Transferts en dehors de l'UE - sans protection adéquate

Lorsqu’un pays n’est pas reconnu comme offrant un niveau de protection adéquat, il existe différentes possibilités offertes par l’article 46 du RGPD pour un transfert de données : signer un modèle de contrat-type mis à disposition par la Commission Européenne ou mettre en place des règles d’entreprise contraignantes. Il existe également la possibilité de faire appel à certaines dérogations définies par l’article 49 du RGPD.


Attention, les responsables de traitement et sous-traitants agissant comme exportateurs de données doivent toujours vérifier au cas par cas et, si nécessaire, en collaboration avec l’importateur de données du pays-tiers, si le cadre juridique du pays tiers ne limite pas l’efficacité des garanties appropriées contenues dans les outils de transfert de l’article 46 du RGPD. S’il existe un risque que ces garanties ne soient pas effectives, il existe toujours la possibilité pour l’exportateur de données de mettre en place des «mesures supplémentaires» afin d’assurer l’effectivité des garanties et un niveau de protection des données essentiellement équivalent à celui offert au sein de l’Union Européenne.

Si les garanties offertes par un des outils de transfert de l’article 46 du RGPD  ne sont pas ou ne peuvent pas être respectées dans le pays tiers, et que la protection des données transférées, requise par le droit de l’Union ne peut pas être assurée par d’autres moyens, l’exportateur établi dans l’UE doit lui-même suspendre ou mettre fin au dit transfert. Si tel n'est pas le cas, les autorités de contrôle nationales doivent le faire si elles l’estiment nécessaire.

Pour aider les exportateurs de données à identifier les situations dans lesquelles les garanties offertes par les outils de transfert de l’article 46 du RGPD pourraient être compromises par le cadre juridique du pays tiers, et pour les aider à déterminer quelles sont les mesures supplémentaires à mettre en place, l’APD a contribué au sein de l’EDPB à l’adoption de la Recommandation 01/2020 et de la Recommandation 02/2020.
                                                          

Il existe une série de dérogations permettant le transfert de données vers des pays n'assurant pas un niveau de protection adéquat. En vue d'assurer la sécurité juridique des acteurs économiques, la pratique nationale dans l'Union européenne est de requérir l'application de ces dérogations aux transferts vers des pays tiers non reconnus comme offrant un niveau de protection adéquat même s'ils n'ont pas formellement été identifiés comme n'offrant pas un tel niveau. Parmi ces dérogations existe la possibilité pour le responsable du traitement d'offrir lui-même, par la voie contractuelle, une protection appropriée. La protection peut ainsi être assurée au moyen d’un contrat liant celui qui envoie les données et celui qui les reçoit et contenant des garanties suffisantes au regard de la protection des données.

1. Modèles de contrats-types de la Commission européenne

Ces nouvelles clauses remplacent les « anciennes » décisions (2001/497/EC et 2010/87/EU) et permettent de mettre en place des garanties appropriées pour les transferts de données vers un pays tiers qui ne bénéficie pas d’une décision d’adéquation. Ces clauses peuvent être utilisées pour apporter des garanties appropriées aux transferts de données personnelles :

  • exportées par un responsable du traitement soumis au RGPD vers un sous-traitant;
  • exportées par un responsable du traitement soumis au RGPD vers un autre responsable du traitement ;
  • exportées par un sous-traitant soumis au RGPD vers un sous-traitant ;
  • exportées par un sous-traitant soumis au RGPD vers un responsable du traitement

Attention : ces clauses ne doivent être mises en place que si l’importateur des données ne tombe pas dans le champ d’application du RGPD. Par exemple : un responsable du traitement établi en dehors de l’Union européenne qui offre des services dans l’Union européenne et collecte des données dans ce cadre, ne devra pas mettre en place de clauses types entre l’exportateur des données et lui-même puisque ce dernier est déjà soumis au RGPD. Par  contre, si le responsable du traitement établi dans un pays tiers et auquel le RGPD s’applique transfère des données vers un autre responsable du traitement et/ou sous-traitant en dehors de l’Union européenne, il devient « exportateur de données » et devra donc mettre en place des clauses « responsable du traitement vers responsable du traitement » et/ou « responsable du traitement vers sous-traitant ».   

