TEST 15 JOURS

Guide contractuel du RGPD (3/4) – Comprendre et gérer les transferts transfrontaliers de données

Le RGPD a rebattu les cartes de la réglementation encadrant la protection des données personnelles à de nombreux égards, avec un contrôle plus strict par la Cnil à partir du 1er avril. Nous avons demandé à Valérie Chavanne, avocate et fondatrice du cabinet LegalUP Consulting, de rédiger un guide en quatre volets pour les professionnels de la publicité en ligne sur ces évolutions réglementaires, leurs impacts sur la sphère contractuelle ainsi que les enjeux associés. 

Ce troisième volet se concentre sur un thème particulièrement critique pour la mise en conformité de vos contrats : les mentions concernant les transferts transfrontaliers de données à caractère personnel, dont nous proposons une méthode applicative pour une mise en pratique étape par étape.

Par Contribution externe. Publié le 01 avril 2021 à 19h16 - Mis à jour le 16 avril 2021 à 13h40

Guide contractuel du RGPD

Cette tribune du cabinet LegalUP Consulting est la troisième d’une série portant sur la privacy dans vos contrats, ses enjeux et son mode d’emploi : 

1/4 – Qualification des acteurs : le “qui suis-je ?” juridique essentiel pour vos contrats (en ligne ici, et dans notre édition PDF hebdo du lundi 22 mars 2021)

2/4 – RGPD : les nouvelles mentions obligatoires selon votre qualité (en ligne ici, et dans notre édition PDF hebdo du lundi 29 mars 2021)

3/4 – Les transferts transfrontaliers de données dans vos contrats (en ligne ci-dessous et dans notre édition PDF hebdo du lundi 5 avril 2021)

4/4 – Comment utiliser la conformité comme levier de croissance (en ligne ici, et dans notre édition PDF hebdo du lundi 12 avril 2021)

LE CONTEXTE

Dans notre précédent volet publié la semaine dernière, nous avons analysé en détail les obligations générales du RGPD associées à chaque qualité juridique que vous pouvez adopter, et les mentions contractuelles obligatoires associées.

Nous avons intentionnellement écarté les mentions contractuelles obligatoires concernant les transferts transfrontaliers de données. Ce sujet est en effet aussi complexe qu’essentiel, et concerne l’intégralité des acteurs, quelle que soit leur qualité. 

Cette thématique est riche en questionnements, et entremêle des sujets réglementaires locaux, régionaux et internationaux, avec des nombreux autres enjeux (économiques, diplomatiques). Ce qui méritait un développement dédié que nous proposons ici. 

Ce texte décrypte les arcanes réglementaires en matière de Privacy en balayant les impacts pratiques des nouvelles règles encadrant les transferts transfrontaliers de données pour les acteurs économiques, et plus particulièrement pour vous, acteurs de la publicité digitale, avec vos multiples contrats sans frontière. 

Pour rappel, on peut définir un transfert transfrontalier de données comme toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne.

Nous débuterons cette analyse par un rappel des normes juridiques régulant les transferts. Si celles-ci peuvent paraître claires, nous verrons dans un second temps que certaines décisions récentes sont venues, une nouvelle fois, complexifier la situation. Enfin, nous exposerons de manière pratique et illustrée comment mettre vos contrats en conformité dans cet environnement juridique mouvant.

LES NORMES JURIDIQUES ENCADRANT LES TRANSFERTS

Les règles européennes entourant les transferts sont décrites dans le Chapitre V du RGPD. Plusieurs cas de figure doivent être distingués.

> Premièrement, si les données sont transférées vers un État membre de l’Union européenne, alors un tel transfert est, par défaut autorisé, sans aucune obligation particulière.

> Si les données sont transférées vers un pays tiers à l’Union européenne, mais que celui-ci fait l’objet d’une décision d’adéquation, alors, de manière identique au cas précédent, le transfert est autorisé par défaut, sans autorisation ou obligation spécifique (article 45 du RGPD). Un pays tiers faisant l’objet d’une décision d’adéquation est un pays qu’on considère comme implémentant des législations nationales et internationales offrant un niveau de protection adéquat des données à caractère personnel. La liste des pays faisant l’objet d’une décision d’adéquation est disponible sur cette page. Une carte mise à disposition par la CNIL recense également les pays faisant l’objet d’une décision d’adéquation, et plus largement décrit succinctement les différents niveaux de protection des données des pays dans le monde.

