Les transferts de données à caractère personnel vers des pays en dehors de l’Espace économique européen (EEE) sont souvent essentiels au regard du commerce ou de la coopération internationale. Votre PME peut être amenée à transférer des données à caractère personnel vers un pays en dehors de l’EEE dans le cadre de ses activités, par exemple lorsque vous devez partager des données personnelles avec vos partenaires commerciaux ou avec vos fournisseurs établis en dehors de l’EEE.
Le RGPD contient des dispositions spécifiques pour de tels transferts. Avec ces dispositions, le RGPD vise à garantir aux données à caractère personnel transférées un niveau de protection équivalent à celui dont elles bénéficient au sein de l’EEE.
Quand se produit un transfert de données à caractère personnel en dehors de l’EEE?
Le RGPD ne fournit pas de définition de tels transferts. Toutefois, le Comité européen de la protection des données (CEPD, aussi appelé EDPB en anglais) a défini les trois critères cumulatifs suivants pour identifier un transfert en dehors de l’EEE:
- un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement donné;
- ce responsable du traitement ou ce sous-traitant communique par transmission ou rend accessible par un autre moyen des données à caractère personnel à une autre organisation (responsable du traitement des données ou sous-traitant);
- cette autre organisation se trouve dans un pays extérieur à l’EEE ou est une organisation internationale.
Comment transférer des données à caractère personnel en dehors de l’EEE?
En résumé, le RGPD impose des restrictions au transfert de données à caractère personnel en dehors de l’EEE, vers des pays non membres de l’EEE ou des organisations internationales, afin de garantir que le niveau de protection des personnes accordé par le RGPD reste le même.
Les données à caractère personnel ne peuvent être transférées en dehors de l’EEE que dans le respect des conditions pour ces transferts énoncées au chapitre V du RGPD.
Les conditions de transfert doivent être respectées en plus de la conformité générale aux autres règles du RGPD. Par exemple, ces conditions constituent une exigence supplémentaire par rapport aux principes de base du traitement, qui doivent également être respectés dans le cadre des transferts internationaux. Lors du transfert de données à caractère personnel, vous devez toujours vous assurer que vous disposez d’une base juridique appropriée pour le traitement; que les mesures de sécurité nécessaires soient mises en œuvre; que vous ne traitez que les données à caractère personnel nécessaires à cette activité de traitement particulière (principe de minimisation des données), etc. Si le destinataire des données à caractère personnel agit en tant que sous-traitant, vous êtes toujours légalement tenu de mettre en place un contrat. Tout comme vous le feriez pour un sous-traitant au sein de l’EEE.
En vertu du RGPD, il existe, en principe, deux moyens principaux de transférer des données à caractère personnel vers un pays non membre de l’EEE ou une organisation internationale. Les transferts peuvent avoir lieu sur la base d’une décision d’adéquation ou, en l’absence d’une telle décision, sur la base de garanties appropriées, y compris des droits exécutoires et des voies de recours pour les personnes physiques. En l’absence d’une décision d’adéquation ou de garanties appropriées, le RGPD autorise certaines dérogations dans certaines situations.
Vous trouverez plus d’informations sur les différentes options ci-dessous.
Transferts de données sur la base d’une décision d’adéquation
La Commission européenne a la possibilité d’adopter des décisions d’adéquation pour confirmer formellement, avec effet contraignant pour les pays de l’EEE, que le niveau de protection des données dans un pays non membre de l’EEE ou une organisation internationale est essentiellement équivalent au niveau de protection dans l’Espace économique européen.
Lorsqu’elle évalue l’adéquation du niveau de protection, la Commission européenne tient compte d’éléments tels que l’état de droit, le respect des droits de l’homme et des libertés fondamentales, ainsi que la question de savoir si les droits des personnes concernées sont effectifs et applicables, l’existence et le fonctionnement effectif d’une autorité indépendante de protection des données dans le pays extérieur à l’EEE, ainsi que les engagements internationaux pris par le pays ou l’organisation internationale.
Si la Commission européenne décide que le pays offre un niveau de protection adéquat et qu’une décision d’adéquation est adoptée, les données à caractère personnel peuvent être transférées à une autre société ou organisation dans ce pays non membre de l’EEE sans que l’exportateur de données, c’est-à-dire l’entité qui transfère les données, soit tenue de fournir des garanties supplémentaires ou soit soumise à des conditions supplémentaires liées aux transferts internationaux. En d’autres termes, les transferts vers un pays «adéquat» hors EEE seront comparables aux transferts de données au sein de l’EEE. Cependant, votre organisation devra toujours se conformer aux autres principes de base du RGPD, comme expliqué ci-dessus.
Les décisions d’adéquation peuvent couvrir un pays dans son ensemble ou être limitées à une partie de celui-ci (c’est-à-dire à une région). Les décisions d’adéquation peuvent couvrir tous les transferts de données vers un pays ou se limiter à certains types de transferts (par exemple dans un secteur).
Jusqu’à présent, la Commission européenne a adopté des décisions d’adéquation pour:
- Andorre,
- Argentine,
- Canada (organisations commerciales),
- Îles Féroé,
- Guernesey,
- Israël,
- Île de Man,
- Japon,
- Jersey,
- Nouvelle-Zélande,
- République de Corée,
- Suisse,
- Royaume-Uni,
- États-Unis (organisations commerciales participant au cadre UE-États-Unis en matière de protection des données),
- et Uruguay.
La Commission européenne publie la liste de ses décisions d’adéquation sur son site internet.
Les exportateurs de données sont chargés de vérifier si les décisions d’adéquation relatives à leurs transferts sont toujours en vigueur et non en cours de révocation ou d’invalidation.
Veuillez noter que les décisions d’adéquation n’empêchent pas les particuliers de déposer une plainte. Elles n’empêchent pas non plus les autorités chargées de la protection des données (APD) d’exercer leurs pouvoirs en vertu du RGPD.
Transferts de données sur la base de garanties appropriées
En l’absence de décision d’adéquation, les organisations peuvent également transférer des données à caractère personnel lorsque des garanties appropriées à l’égard de l’organisation qui les reçoit peuvent être fournies. En outre, les individus doivent pouvoir exercer leurs droits et disposer de voies de recours effectives.
L’article 46 du RGPD énumère une série d’outils de transfert contenant des «garanties appropriées» que vous pouvez utiliser pour transférer des données à caractère personnel vers des pays non membres de l’EEE en l’absence de décisions d’adéquation. Les principaux types d’outils de transfert de l’article 46 du RGPD, pertinents pour les organisations privées, sont les:
- clauses types de protection des données (CCT);
- règles d’entreprise contraignantes (BCR);
- codes de conduite;
- mécanismes de certification;
- clauses contractuelles ad hoc.
Clauses contractuelles types (CCT)
Les clauses contractuelles types (CCT ou « SCC » en anglais) sont un ensemble de contrats standardisés permettant aux exportateurs de données d’offrir des garanties appropriées. C’est un outil couramment utilisé par de nombreuses organisations. La Commission européenne a le pouvoir d’adopter des CCT en tant que garantie appropriée pour les transferts de données à caractère personnel vers des pays non membres de l’EEE en vertu de l’article 46, paragraphe 2, point c), du RGPD.
Le 4 juin 2021, la Commission européenne a adopté une décision d’exécution sur les CCT pour le transfert de données à caractère personnel vers des pays non membres de l’EEE en vertu du RGPD. La Commission européenne fournit également un ensemble de clauses contractuelles types sur leur site web. En savoir plus sur les clauses contractuelles types.
Les CCT abordent divers scénarios de transfert et la complexité des chaînes de traitement modernes. Les responsables du traitement des données et les sous-traitants peuvent utiliser plusieurs options, en fonction des circonstances spécifiques du transfert, qui comprennent:
- responsable du traitement au responsable du traitement (C2C en anglais);
- responsable du traitement au sous-traitant (C2P en anglais);
- sous-traitant au sous-traitant (P2P en anglais);
- sous-traitant au responsable du traitement (P2C en anglais), le sous-traitant se trouvant dans l’UE et le responsable du traitement dans un pays tiers.
