Des transferts internationaux de données personnelles pas si « standard » que ça ! Qu’en est-il des vôtres ?

Un transfert de données à caractère personnel en dehors de l’Espace Economique Européen (c’est-à-dire les pays membres de l’Union Européenne, ainsi que l’Islande, la Norvège et le Liechtenstein) n’est possible que dans certaines conditions, notamment lorsque les parties qui transmettent et reçoivent ces données utilisent les clauses contractuelles « standard » rédigées par la Commission européenne pour encadrer ces échanges.

En substance, il s’agit de « formulaires-types » qui varient selon que les parties concernées sont des responsables du traitement ou des sous-traitants au sens du Règlement Général européen sur la Protection des Données (RGPD) et que les parties ne peuvent compléter qu’avec les modalités pratiques du traitement correspondant, à l’instar des catégories de données concernées, sans pouvoir pour autant modifier les clauses contractuelles en question. Ce faisant, le destinataire de ces données situé à l’étranger offre normalement un « niveau adéquat de protection ». Il s’agit là d’un dispositif très courant, notamment dans les échanges avec des prestataires de services bien connus qui sont établis aux Etats-Unis.

Or, cette façon de procéder est remise en question à la suite d’un arrêt rendu en juillet 2020 par la Cour de justice de l’Union Européenne (CJUE), ainsi que l’autorité bavaroise de protection des données l’a récemment rappelé, à ses dépens, à une entreprise qui utilisait la populaire plate-forme de services marketing Mailchimp. Cette entreprise allemande croyait pouvoir s’appuyer sur les clauses contractuelles standard précitées pour permettre le transfert de données vers les Etats-Unis. Or, l’autorité bavaroise de protection des données a considéré que l’entreprise en question n’avait pas assez évalué le risque de voir ces données « maltraitées » aux Etats-Unis, nonobstant la signature de ces clauses contractuelles, et, partant, de n’avoir pas pris de mesures supplémentaires pour garantir un transfert adéquat de ces données.

De fait, dans son arrêt rendu le 16 juillet 2020 (dit l’arrêt Schrems II, du nom de cet activiste autrichien militant pour la protection des données personnelles), la CJUE a non seulement invalidé le « Privacy Shield », du nom de cet autre mécanisme qui visait à encadrer spécifiquement les transferts de données entre l’Union Européenne et les Etats-Unis, mais a également remis en question l’application « mécanique » des clauses contractuelles standard si leur adoption ne s’accompagne pas de mesures supplémentaires pour s’assurer d’être en conformité avec le RGPD.

A cet égard, il est utile d’examiner les recommandations adoptées peu après par l’organe consultatif européen indépendant sur la protection des données et de la vie privée, le Comité européen de la protection des données (CEPD). On y relève, par exemple, dans leur annexe 2 les mesures techniques qui pourraient être efficaces dans certains scénarios pour garantir un niveau de protection essentiellement équivalent (à l’instar d’un traitement « fractionné » ou « multipartite »), ainsi que quelques scénarios dans lesquels aucune mesure technique n’a pu être trouvée pour garantir ce niveau de protection (à l’instar d’un accès à distance aux données à des fins professionnelles).

Précisément, qu’en est-il de vos transferts internationaux de données personnelles ? Satisfont-ils toujours aux derniers enseignements de la CJUE et du CEPD ?

La période estivale à venir pourrait être là l’occasion de (re)faire cet exercice.

Enfin, il convient de souligner que de nouvelles clauses contractuelles standard, qui tiennent compte de l’arrêt Schrems II, sont en cours d’adoption. Stay tuned !

Kathryn Barette

Les recommandations précitées du CEPD du 10 novembre 2020 sont disponibles ici :

https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_fr

La décision de l’autorité bavaroise de protection des données est disponible ici :

https://edpb.europa.eu/news/national-news/2021/bavarian-dpa-baylda-calls-german-company-cease-use-mailchimp-tool_en

La dernière version des nouvelles clauses contractuelles standard est disponible ici :https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Data-protection-standard-contractual-clauses-for-transferring-personal-data-to-non-EU-countries-implementing-act-_en