> La situation se complique lorsque le transfert de données implique un pays tiers à l’Union européenne ne faisant pas l’objet d’une décision d’adéquation. Dans ce cas de figure, seuls trois types de transferts pourront être autorisés :

  1. Transfert basé sur des garanties appropriées (article 46 du RGPD)

Le transfert pourra premièrement être autorisé si le responsable de traitement ou le sous-traitant qui émet les données a prévu des garanties appropriées pour encadrer le transfert. Les garanties appropriées représentent des engagements relatifs à la protection des données pris par l’entité du pays tiers qui reçoit les données. De telles garanties peuvent prendre des formes différentes, listées à l’article 46 du RGPD. On peut cependant en distinguer deux principales, qui sont le plus fréquemment employées par les acteurs économiques :

  • Les Règles d’entreprise contraignantes : si l’entité qui émet les données est soumise à des règles d’entreprises contraignantes (qui doivent avoir été approuvées par l’autorité de contrôle compétente), alors il est considéré que des garanties appropriées ont en effet été mises en place. Ces règles sont mises en place au sein d’un même groupe d’entreprise, et concerne donc les transferts intra-groupes.
  • Les Clauses contractuelles types : si la relation contractuelle entre l’émetteur et le destinataire des données inclut des clauses contractuelles types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission, alors de telles clauses sont réputées constituer des garanties appropriées permettant le transfert.
  1. Transferts basés sur une dérogation pour situations particulières (article 49 du RGPD)

En l’absence de décision d’adéquation et de garanties appropriées, la fenêtre permettant les transferts de données est de plus en plus restreinte. En effet, les transferts ne pourront alors être autorisés que dans certaines situations exceptionnelles, listées à l’article 49 du RGPD.

De telles exceptions incluent, de manière non-exhaustive :

  • Le fait que la personne concernée ait donné son consentement exprès au transfert, en ayant été informé directement des risques associés au transfert.
  • Le transfert est nécessaire pour des motifs d’intérêt public.
  • Le transfert est nécessaire à l’exécution d’un contrat avec la personne concernée, ou dans l’intérêt de la personne concernée.

Il faut cependant bien avoir conscience que ces exceptions sont strictement encadrées : le  Comité européen de la protection des données (CEPD) préconise en effet d’interpréter ces dérogations de manière restrictive1, c’est pourquoi elles trouvent en pratique assez rarement à s’appliquer.

  1. Transfert ponctuel, restreint et justifié (article 49 du RGPD)

Lorsqu’un transfert ne peut être justifié par une décision d’adéquation ou des garanties appropriées, et n’entre dans aucune des situations dérogatoires particulières, un dernier cas existe, dans lequel il pourrait éventuellement être autorisé : Il faut qu’il ne soit pas répétitif (donc ponctuel), qu’il concerne un nombre limité de personnes (restreint), et qu’il soit nécessaire pour des motifs légitimes impérieux de l’entité qui les émet2 (justifié). Il s’agit ici d’un cas limite, et très restreint pour les acteurs économiques dans le cadre de leur activité.

Pour conclure ce tour d’horizon des normes juridiques entourant les transferts, remarquons que jusqu’à récemment, la situation la plus courante pour les acteurs économiques était soit de se reposer sur une décision d’adéquation, soit d’intégrer à leurs contrats les clauses contractuelles types élaborées par leur autorité de contrôle. Cette situation s’est cependant sensiblement complexifiée suite à l’arrêt Schrems II.

UNE THÉMATIQUE DEVENUE CRUCIALE … ET COMPLEXE : LES IMPLICATIONS DE L’ARRÊT SCHREMS II

Le 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) rend le très attendu arrêt Schrems II. Deux conséquences principales peuvent en être tirées et  ont redessiné le paysage juridique des règles entourant les transferts de données.

