fonde sur les garanties adéquates prévues à l’article 46 du RGPD, il convient de vérifier si ces garanties adéquates sont bien efficaces au regard de la législation relative à la vie privée applicable dans le pays tiers concerné, et plus particulièrement au regard de la possibilité d’ingérence d’une autorité dans le traitement de données. Afin de mener à bien l’analyse de la législation dans le pays tiers, le Comité Européen de la Protection des Données a déterminé quatre « Garanties européennes essentielles » qui doivent être contrôlées dans le pays tiers :
• Le traitement doit se fonder sur des règles claires, précises et accessibles ;
• Le traitement doit être nécessaire et proportionnel au regard du but légitime qui est visé ;
• Il doit exister un mécanisme de contrôle indépendant dans le pays tiers ;
• Un moyen de recours efficace doit être disponible pour les personnes dont les données sont traitées.
(iv) Appliquez des mesures supplémentaires. S’il apparait, de la troisième étape, que la législation relative à la vie privée dans le pays destinataire en dehors de l’EEE ne satisfait pas aux « Garanties européennes essentielles », une ou plusieurs mesure(s) supplémentaire(s) doi(ven)t être appliquée(s). Le Comité Européen de la Protection des Données donne quelques exemples de mesures, réparties en trois catégories :
• Mesures techniques : cryptage, pseudonymisation, …
• Mesures contractuelles : l’obligation pour l’importateur de données de prendre également lui-même certaines mesures techniques (comme p. ex. le cryptage), obligations de transparence (p. ex. obligation pour l’importateur de données d’énumérer la législation dans le pays destinataire en matière d’accès des autorités aux données, en annexe du contrat), la compétence des exportateurs de données d’effectuer des audits afin de vérifier si les données sont transmises au gouvernement, l’obligation de contester les requêtes d’accès du gouvernement en justice, un devoir de notification pour l’importateur ou l’exportateur de la requête du gouvernement à l’exportateur et à la personne concernée dont les données ont été transmises, …
• Mesures organisationnelles : politiques intra-groupe pour les transferts de données à caractère personnel entre les entreprise d’un même groupe, politiques internes relatives à la procédure à suivre en cas de requête du gouvernement (impliquant la mise en place d’une équipe au sein de l’EEE devant évaluer les requêtes gouvernementales), politiques en matière de vie privée fondées sur les normes ISO, …
(v) Contrôlez les formalités. Ensuite, certaines formalités doivent encore éventuellement être accomplies en fonction du mécanisme de transfert utilisé. Si le transfert se fonde sur des SCC’s et que certaines clauses ont été ajoutées au titre de mesure supplémentaire, lesquelles contredisent directement ou indirectement les SCC’s, l’approbation de l’Autorité de Protection des Données doit alors préalablement être recueillie;
(vi) Evaluez. Enfin, le transfert vers des pays tiers doit être à nouveau évalué en temps utiles afin de s’assurer du fait que le niveau de protection reste garanti.
Projet de nouvelles « standard contractual clauses »
Enfin, la Commission Européenne a publié le 12 novembre 2020 un projet de nouvelles clauses contractuelles types (SCC’s), pour lesquelles une période de « feedback » court jusqu’au 10 décembre 2020. Les nouvelles SCC’s sont, entre autres, adaptées sur base de l’arrêt Schrems II et ne prévoient pas, pour la première fois, uniquement des clauses qui émanent d’un responsable du traitement mais également des clauses pour le transfert de données de « responsable du traitement » à « responsable du traitement ».
La version définitive des nouvelles SCC’s peut être attendue début 2021 et, à partir de ce moment-là, il y aura une période transitoire d’un an. Durant cette période transitoire, les anciennes SCC’s dans les contrats existants resteront valables pour autant que les parties ne modifient pas les contrats. Pour les nouvelles conventions de traitement et pour les modifications des contrats existants, les nouvelles SCC’s devront, en revanche, immédiatement être utilisées (à moins qu’il ne s’agisse simplement d’une modification en vue d’introduire des mesures supplémentaires afin d’offrir un niveau de protection des données équivalent).