Transfert de données à caractère personnel en dehors de l’EEE - Nouvelles standard contractual clauses en vigueur à compter d’hier et update du EDPB !

A compter d’hier, 27 juin 2021, les entreprises peuvent faire usage des nouvelles clauses contractuelles types de la Commission Européenne (« standard contractual clauses » ou « SCC’s »), attendues depuis longtemps, comme garantie adéquate pour transférer des données à caractère personnel vers des pays en dehors de l’Espace Economique Européen (EEE). En outre, le 18 juin 2021, le Comité Européen de la Protection des Données (« European Data Protection Board » ou « EDPB ») a mis à jour ses recommandations quant aux mesures supplémentaires que les responsables du traitement doivent prendre.

1. Récapitulatif

Les données à caractère personnel ne peuvent être transférées vers des pays en dehors de l’EEE que si des ‘garanties appropriées sont offertes et que les personnes concernées disposent de droits opposables et de voies de recours effectives. Des garanties appropriées peuvent consister en l’usage des clauses contractuelles types (en anglais « Standard Contractual Clauses » ou SCC’s) en matière de protection des données approuvées par la Commission Européenne. En pratique, ces SCC’s représentent le mécanisme de transfert existant le plus évident lorsqu’il n’existe pas de décision d’adéquation pour le pays tiers concerné. C’est, entre autres, le cas pour les transferts de données vers les USA depuis que le Privacyshield UE-USA a été déclaré invalide par l’arrêt Schrems II (vous pouvez lire plus à ce sujet via le lien suivant).

En novembre 2020, la Commission Européenne a ensuite publié un projet de nouvelles SCC’s et le Comité Européen de la Protection des Données a adopté des recommandations quant aux mesures supplémentaires qui peuvent être prises lorsqu’il apparait que le cadre légal du pays tiers n’offre pas une protection équivalente (vous pouvez lire plus à ce sujet via le lien suivant).

2. Nouvelles clauses contractuelles types (SCC’s)

Le 7 juin 2021, la version définitive des nouvelles SCC’s a été publiée au Journal officiel de l’Union Européenne. D’une part, les nouvelles SCC’s contiennent des dispositions générales qui sont adaptées au langage du RGPD et, d’autre part, les nouvelles SCC’s comprennent quatre « modules » de manière à ce qu’il soit tenu compte des différents scénarios de transfert :

  • Le module 1 concerne le scénario de transferts de responsables du traitement vers des responsables du traitement ;
  • Le module 2 concerne le scénario de transferts de responsables du traitement vers des sous-traitants ;
  • Le module 3 concerne le scénario de transferts de sous-traitants vers des sous-traitants ;
  • Le module 4 concerne le scénario de transferts de sous-traitants vers des responsables du traitement.

Ces modules représentent une importante amélioration par rapport aux anciennes SCC’s qui ne couvraient que les deux premières situations. A des fins de transparence du traitement, ces modules contiennent également le droit des personnes concernées de recevoir une copie des SCC’s.

De plus, les nouvelles SCC’s comprennent trois annexes :

  • L’annexe 1 et la disposition dite « docking » permettent à plusieurs parties d’adhérer à la convention, ce qui est utile pour les transferts de données intragroupe ;
  • L’annexe 2 permet aux parties de reprendre une liste des mesures techniques et organisationnelles qu’elles ont prises afin de garantir un niveau de protection adéquat au sens de l’arrêt Schrems II. L’annexe contient également quelques exemples à des fins d’inspiration (comme l’utilisation de pseudonymes, la protection physique des localisations, l’identification et l’autorisation d’utilisateurs,…) ;
  • L’annexe 3 permet de reprendre une liste de sous-traitants ultérieurs (à compléter dans les modules 2 et 3). 

Enfin, les nouvelles SCC’s contiennent également les dispositions dites « Schrems II » avec les obligations, pour les importateurs de données dans des pays tiers, lorsqu’une instance gouvernementale aurait accès aux données à caractère personnel européennes.

En ce qui concerne le timing, les anciennes SCC’s cessent d’être en vigueur le 27 septembre 2021. Ainsi, à compter d’aujourd’hui, vous avez encore le choix pendant trois mois entre les anciennes et les nouvelles SCC’s si vous concluez de nouvelles conventions. Pour les conventions existantes, vous avez jusqu’au 27 septembre 2022 pour remplacer les anciennes SCC’s par les nouvelles SCC’s mais rien ne vous contraint d’effectuer dès aujourd’hui cette mise à jour.

3. Mise à jour des recommandations du Comité Européen de la Protection des Données

En outre, lorsque les entreprises utilisent les nouvelles SCC’s, elles doivent toujours, en conséquence de l’arrêt Schrems II, vérifier si des garanties adéquates sont bien efficaces au regard de la législation « privacy » dans le pays tiers concerné (et prendre des mesures supplémentaires lorsque les garanties adéquates ne semblent pas efficaces). Le Comité Européen de la Protection des Données a mis à jour ses Recommandations n° 01/2020 à ce sujet le 18 juin 2021 et fournit, par ce biais, des explications supplémentaires afin de mener à bien l’analyse de la législation dans le pays tiers, la « data transfer impact assessment » :

  • Dans votre analyse, vous devez accorder une attention particulière à toutes les lois pertinentes qui déterminent les conditions afin de divulguer des données à caractère personnel à des autorités publiques ou de donner la compétence à ces autorités publiques d’accéder à des données à caractère personnel (p. ex. législation en matière de sanctions pénales, de sécurité nationale, etc.) ;
  • Les obligations ou compétences qui découlent de cette législation sont considérées porter atteinte à l’efficacité des garanties adéquates et donc « problématiques » si (i) elles ne respectent pas l’essence des droits et libertés fondamentaux de la Charte des droits fondamentaux de l’Union européenne ou (ii) si elles vont plus loin que ce qui est nécessaire et proportionné dans une société démocratique afin de garantir les finalités importantes de l’intérêt général de l’UE ou d’un Etat membre, comme la sécurité nationale, la défense nationale, la sécurité publique, la poursuite d’infractions pénales, etc.
  • Votre analyse doit être basée, en premier lieu, sur la législation publique disponible mais, ensuite, vous devez également tenir compte des pratiques dans le pays tiers :
    • Si la législation pertinente offre une protection insuffisante ou offre une protection formelle suffisante mais n’est, en pratique, pas appliquée, le transfert de données doit alors être suspendu ou des mesures supplémentaires doivent être prises ;
    • Si la législation pertinente est problématique mais que vous n’avez aucune raison de croire que la législation pertinente est, en pratique, effectivement appliquée, vous pouvez alors tout de même procéder au transfert de données sans prendre de mesures supplémentaires. La décision de ce que la législation n’est pas appliquée en pratique doit être alors documentée dans un rapport détaillé dans lequel vous devez, entre autres, expliquer comment vous êtes parvenus à cette appréciation (p. ex. par la consultation d’avocats ou d’autres consultants). Ce rapport doit être approuvé par le représentant légal de l’entreprise.
  • L’analyse du cadre légal doit concerner la législation et les pratiques qui sont pertinentes pour la protection de votre transfert de données spécifique et ce n’est donc pas le but d’analyser la législation « privacy » complète du pays tiers en des termes généraux.
  • Votre analyse doit tenir compte de tous les acteurs possibles qui participent au transfert de données (responsables du traitement, sous-traitants et sous-traitants ultérieurs qui traitent des données dans le pays tiers) ;
  • Il relève de la mission de l’importateur de données (c’est-à-dire l’entité dans le pays destinataire) de communiquer toutes les sources et informations pertinentes à l’exportateur de données. Ces sources et informations doivent être « pertinentes, objectives, fiables, contrôlables et accessibles publiquement » ;
  • Il est possible de prendre en considération l’expérience pratique de l’importateur de données avec des requêtes gouvernementales d’accès à des données à caractère personnel antérieures. L’absence de plusieurs requêtes antérieures ne peut être, en soi, un facteur décisif afin de procéder au transfert de données sans mesures supplémentaires ;
  • Vous devez bien documenter votre analyse étant donné que l’autorité de contrôle nationale (en Belgique, l’Autorité de Protection des Données ou APD) peut vous demander de produire votre documentation et tenir votre entreprise responsable pour les décisions qui ont été prises sur base de son analyse ;

Enfin, le EDPB insiste sur le fait que les exceptions au sens de l’article 49 du RGPD (e.a. transferts qui sont nécessaires pour l’exécution ou en vue de la conclusion d’un contrat ou ceux qui ont lieu sur base du consentement explicite de la personne concernée) ne peuvent être appliqués que de manière occasionnelle et qu’elles ne peuvent donc être utilisées pour échapper à l’obligation d’effectuer une analyse de la législation dans le pays tiers.

Point d'action

Veillez, à compter d’aujourd’hui, à utiliser la nouvelles version des SCC’s lorsque vous concluez un contrat de traitement de données ou lorsque vous apportez des modifications à vos contrats de traitement de données existants. Au plus tard le 27 décembre 2022, toutes les anciennes SCC’s doivent également être remplacées.

Veillez enfin à effectuer une data transfer impact assessment bien documentée de la législation dans le pays tiers concerné et, le cas échéant, à prendre des mesures supplémentaires préalablement à ce que vous procédiez au transfert de données par le biais de SCC’s (ou d’autres garanties adéquates). Pour cette analyse, vous devez tenir compte des recommandations du EDPB mises à jour.

L’équipe Claeys & Engels Data Protection est prête à vous aider en cas de questions relatives à votre politique de transfert !