Protection des données et transferts hors Europe

Avec l’entrée en application du RGPD, les données personnelles sont particulièrement protégées en Europe, ce qui n’est pas le cas partout dans le monde. C’est la raison pour laquelle la règlementation européenne n’autorise les transferts hors Europe que sous certaines conditions. En effet, dès lors que les données quittent l’Espace Économique Européen et le champ d’application du RGPD, les acteurs des traitements doivent s’assurer qu’elles seront dûment protégées d’une autre manière.

Pour cela, le texte prévoit deux principaux cas de figure et des hypothèses de dérogation :

  1. Le pays de destination a fait l’objet d’une décision d’adéquation. C’est le cas prévu à l’article 45 du RGPD, des pays pour lesquels la Commission a constaté que le niveau de protection local était adéquat. Il s’agit par exemple de l’Argentine, du Japon, ou de la Suisse, mais la liste est constamment susceptible d’évolution, puisque la Commission adopte des décisions en fonction du niveau de protection constaté.
  2. A défaut, le responsable de traitement prévoit des garanties appropriées pour sécuriser les données et assurer le respect de la vie privée des personnes concernées (article 46 du RGPD). Peuvent notamment être adoptées des clauses contractuelles ou des BCR (Binding Corporate Rules, ou règles d’entreprise contraignantes, prévues à l’article 47 du RGPD), mais il est également possible de passer par des codes de conduite ou mécanismes de certification. Dans tous les cas, les démarches sont lourdes pour assurer la conformité des transferts vers des pays non adéquat.
  3. Enfin, l’article 49 du RGPD prévoit des dérogations, dont le cas du consentement spécifique de la personne concernée. Toutefois, le responsable de traitement demeure alors soumis à l’obligation règlementaire d’opérer les traitements « de manière à ce que le niveau de protection des personnes physiques garanti par [la règlementation] ne soit pas compromis» (article 44 du RGPD, principe général applicable aux transferts), ce qui est difficilement justifiable en pratique sans passer par les garanties classiques.

Qu’est-ce que le Privacy Shield ?

En ce qui concerne les États-Unis, la situation est particulière, avec un régime légèrement dérogatoire jusqu’ici, qui vient de prendre fin d’une manière attendue mais inconfortable pour les responsables de traitement.

Depuis 2016, le Privacy Shield, ou bouclier de protection des données, permettait à des entreprises américaines d’adhérer à une forme de mécanisme d’auto-certification au respect d’un ensemble de règles protectrices des données personnelles.

Or, la Commission avait adopté une décision d’adéquation dans le cas des organismes effectivement inscrits sur la liste du Privacy Shield. Les États-Unis n’étaient donc pas à proprement parler un pays adéquat au sens du RGPD, mais l’adhésion au Privacy Shield permettait l’application du régime de l’adéquation.

La décision de la Cour de Justice  

Le 16 juin, la Cour de Justice européenne a rendu une décision dite « Schrems II » qui vient invalider le dispositif d’adéquation via l’adhésion au Privacy Shield, remettant en question d’innombrables transferts de données.

Au-delà de l’affaire en elle-même, a en effet été remise en cause la décision d’adéquation de 2016. En conséquence, les traitements impliquant un transfert de données personnelles vers les États-Unis dont la légitimité reposait sur ce dispositif sont désormais contraires à la règlementation.

Face à l’ampleur du marché américain, notamment via les gafams et les services numériques auxquels de nombreux acteurs européens vont appel, on retrouve ici les problématiques géopolitiques et économiques liés à la digitalisation de l’activité, comme recoupant la problématique de la protection des données : faut-il ne faire appel qu’à des acteurs européens des données ? Le marché le permet-il ? C’est là l’idée du projet Gaia-X, mais que faire en attendant ?

Et maintenant ?

Suite à la décision de la Cour de Justice, la CNIL et les autorités européennes de protection des données ont tenté de comprendre les enjeux et de guider les acteurs pour la suite. Le CEPD a ainsi publié des premières questions-réponses.

>> Voir le FAQ en version originale anglaise >>

En pratique, non seulement l’adhésion au Privacy Shield ne suffit plus à légitimer les transferts, mais d’autres outils de protection des transferts se voient par la même occasion mis en péril. En effet, la problématique réside en substance dans la possibilité d’ingérence de l’État américain, qui rend difficile la qualification l’évaluation d’un niveau de protection satisfaisant.

Ainsi, même pour d’autres outils, ou via la dérogation prévue à l’article 49 du RGPD, la justification d’un niveau suffisant de protection des données semble hasardeuse, du moins dans l’attente de positions fermes des autorités de contrôle.

A ce jour, il apparait donc préférable d’éviter autant que possible les transferts de données vers les États-Unis, car la situation ne permet pas de certitude de conformité, et aucun délai de grâce n’a été annoncé…