Parmi les autres aspects importants des CCT, mentionnons:
- la possibilité pour plus de deux parties d’adhérer aux clauses;
- la possibilité, à quelques exceptions près, d’utiliser des CCT lors du transfert de données à caractère personnel vers un sous-traitant ultérieur situé dans un pays non membre de l’EEE;
- la possibilité, à quelques exceptions près, pour les particuliers d’invoquer les clauses en tant que tiers bénéficiaires;
- les règles de responsabilité entre les parties en cas de violation des droits des personnes;
- le droit des particuliers à l’indemnisation des dommages subis en cas de violation de leurs droits en tant que tiers bénéficiaire;
- l’obligation de procéder à une «analyse d’impact du transfert» documentant les circonstances spécifiques du transfert, les lois dans le pays de destination et les garanties supplémentaires mises en place pour protéger les données à caractère personnel;
- les obligations en cas d’accès des autorités publiques aux données transférées, par exemple l’obligation de fournir des informations aux exportateurs de données et de contester les demandes illicites.
Règles d’entreprise contraignantes (BCR)
Les règles d’entreprise contraignantes (BCR en anglais) contribuent à assurer un niveau adéquat de protection des données échangées au sein d’un groupe de sociétés situées à l’intérieur et à l’extérieur de l’EEE, et sont plus adaptées à un groupe multinational de sociétés effectuant un grand nombre de transferts de données.
Les BCR sont des règles internes adoptées par un groupe d’entreprises, qui définissent leur politique globale en matière de transferts de données à caractère personnel. Ces règles doivent être contraignantes et respectées par toutes les entités du groupe, quel que soit leur pays d’accueil. En outre, elles doivent expressément conférer des droits exécutoires aux personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel.
Les conditions qui doivent être respectées pour obtenir l’approbation de BCR par l’autorité compétente sont énumérées à l’article 47 du RGPD et expliquées plus en détail dans les recommandations adoptées par le groupe de travail 29 et approuvées par le Comité européen de la protection des données (EDPB). Un ensemble différent de conditions est fourni pour les BCR pour les responsables du traitement et les BCR pour sous-traitants.
En savoir plus
Recommandation relative au formulaire type de demande d’approbation des BCR du responsable du traitement pour le transfert de données à caractère personnel du CEPD
CEPD
Groupe de travail Article 29: recommandation relative à l’approbation des règles d’entreprise contraignantes du sous-traitant
Espace de presse de la Commission européenne
Codes de conduite
Le RGPD introduit ce nouvel outil pour les transferts de données. Contrairement aux BCR, qui peuvent être préparées directement par des groupes d’entreprises individuels, les codes de conduite sont sectoriels et élaborés par des associations représentant des catégories d’organisations. Un système d’organismes accrédités qui contrôlent le respect du code de conduite doit être mis en place. Le Comité européen de la protection des données a pris l’initiative de clarifier les conditions dans lesquelles les codes de conduite peuvent être utilisés et approuvés par les autorités compétentes. En outre, le CEPD est également chargé d’assurer la cohérence des conditions dans lesquelles les organismes de contrôle peuvent être accrédités.
Certification
Le RGPD introduit ce nouvel outil pour les transferts de données vers des organisations qui ont été certifiées par des organismes de certification ou des APD de l’EEE.
Le Comité européen de la protection des données a adopté des lignes directrices visant à clarifier les conditions dans lesquelles un mécanisme de certification peut être mis en place. Cet outil est encore en cours de développement.
Le CEPD est également chargé d’assurer la cohérence des conditions d’agrément des organismes de certification.
Clauses contractuelles ad hoc
Si les responsables du traitement ou les sous-traitants décident de ne pas utiliser les clauses contractuelles types de la Commission européenne, ils peuvent rédiger leurs propres clauses contractuelles («clauses ad hoc») offrant des garanties suffisantes en matière de protection des données. Avant tout transfert de données, ces clauses contractuelles ad hoc doivent être autorisées par l’APD nationale compétente conformément à l’article 46, paragraphe 3, point a), du RGPD, à la suite d’un avis du CEPD.
En savoir plus
Mesures complémentaires suite à l’arrêt Schrems II
Dans son arrêt C-311/18 (Schrems II) de 2020, la Cour de justice de l’Union européenne (CJUE) a souligné la nécessité éventuelle pour les organisations de prévoir des mesures supplémentaires en plus des garanties appropriées, lors du transfert de données à caractère personnel en dehors de l’EEE.
