Transferts de données à l’international : les règles du jeu changent

Depuis l’arrêt Schrems II de juillet 2020, le transfert de données à l’international réclame l’adaptation des clauses contractuelles types. Des actions doivent être mises en œuvre, dont la pseudonymisation et le chiffrement, pour respecter le nouveau cadre légal. Voici les conseils d’Emmanuel Ronco et Camille Larreur, avocats au cabinet Eversheds Sutherland, spécialistes du sujet.

Question : comment sont organisés les transferts des données vers un autre pays ?
Réponse :
les transferts de données personnelles vers des pays situés en dehors de l’Espace Economique Européen sont encadrés par le RGPD. Ces transferts peuvent avoir lieu sans restriction vers certains pays pour lesquels la Commission Européenne a adopté une décision d’adéquation. Les transferts de données qui se font avec le consentement des personnes concernées peuvent aussi être réalisés sans contrainte supplémentaire, mais devraient toutefois n’être que ponctuels. Dans tous les autres cas, le RGPD impose la mise en place d’un instrument de transfert permettant d’offrir certaines garanties aux personnes dont les données sont transférées. La Commission européenne a adopté une décision d’adéquation avec Andorre, l’Argentine, les organisations commerciales au Canada, les Iles Féroé, Guernesey, Israël, l’Ile de Man, le Japon, la Nouvelle Zélande, le Royaume-Uni, la Suisse et l’Uruguay.

il faut des mesures techniques telles que le chiffrement ou la pseudonymisation des données

Question : quel est le rôle des clauses contractuelles depuis l’arrêt Schrems II ?
Réponse :
les clauses contractuelles types sont à conclure entre l’exportateur et l’importateur des données. Elles sont l’instrument le plus fréquemment utilisé pour le transfert de données. Elles correspondent à un modèle émis par la Commission Européennes. Néanmoins, depuis l’arrêt Schrems II de la Cour de Justice de l’Union Européenne du 16 juillet 2020, ces clauses ne sont plus suffisantes à elles seules. Il est désormais également nécessaire de vérifier que le pays destinataire assure une protection des données équivalente à celle prévue par le droit européen. Lorsque ce n’est pas le cas, il faut mettre en place des garanties complémentaires, en particulier des mesures techniques telles que le chiffrement ou la pseudonymisation des données.



Question : faut-il modifier ces clauses contractuelles ?
Réponse :
des nouvelles clauses contractuelles types, adaptées au RGPD et à l’arrêt Schrems II, ont été adoptées par la Commission Européenne en juin 2021. Les entreprises devront utiliser ces clauses pour les transferts initiés à compter du 27 septembre 2021 et, pour les transferts existants à cette date, veiller à remplacer les clauses existantes par ces nouvelles clauses avant le 27 décembre 2022. Cela peut représenter un exercice considérable dans certaines entreprises qui ont déjà conclu des centaines de clauses contractuelles types.

Les sanctions peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial

Question : quels sont les risques en cas de non-conformité aux règles sur les transferts ?
Réponse :
les autorités de protection des données peuvent imposer des sanctions lorsqu’un instrument tels que les clauses contractuelles types ou des mesures complémentaires appropriées s’avèrent nécessaires mais ne sont pas utilisés, voire simplement pas suffisamment documentés, Les sanctions peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Comme sanction, il est aussi possible de suspendre ou interdire les transferts de données. Cela peut avoir des conséquences opérationnelles significatives pour des entreprises multinationales. Les personnes concernées peuvent également engager des actions individuelles ou de groupe, notamment en France contre les entités qui transfèrent leurs données de manière illicite. Il existe enfin des risques de dommages réputationnels pour l’entreprise en cas de violation du RGPD.

Question : comment les entreprises peuvent-elles procéder pour se mettre en conformité ?
Réponse :
différentes actions devront toujours être mises en œuvre pour assurer la légalité des transferts de données en dehors de l’Union Européenne. La première étape consistera toujours en une cartographie des flux de données personnelles, afin d’identifier les pays destinataires et les instruments de transfert appropriés. Une analyse du régime juridique des pays de destination devra  être menée. Une fois que les risques liés aux transferts sont identifiés, les mesures techniques adaptées devront souvent être mises en œuvres et documentées en cas de contrôle.

Il existe des solutions technologiques de « legal techs » ou qui sont en cours d’être mises au point

Question : quels sont les scénarios les plus simples ?
Réponse :
il y a les transferts dont on pense a priori qu’ils ne présenteront pas de difficultés particulières. Cela arrive quand le régime juridique ou les pratiques en vigueur ne créent pas de risque spécifique, ou parce que des mesures telles que le chiffrement ou la pseudonymisation peuvent être prises. Il conviendra tout de même de réaliser une analyse juridique et la documenter pour pouvoir la fournir aux autorités de contrôle. Dans ce cas, il peut exister des systèmes permettant de mener l’analyse et d’identifier les mesures pertinentes de manière rapide en utilisant des études de pays existantes sous réserve qu’elles soient régulièrement mises à jour, des modèles ou des formulaires types. Il existe des solutions technologiques de « legal techs » ou qui sont en cours d’être mises au point. Elles utilisent des outils d’extraction de données pour identifier les flux, analyser les risques et générer des rapports ou des clauses contractuelles types pour faciliter ces processus.


Question : quels sont les cas les plus complexes ?
Réponse :
les transferts plus problématiques ou dont l’importance est très significative pour l’entreprise nécessiteront une analyse plus poussée ou sur-mesure. C’est le cas par exemple lors des transferts de données vers des pays dont on sait qu’ils ont des régimes et des pratiques intrusives ou pour lesquels le chiffrement ou la pseudonymisation ne sont pas adaptés. Dans ce cas, les juristes internes ou le délégué à la protection des données (DPD) pourront utilement faire appel à des conseils qui devront mêler les connaissances des exigences européennes avec celles des lois et de la pratique du pays où les données seront exportées pour réduire les risques tout en prenant en compte les besoins opérationnels de l’entreprise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *