Le Comité européen de la protection des données (EDPB), un organe chargé d’appliquer le règlement général sur la protection des données (RGPD), a adopté le 10 novembre une série de recommandations pour garantir que le transfert des données personnelles conserve le niveau de protection exigé par l’Union européenne.
Grégoire Hanquier, directeur juridique et conformité chez Data Legal Drive, met en avant l’aspect pratique de ces recommandations. « Après avoir abordé la question du transfert sous l’angle uniquement juridique, les CNIL européennes associent le contractuel au pratico pratique. Après les clauses contractuelles types, les BCR et les accords transatlantiques annulés (Safe Harbour et Privacy Shield), les CNIL européennes expriment de manière très empirique les mesures techniques. Celles-ci sont des mesures techniques qui présentent des « garanties appropriées » et à défaut possibilité de mettre en place des « mesures supplémentaires ». pour permettre un transfert des données personnelles vers des pays non adéquats. »
Grégoire Hanquier rappelle que le leitmotiv est « encore et toujours de protéger les personnes des pays tiers non adéquats de connaître l’identité de ladite personne. » Le directeur juridique souligne que l’entreprise peut transférer en respectant ces règles (contrat + mesures) mais doit désormais « être dans la capacité de démontrer que les personnes dont elle traite les données pourront exercer des recours équivalent au RGPD dans le pays non adéquat », ce qui n’est pas « une mince affaire ».
Une bonne hygiène de la donnée traitée
Il donne plusieurs conseils aux entreprises. Il leur suggère avant tout une bonne hygiène de la donnée traitée avec une connaissance exhaustive de leur flux. Il les encourage à s’interroger sur la raison du transfert dans un pays non adéquat et invite à « réfléchir à des solutions de contournement avec des acteurs européens et en mesurer les conséquences.»
Si le transfert de données se réalise vers un pays non adéquat, l’entreprise doit s’interroger sur l’état de sa documentation contractuelle et envisager la mise à jour de cette documentation avec les nouveaux modèles proposées.
Enfin, elle doit identifier les mesures adéquates pour protéger les données traitées : chiffrer les données ? Les pseudonymiser? Les mélanger et les dispatcher chez différents prestataires cloud pour amoindrir le risque ?
Deux projets de clauses contractuelles types
Le 20 novembre, la Commission européenne a présenté deux projets de SCC (clauses contractuelles types, ou Standard contractual clauses en anglais) : un ensemble de SCC pour les contrats entre contrôleurs et sous-traitants et un autre pour les transferts de données en dehors de l’UE.
« Ces SCC auront un effet à l’échelle de l’UE et viseront à garantir une harmonisation complète et la sécurité juridique dans toute l’UE en ce qui concerne les contrats entre les responsables du traitement et leurs sous-traitants« , a-t-elle indiqué. En outre, la Commission a présenté un autre ensemble de SCC pour le transfert de données à caractère personnel vers des pays tiers. Ces SCC remplaceront les SCC existants pour les transferts internationaux qui ont été adoptés sur la base de la directive 95/46 et devaient être mis à jour pour les mettre en conformité avec les exigences du RGPD, ainsi qu’avec l’arrêt « Schrems II » de la La Cour de justice de l’Union européenne.