Ligne de temps

  • Les nouvelles clauses peuvent être utilisées à partir du 27 juin 2021 ;
  • Les anciennes clauses peuvent encore être utilisées dans les nouveaux contrats pendant trois mois à partir du 27 juin ;
  • Les anciennes clauses actuellement intégrées dans les contrats restent valides pendant 15 mois à partir du 27 juin (approximativement décembre 2022).

En résumé

L’APD insiste sur l’importance de d’ores et déjà prendre connaissance et de commencer la mise en place des nouvelles clauses qui requièrent des adaptation importantes des procédures des responsables du traitement et sous-traitants.

Les parties aux transferts doivent toujours pouvoir démontrer que ces clauses contractuelles assurent que les données personnelles transférées bénéficient d’un niveau substantiellement équivalent à celui qui est garanti dans l’Union européenne. Si cette garantie ne peut être apportée alors le transfert ne doit pas avoir lieu ou doit être suspendu.

Ces clauses ne doivent pas être soumises à l’APD pour approbation, leur mise en place et utilisation reposent sur le régime de responsabilisation (« accountability ») des responsables du traitement et sous-traitants

N'hésitez pas à nous adresser vos questions sur la mise en place de ces clauses.

2. Clauses contractuelles proposées par l'entreprise

Si le responsable du traitement n’opte pas pour un modèle de la Commission européenne, il peut néanmoins rédiger ses propres clauses contractuelles (clauses ad hoc) qui devront apporter des garanties suffisantes au regard de la protection des données. Ces clauses doivent conformémentà l'article 46.3 a) RGPD être autorisées par l'APD et soumises conformément à l'article 46.4 RGPD au mécanisme de cohérence c'est-à-dire que ces clauses devront être approuvées par l'EDPB.

Il existe certaines "exceptions" qui permettent le flux de données vers des pays tiers mais qui ne peuvent être utilisées qu'en l'absence de décision d'adéquation ou de garanties appropriées y compris des règles d'entreprise contraignantes (article 49.1 du RGPD).

C’est notamment le cas lorsque les personnes concernées donnent leur consentement indubitable au transfert de leurs données vers un tel pays, ou lorsque le transfert est nécessaire pour exécuter un contrat avec la personne concernée, ou lorsque les données proviennent d’un registre public destiné à l’information du public (annuaire téléphonique, registre du commerce, par exemple). Ces exceptions doivent être interprétées de manière restrictive et ne peuvent constituer un cadre normal de flux de données, notamment lorsque ceux-ci sont massifs ou répétitifs. Pour ce type de flux, il convient de trouver rapidement une solution contractuelle. En effet, dans cette hypothèse, le destinataire des données prend des engagement juridiques afin d'assurer une protection des données transférées et d'offrir des garanties juridiques pour les citoyens.

Tous les transferts de données personnelles réalisés en dehors de l’Union européenne doivent garantir aux personnes concernées un niveau de protection adéquat (art. 44 du RGPD). Ce niveau de protection adéquat peut être garanti par différents mécanismes dont les BCR (art. 47 du RGPD). Les BCR permettent à des entreprises au sein d’un même groupe d’entreprises d’échanger des données hors de l’Union européenne sans que le niveau de protection des personnes garanti par le RGPD ne soit compromis.

Quelle est la procédure ?

Étape 1

Vous êtes responsable de traitement ? Complétez le formulaire WP264
Vous êtes sous-traitant ? Complétez le formulaire WP265.