> Premièrement, la décision d’adéquation concernant les États-Unis a été révoquée3.
La Cour considère en effet que les lois de renseignement américaines sont trop intrusives pour assurer un niveau de protection adéquat des données transférées vers les États-Unis, et maintenir la décision d’adéquation qui, jusqu’ici, permettait sans garantie supplémentaire de tels transferts. Pourquoi ces lois ont-elles été considérées comme “intrusives” ? Deux principaux textes sont visés ici : le PATRIOT Act (2001) et le CLOUD Act (2018). Le PATRIOT Act permet aux agences gouvernementales américaines (NSA, FBI, CIA…) d’exiger l’accès aux données des entreprises américaines dans le cadre d’une enquête relative à des actes de terrorisme. Le CLOUD Act, quant à lui, permet cette fois aux autorités américaines bénéficiant d’un mandat d’exiger l’accès aux données des entreprises américaines dans le cadre d’une enquête judiciaire. Ce qui caractérise l’intrusivité de ces deux textes est leur caractère automatique : les différentes agences et autorités américaines peuvent exiger par défaut, automatiquement, l’accès aux données des entreprises américaines dès lors qu’une personne est suspecte dans les conditions évoquées ci-dessus. Par ailleurs, peu importe que les données soient localisées sur des serveurs basés aux États-Unis ou non. Le seul élément pertinent est la nationalité de l’entreprise qui a le contrôle des données (une entreprise américaine ou l’une de ses filiales) ; c’est pourquoi on considère que ces législations ont une portée extraterritoriale, ce qui renforce d’autant plus leur caractère intrusif.

L’impact de la décision Schrems II est bien entendu majeur : une quantité importante de données sont transférées vers les États-Unis, et tous les transferts à destination de ce pays doivent désormais implémenter des garanties appropriées en l’absence de décision d’adéquation, comme nous l’avons vu ci-dessus.

> Or, justement, l’arrêt Schrems II va plus loin que l’invalidation de la décision d’adéquation visant les États-Unis, en fragilisant également le recours aux mécanismes tels que les Clauses contractuelles types (CTT) qui forment la base juridique de la plupart des transferts s’appuyant sur des garanties appropriées en l’absence de décision d’adéquation.

La CJUE a jugé que, si les CCT sont contraignantes pour le responsable du traitement établi dans l’UE et le destinataire établi dans un pays tiers, elles “ne sont pas susceptibles de lier les autorités de ce pays tiers, puisque ces dernières ne sont pas parties au contrat”. Par conséquent, dans certaines circonstances, les CCT seules ne sont pas suffisantes pour garantir la protection des données personnelles transférées, et notamment lorsque le droit du pays tiers permet à ses autorités publiques “des ingérences dans les droits des personnes concernées relatifs à ces données”. On voit bien ici que les fameuses lois de surveillance américaines sont particulièrement visées par ces remarques. 

Dans de telles circonstances, il appartient au responsable de traitement de réaliser une évaluation au cas par cas du niveau de protection dans le pays destinataire. Peut alors être nécessaire “l’adoption de mesures supplémentaires par le responsable du traitement” pour assurer le respect du niveau de protection requis par le droit européen.

Les deux conséquences de l’arrêt Schrems II se renforcent l’une l’autre pour venir déstabiliser l’environnement juridique entourant les transferts : en annulant la décision d’adéquation visant les États-Unis, l’arrêt rend le recours aux garanties appropriées essentiel pour un très grand nombre d’acteurs. Or, dans le même temps, elle rend ces garanties bien plus complexes à implémenter.

EN PRATIQUE : COMMENT INTÉGRER AUJOURD’HUI LES TRANSFERTS À VOS CONTRATS ?

La situation actuelle entourant les transferts de données est sans conteste difficile pour la plupart des acteurs économiques qui, même lorsqu’ils sont de bonne foi, peinent à se mettre en conformité à des règles floues et instables. C’est en partant de ce constat que le cabinet LegalUP Consulting a d’ailleurs initié un groupe de travail au sein de la villa numeris portant sur le sujet des transferts de données, et visant à rétablir un environnement juridique stable, respectueux des différents intérêts en présence.

