Transferts en dehors de l'UE - sans protection adéquate
Lorsqu’un pays n’est pas reconnu comme offrant un niveau de protection adéquat, il existe différentes possibilités offertes par l’article 46 du RGPD pour un transfert de données : signer un modèle de contrat-type mis à disposition par la Commission Européenne ou mettre en place des règles d’entreprise contraignantes. Il existe également la possibilité de faire appel à certaines dérogations définies par l’article 49 du RGPD.
Attention, les responsables de traitement et sous-traitants agissant comme exportateurs de données doivent toujours vérifier au cas par cas et, si nécessaire, en collaboration avec l’importateur de données du pays-tiers, si le cadre juridique du pays tiers ne limite pas l’efficacité des garanties appropriées contenues dans les outils de transfert de l’article 46 du RGPD. S’il existe un risque que ces garanties ne soient pas effectives, il existe toujours la possibilité pour l’exportateur de données de mettre en place des «mesures supplémentaires» afin d’assurer l’effectivité des garanties et un niveau de protection des données essentiellement équivalent à celui offert au sein de l’Union Européenne.
Si les garanties offertes par un des outils de transfert de l’article 46 du RGPD ne sont pas ou ne peuvent pas être respectées dans le pays tiers, et que la protection des données transférées, requise par le droit de l’Union ne peut pas être assurée par d’autres moyens, l’exportateur établi dans l’UE doit lui-même suspendre ou mettre fin au dit transfert. Si tel n'est pas le cas, les autorités de contrôle nationales doivent le faire si elles l’estiment nécessaire.
Pour aider les exportateurs de données à identifier les situations dans lesquelles les garanties offertes par les outils de transfert de l’article 46 du RGPD pourraient être compromises par le cadre juridique du pays tiers, et pour les aider à déterminer quelles sont les mesures supplémentaires à mettre en place, l’APD a contribué au sein de l’EDPB à l’adoption de la Recommandation 01/2020 et de la Recommandation 02/2020.
Il existe une série de dérogations permettant le transfert de données vers des pays n'assurant pas un niveau de protection adéquat. En vue d'assurer la sécurité juridique des acteurs économiques, la pratique nationale dans l'Union européenne est de requérir l'application de ces dérogations aux transferts vers des pays tiers non reconnus comme offrant un niveau de protection adéquat même s'ils n'ont pas formellement été identifiés comme n'offrant pas un tel niveau. Parmi ces dérogations existe la possibilité pour le responsable du traitement d'offrir lui-même, par la voie contractuelle, une protection appropriée. La protection peut ainsi être assurée au moyen d’un contrat liant celui qui envoie les données et celui qui les reçoit et contenant des garanties suffisantes au regard de la protection des données.
1. Modèles de contrats-types de la Commission européenne
Ces nouvelles clauses remplacent les « anciennes » décisions (2001/497/EC et 2010/87/EU) et permettent de mettre en place des garanties appropriées pour les transferts de données vers un pays tiers qui ne bénéficie pas d’une décision d’adéquation. Ces clauses peuvent être utilisées pour apporter des garanties appropriées aux transferts de données personnelles :
- exportées par un responsable du traitement soumis au RGPD vers un sous-traitant;
- exportées par un responsable du traitement soumis au RGPD vers un autre responsable du traitement ;
- exportées par un sous-traitant soumis au RGPD vers un sous-traitant ;
- exportées par un sous-traitant soumis au RGPD vers un responsable du traitement
En cas de questions, veuillez consulter les FAQ sur les clauses contractuelles types publiées par la Commission européenne.
Attention : ces clauses ne doivent être mises en place que si l’importateur des données ne tombe pas dans le champ d’application du RGPD. Par exemple : un responsable du traitement établi en dehors de l’Union européenne qui offre des services dans l’Union européenne et collecte des données dans ce cadre, ne devra pas mettre en place de clauses types entre l’exportateur des données et lui-même puisque ce dernier est déjà soumis au RGPD. Par contre, si le responsable du traitement établi dans un pays tiers et auquel le RGPD s’applique transfère des données vers un autre responsable du traitement et/ou sous-traitant en dehors de l’Union européenne, il devient « exportateur de données » et devra donc mettre en place des clauses « responsable du traitement vers responsable du traitement » et/ou « responsable du traitement vers sous-traitant ».