Étape 2

Dans la section 1.3 du formulaire WP264 ou le WP265 mentionné à l’étape 1 vous devez désigner une autorité « compétente » (art. 64 RGPD) et justifier votre choix conformément aux critères énoncés au point 1.2 du WP263 rev.01 (document en annexe). Vous fournissez à l’autorité désignée les informations listées au point 1.5 du WP263 rev.01 (document en annexe).

Étape 3
2 semaines
(+ max. 2 semaines

L'autorité désignée prend une décision sur sa compétence. Elle peut, le cas échéant, vous demander des informations complémentaires. Si elle s’estime compétente pour examiner les BCR, elle informe les autres autorités concernées  de sa décision. Les autorités concernées ont deux semaines pour émettre des objections sur sa compétence.

Dans le contexte d’une procédure BCR, les autorités de protection des données concernées sont:
• Dans le cadre de règles d’entreprise contraignantes pour les responsables de traitement : toutes les autorités des pays à partir desquels des transferts sont opérés par le demandeur.
• Dans le cadre de règles d’entreprise contraignantes pour les sous-traitants: toutes les autorités sont concernées.

1 mois Si l’autorité désignée par le demandeur estime qu’elle n’est pas compétente, elle motive sa décision et recommande une autorité plus appropriée en concertation avec les autres autorités concernées
Étape 4
Pas de délais Si les autorités concernées n’ont pas émis d’objections à la compétence de l’autorité désignée par le demandeur dans le délai de deux semaines, l'autorité désignée est considérée comme « compétente » pour mener la procédure BCR. Elle désigne une ou deux autorités d’appui (co-reviewer(s) - deux autorités d’appui seront désignées si 14 ou plus de 14 Etats membres sont concernés par les transferts) puis commence l'examen des BCR au regard des critères listés par le WP256 (pour les responsables de traitements) et par le WP257 (pour les sous-traitants).
1 mois Lorsque l’autorité « compétente » estime que les BCR sont conformes aux critères listés dans les lignes directrices du WP256 (pour les responsables de traitements) et par le WP257 (pour les sous-traitants), elle envoie les BCR aux autorités d’appui (co-reviewer(s)). A partir de l’envoi par l’autorité « compétente » des BCR, la ou les autorité(s) d’appui ont un mois pour transmettre à l’autorité « compétente » leurs objections éventuelles quant à la conformité des règles. Si elles émettent des objections, l’autorité « compétente » les transmettra au demandeur.
Étape 5
Max 1 mois   Lorsque l’autorité « compétente » et les autorités d’appui s’accordent sur le fait  que les BCR assurent un niveau de protection adéquat, l’autorité « compétente » transmet les règles à l’ensemble des autorités concernées pour leur commentaires et/ou objections éventuels. Cette consultation ne dure pas plus d’un mois.
Pas de délais     Si les autorités de protection des données concernées émettent des objections, l’autorité « compétente » les transmettra au demandeur
Étape 6
8 semaines
(+ max 6 semaines)
Si les autorités de protection des données concernées n’émettent aucune objection sur les règles d'entreprise contraignantes, et que le Secrétariat Général de l'APD approuve la décision consolidée, l’autorité « compétente » transmet sa décision et les informations pertinentes au Comité Européen de la Protection des Données (ci-après « EDPB ») qui rend un avis conformément à l’article 64.3 du RGPD et l’article 10 de ses règles de procédure dans un délai de 8 semaines, prolongeable de 6 semaines.
Pas de délais a. si l’EDPB approuve les BCR, elles peuvent être adoptées par l’autorité « compétente » ;
b. si l'EDPB estime que des amendements sont nécessaires, l’autorité « compétente » les communique au demandeur.
Étape 7
Pas de délais

Lorsque les BCR seront approuvées par l’autorité « compétente », elles seront communiquées à l’ensemble des autorités concernées.

Vous considérez le transfert de données personnelles en dehors de l'UE? Suivez l'infographie développée par le Comité Européen de la Protection des données (aussi appelé EDPB) pour vous assurer de n'avoir manqué aucune étape :

 

Liens intéressants