En attendant que de telles solutions pérennes soient trouvées, nous vous proposons ci-dessous une approche temporaire, permettant de vous approcher des exigences légales qui divisent encore et de vous positionner dans ce que l’on appelle communément une “zone grise” vous permettant de justifier vos choix et de ne pas vous retrouver en “zone rouge”, c’est-à-dire l’illégalité. Pour cela, une approche étape par étape peut être envisagée :

1) Faire l’inventaire de vos différents transferts de données

La première étape indispensable est bien entendu de produire une liste exhaustive des données que vous transférez vers des pays tiers à l’Union européenne. Pour que vos transferts soient conformes au droit, encore faut-il que vous puissiez les cartographier, et y associer à chaque fois le pays destinataire.

2) Identifier le mécanisme juridique approprié pour chaque transfert

La seconde étape consiste à identifier, transfert par transfert, le mécanisme juridique qui semble le plus approprié pour l’autoriser. Nous avons passé en revue les différents mécanismes possibles ci-dessus. Vous serez très probablement dans l’une de ces deux catégories de transferts à l’issue d’un tel examen :

  1. Les transferts justifiés par une décision d’adéquation visant le pays vers lequel les données sont transférées.
  2. Les transferts qui ne sont pas justifiés par une décision d’adéquation, et nécessitant l’implémentation de garanties supplémentaires4.

Pour les transferts justifiés par une décision d’adéquation, l’analyse s’arrête là : ceux-ci seront toujours autorisés, sans que vos contrats ne soient modifiés. Les étapes suivantes ne concernent donc que les transferts relevant de la seconde catégorie, les transferts autorisés par une décision d’adéquation.

3) Identifier les transferts vers des pays considérés “à risque”

Comme nous l’avons vu, la CJUE affirme dans l’arrêt “Schrems II” que certaines garanties appropriées standards, telles que les CCT, s’avèrent insuffisantes lorsque le droit du pays tiers permet à ses autorités publiques “des ingérences dans les droits des personnes concernées relatifs à ces données”. Il convient donc encore une fois de séparer vos transferts en deux catégories :

  1. Les transferts à destination de pays ne présentant pas de législation problématique pouvant rentrer dans la catégorie des ingérences susvisées.
  2. Les transferts à destination de pays présentant des législations problématiques (typiquement, les lois de surveillance américaines telles que le Patriot Act ou le Cloud Act).

En pratique, une part importante de vos transferts entreront dans la seconde catégorie, car les législations de surveillance de la plupart des pays seront considérées comme permettant l’ingérence dans le droit des personnes concernées. C’est pourquoi, dans le doute, considérez qu’une telle ingérence est possible.

Pour les transferts de données entrant dans la première catégorie (les pays ne présentant pas de problématiques d’ingérence), vous pourrez simplement intégrer dans vos contrats existant les CTT élaborées par la CNIL afin d’assurer la conformité de ces transferts. Pour les transferts appartenant à la seconde catégorie, les étapes suivantes doivent être suivies.

4) Étudier la possibilité d’une solution européenne

Face aux incertitudes qui pèsent sur la pérennité des solutions juridiques susceptibles d’être mises en œuvre afin de respecter les dispositions du RGPD dans le cas de transfert de données vers des pays tiers “problématiques”, une solution peut être plus radicale mais juridiquement plus satisfaisante consisterait à avoir recours à des acteurs économiques exclusivement européens, ou au minimum provenant de pays ayant fait l’objet d’une décision de conformité non contestée.

5) L’implémentation de CCT accompagnées de mesures complémentaires

Il est probable qu’un changement technique radical pour implémenter des solutions purement européennes ne soit, bien souvent, pas réaliste. 

Dans ce cadre, il faut une solution permettant d’assurer un minimum de sécurité juridique afin de vous permettre de poursuivre les transferts vers des pays tiers “à risque”, tels que les États-Unis. La meilleure solution reste encore de suivre les recommandations de la CJUE, lorsqu’elle affirme que dans de tels cas de figure, il faudra ajouter aux CCT des “mesures supplémentaires”.

Ainsi, il faudra revoir vos contrats pour y intégrer les CCT édictées par les autorités de contrôle, mais aussi des clauses prévoyant des mesures supplémentaires permettant de mitiger les risques d’ingérence engendrés par les législations potentiellement invasives du pays tiers.