Ligne de temps
- Les nouvelles clauses peuvent être utilisées à partir du 27 juin 2021 ;
- Les anciennes clauses peuvent encore être utilisées dans les nouveaux contrats pendant trois mois à partir du 27 juin ;
- Les anciennes clauses actuellement intégrées dans les contrats restent valides pendant 15 mois à partir du 27 juin (approximativement décembre 2022).
En résumé
L’APD insiste sur l’importance de d’ores et déjà prendre connaissance et de commencer la mise en place des nouvelles clauses qui requièrent des adaptation importantes des procédures des responsables du traitement et sous-traitants.
Les parties aux transferts doivent toujours pouvoir démontrer que ces clauses contractuelles assurent que les données personnelles transférées bénéficient d’un niveau substantiellement équivalent à celui qui est garanti dans l’Union européenne. Si cette garantie ne peut être apportée alors le transfert ne doit pas avoir lieu ou doit être suspendu.
Ces clauses ne doivent pas être soumises à l’APD pour approbation, leur mise en place et utilisation reposent sur le régime de responsabilisation (« accountability ») des responsables du traitement et sous-traitants
N'hésitez pas à nous adresser vos questions sur la mise en place de ces clauses.
2. Clauses contractuelles proposées par l'entreprise
Si le responsable du traitement n’opte pas pour un modèle de la Commission européenne, il peut néanmoins rédiger ses propres clauses contractuelles (clauses ad hoc) qui devront apporter des garanties suffisantes au regard de la protection des données. Ces clauses doivent conformémentà l'article 46.3 a) RGPD être autorisées par l'APD et soumises conformément à l'article 46.4 RGPD au mécanisme de cohérence c'est-à-dire que ces clauses devront être approuvées par l'EDPB.
Il existe certaines "exceptions" qui permettent le flux de données vers des pays tiers mais qui ne peuvent être utilisées qu'en l'absence de décision d'adéquation ou de garanties appropriées y compris des règles d'entreprise contraignantes (article 49.1 du RGPD).
C’est notamment le cas lorsque les personnes concernées donnent leur consentement indubitable au transfert de leurs données vers un tel pays, ou lorsque le transfert est nécessaire pour exécuter un contrat avec la personne concernée, ou lorsque les données proviennent d’un registre public destiné à l’information du public (annuaire téléphonique, registre du commerce, par exemple). Ces exceptions doivent être interprétées de manière restrictive et ne peuvent constituer un cadre normal de flux de données, notamment lorsque ceux-ci sont massifs ou répétitifs. Pour ce type de flux, il convient de trouver rapidement une solution contractuelle. En effet, dans cette hypothèse, le destinataire des données prend des engagement juridiques afin d'assurer une protection des données transférées et d'offrir des garanties juridiques pour les citoyens.
Tous les transferts de données personnelles depuis l’UE vers un pays tiers ou à une organisation internationale doivent garantir aux personnes concernées un niveau de protection adéquat (art. 44 du RGPD). Ce niveau de protection adéquat peut être garanti par différents mécanismes, dont les règles d’entreprise contraignantes (souvent désignées par l’acronyme anglais « BCR » pour « Binding Corporate Rules ») au sens de l'article 47 du RGPD.
Les BCR concernent surtout des entreprises multinationales qui sont implantées dans différents pays européens et en dehors de l’Union européenne.
Lisez ici comment soumettre des règles d'entreprise contraignantes.
Vous considérez le transfert de données personnelles en dehors de l'UE? Suivez l'infographie développée par le Comité Européen de la Protection des données (aussi appelé EDPB) pour vous assurer de n'avoir manqué aucune étape :