Les CCT et les autres outils de transfert mentionnés à l’article 46 du RGPD ne s’appliquent pas en vase clos. La CJUE a déclaré que les responsables du traitement ou les sous-traitants, agissant en tant qu’exportateurs, sont chargés de vérifier au cas par cas si la législation ou la pratique du pays hors EEE empiète, par exemple en raison de la législation imposant l’accès aux données, sur l’efficacité des garanties appropriées contenues dans les outils de transfert de l’article 46 du RGPD.
Afin d’aider les exportateurs dans la tâche complexe d’évaluer les pays qui reçoivent les données et d’identifier, le cas échéant, des mesures supplémentaires appropriées, le CEPD a adopté des recommandations.
Transferts de données sur la base de dérogations
Outre les décisions d’adéquation et les outils de transfert de l’article 46 du RGPD, le RGPD contient une troisième voie permettant les transferts de données à caractère personnel dans certaines situations. Sous réserve de conditions spécifiques, vous pouvez toujours être en mesure de transférer des données personnelles sur la base d’une dérogation énumérée à l’article 49 du RGPD.
L’article 49 du RGPD a un caractère exceptionnel. Les dérogations doivent être interprétées d’une manière qui ne contredit pas la nature même des dérogations à savoir qu’il s’agit d’exceptions à la règle selon laquelle les données à caractère personnel ne peuvent pas être transférées vers un pays tiers, à moins que ce pays ne prévoie un niveau adéquat de protection des données ou, à défaut, que des garanties appropriées soient mises en place. Les dérogations ne peuvent pas devenir «la règle» dans la pratique, mais doivent être limitées à des situations spécifiques.
Sur la base de l’article 49 du RGPD, un transfert, ou un ensemble de transferts, peut être effectué lorsque le transfert:
- est effectué avec le consentement explicite de la personne;
- est nécessaire à l’exécution d’un contrat entre l’individu et l’organisation, ou aux démarches précontractuelles prises à la demande du particulier;
- est nécessaire à l’exécution d’un contrat conclu dans l’intérêt de la personne entre le responsable du traitement des données et une autre personne;
- est nécessaire pour des motifs importants d’intérêt public;
- est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice;
- est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’autres personnes, lorsque celle-ci est physiquement ou légalement incapable de donner son consentement; ou
- a lieu à partir d’un registre qui, en vertu du droit national d’un pays de l’EEE ou du droit de l’Union, est destiné à fournir des informations au public (et qui est ouvert à la consultation du public en général ou de ceux qui sont en mesure de démontrer un intérêt légitime à l’inspection du registre).
Un certain «test de nécessité» doit être appliqué afin d’évaluer la nécessité du transfert. Ce test implique d’évaluer si un transfert de données à caractère personnel peut être considéré comme nécessaire aux fins spécifiques de la dérogation en question.
Lorsque aucune des dérogations ci-dessus n’est applicable à une situation spécifique, il est possible de transférer des données pour les intérêts légitimes impérieux du responsable du traitement.
Toutefois, ces transferts ne sont autorisés que lorsque le transfert:
- n’est pas répétitif (des transferts similaires ne sont pas effectués régulièrement);
- ne concerne que des données relatives à un nombre limité d’individus;
- est nécessaire aux fins des intérêts légitimes impérieux de l’organisation (à condition que les intérêts de l’individu ne prévalent pas sur ces intérêts légitimes impérieux);
- est soumis à des garanties appropriées mises en place par l’organisation (à la lumière d’une évaluation de toutes les circonstances entourant le transfert) pour protéger les données à caractère personnel; et
- n’est pas effectué par une autorité publique dans l’exercice de ses pouvoirs publics.
Dans ces cas, les organisations sont tenues d’informer l’APD concernée du transfert et de fournir des informations supplémentaires aux individus.
En général, les dérogations ne devraient être utilisées qu’en dernier recours pour encadrer un transfert de données — les organisations devraient d’abord évaluer s’il n’est pas possible d’utiliser une décision d’adéquation ou une mesure de sauvegarde appropriée.
Lorsque vous vous fiez aux dérogations prévues à l’article 49 du RGPD, vous devez garder à l’esprit que les organisations qui transfèrent des données doivent également se conformer à d’autres dispositions du RGPD (avoir une base juridique pour la communication des données, mettre en œuvre des mesures de sécurité, minimiser les données, signer un contrat si le destinataire est un sous-traitant de données, etc.).