Parmi les diverses mesures envisageables, le chiffrement des données transférées peut par exemple constituer une mesure supplémentaire appropriée. Le processus de chiffrement consiste à crypter des données, qui ne peuvent être décryptées sans une clé secrète spécifique, et qui seraient donc à l’abri d’une ingérence externe. Une bonne implémentation du chiffrement suppose cependant d’utiliser des algorithmes récents et sûrs (AES pour le chiffrement symétrique, et RSA pour l’asymétrique, par exemple), de produire des clés secrètes de taille suffisante, et de les protéger rigoureusement.

Pour conclure, la procédure étape par étape proposée ci-dessus pour tendre vers la conformité pour vos transferts aboutira assez souvent à la nécessité de réviser vos contrats, afin qu’ils incluent à la fois des clauses contractuelles types et des mesures supplémentaires répondant au cas par cas aux risques d’ingérence engendrés par la législation du pays tiers recevant vos données.

EN SYNTHÈSE

Pour résumer, l’environnement juridique entourant les transferts transfrontaliers de données, basé sur le chapitre V du RGPD, a été incontestablement déstabilisé par la décision Schrems II prise par la CJUE en juillet 2020. 

Il s’agit, de surcroît, d’une solution jugée insatisfaisante : la situation reste floue pour beaucoup d’acteurs et l’évaluation au cas par cas d’éventuelles mesures supplémentaires à implémenter en plus des CCT reste une procédure lourde, arbitraire, et finalement peu sécurisante.

Les discussions entre les Etats-Unis et la Commission européenne ont repris, mais elles seront longues et susceptibles d’être une fois encore invalidées.

Le RGPD est aujourd’hui considéré comme un texte de compromis vertueux dont la mise en place représente de grands efforts pour de nombreux acteurs de la publicité. Des décisions comme celles de la CJUE, des lignes directrices des autorités de protection déstabilisent l’industrie ayant besoin d’inscrire son innovation dans la durée.

Il convient désormais de lister toutes les frictions, notamment entre libertés fondamentales, afin de proposer des solutions satisfaisantes aux régulateurs, qui prendront en compte l’intégralité des intérêts en présence pour parvenir à un cadre réglementaire stable.

Dans le prochain et dernier volet de ce décryptage (4/4), qui sera publié jeudi 8 avril en ligne et lundi 12 avril dans l’édition hebdomadaire PDF, nous vous donnerons les outils vous permettant de tendre vers plus de sécurité juridique dans cette situation qui est complexe pour des structures ne disposant pas des ressources et moyens nécessaires. 

Nous nous attacherons à décrire comment tirer le meilleur parti de votre conformité contractuelle afin de la transformer en avantage concurrentiel.


1 “Conformément aux principes de droit inhérents à l’ordre juridique européen, les dérogations [prévues à l’article 49] doivent être interprétées de manière restrictive afin que l’exception ne devienne pas la règle.” – Lignes directives 2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE) 2016/679.
2  Par exemple : liberté d’information, sécurité de l’entreprise, dans certaines circonstances intérêt économique, etc.
3 Notons d’ailleurs que ce n’est pas la première fois que cela arrive : la décision d’adéquation des États-Unis avait déjà été révoquée en 2015, avant d’être rétablie en 2016.
4 Certains ont étudié la possibilité de fonder des transferts de données à caractère personnel vers les États-Unis sur l’une des dérogations prévues par l’Article 49 du RGPD qui, comme expliqué plus haut, peut justifier des transferts sur la base d’une dérogation pour situation particulière. Nous considérons une telle option comme une fausse bonne idée. L’interprétation restrictive du CEPD visant le recours aux situations particulières de l’article 49 tient toujours, et la CNIL a pu régulièrement affirmer qu’un transfert ne pourra jamais être justifié par ce biais au-delà d’un cadre transitoire et temporaire. Il s’agit donc de tout sauf une solution solide et durable permettant d’assurer la conformité de vos transferts.

Besoin d’informations complémentaires ?

Contactez

le service d’études à la demande de mind