Blog Données personnelles
Transferts hors de l’UE : les recommandations du CEPD
Le Comité européen de la protection des données (CEPD) a publié ce 11 novembre ses recommandations concernant les transferts de données hors de l’Union européenne, comme annoncé à la suite de l’invalidation du Privacy Shield par l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne en juillet dernier.
Elles contiennent une feuille de route en six étapes qui permet de guider les exportateurs de données dans leurs choix des mesures à mettre en place permettant de garantir un transfert de données dans les conditions garantissant un niveau équivalent à celui de l’Union européenne conformément aux dispositions du RGPD.
Dans le cas où les clauses contractuelles types ne suffisent pas, le CEPD a inclus dans l’annexe 2 des recommandations, des exemples concrets de mesures supplémentaires aux clauses contractuelles types qui pourront être mises en place. Il peut s’agir de mesures techniques comme par exemple, le chiffrement des données avant leur transmission à un service d’hébergement hors UE sans possibilité pour les autorités publiques de les déchiffrer ou d’engagements contractuels supplémentaires comme une obligation de transparence incombant au sous-traitant ou la possibilité pour l’exportateur des données de renforcer son pouvoir de mener des audits sur place ou à distance. Cependant, le CEPD avertit qu’il ne sera pas toujours possible de les mettre en œuvre. Chaque situation doit donc faire l’objet d’une appréciation au cas par cas.
Il convient de souligner que ces recommandations sont actuellement soumises à consultation publique. Elles sont donc vouées à évoluer une fois la consultation terminée, la date ayant été fixée au 30 novembre 2020. Les responsables de traitement et sous-traitants devront donc mettre à jour leurs contrats au moment opportun.
Le CEPD a précisé qu’il n’avait pas encore déterminé les impacts de la décision Schrems II au regard d’autres outils utilisés par les entreprises dans le cadre des transferts de données hors UE tels que les règles contraignantes d’entreprise ou encore les clauses contractuelles ad hoc.
En parallèle de ces recommandations, la Commission européenne travaille également sur une nouvelle version des clauses contractuelles types, accessible sur son site.
Ces nouvelles clauses contractuelles types contiennent des « modules » permettant d’adapter le contenu des clauses au type de transfert envisagé : de responsable à responsable, de responsable à sous-traitant, de sous-traitant à sous-traitant ou de sous-traitant à responsable.
Encore à l’état de projet, ces nouvelles clauses contractuelles types font elles aussi l’objet d’une consultation publique jusqu’au 10 décembre 2020.
Une fois les nouvelles lignes directrices adoptées, les acteurs bénéficieront d’une période transitoire d’un an pour remplacer leurs anciennes clauses contractuelles types avec la nouvelle version.
En tout état de cause, les responsables de traitement et sous-traitants devront être particulièrement vigilants dans les mois à venir aux stipulations de leurs contrats lorsqu’ils transfèrent des données vers un pays tiers n’ayant pas fait l’objet d’une décision d’adéquation de la Commission européenne, en particulier vers les Etats-Unis. Ils pourront, pour se faire, s’appuyer sur les nouvelles recommandations du CEPD sur les garanties essentielles européennes contre les mesures de surveillance.