A l’ère de la mondialisation et de l’évolution rapide des technologies, les transferts de données hors UE n’ont jamais été aussi nombreux.

Ces transferts sont en principe autorisés par le Règlement Général sur la Protection des Données (RGPD), mais supposent un niveau de protection suffisant et approprié.

Le texte prévoit en ce sens plusieurs « outils » permettant de sécuriser d’un point de vue légal et technique les transferts hors UE.  Un transfert de données à caractère personnel ne peut avoir lieu en principe que dans l’un des trois cas suivants :

• Une décision d’adéquation a été adoptée par la Commission européenne concernant la législation d’un pays tiers en matière de protection des données.
• Des garanties appropriées ont été prévues afin de mettre en œuvre le transfert : il peut s’agir de règles d’entreprise contraignantes (BCR), de codes de conduite, de certifications, ou encore de clauses contractuelles types (CCT), etc…
• En l’absence de décision d’adéquation ou de garanties appropriées, le transfert peut être autorisé à titre particulier lorsqu’il répond à l’un des cas dérogatoires listés à l’article 49 du RGPD (intérêt public, consentement exprès, etc…).

Le cas complexe du transfert de données vers les Etats-Unis

Aujourd’hui, l’une des principales difficultés concerne l’encadrement des transferts de données vers les Etats-Unis. Celles-ci représentant probablement près de 95%[1] des transferts de données hors UE. Le cadre juridique de ces transferts a été soumis à des changements importants ces deux dernières années.

Invalidation du Privacy Shield

Le Privacy Shield, décision d’adéquation concernant les transferts vers les Etats Unis et venant remplacer son prédécesseur le « Safe Harbor », a été invalidé par la Commission dans un arrêt dit « Schrems II » du 16 juillet 2020. [Voir notre article sur le sujet]

En sus de rendre les transferts de données vers les Etats-Unis illégaux, l’arrêt Schrems II vient conditionner l’usage des différents outils existants tels que les CTT (cf. ci-dessus), à la mise en œuvre de mesures supplémentaires garantissant un niveau de protection des données suffisant.

La Commission a effet constaté que différents textes américains, notamment la section 702 du Foreign Intelligence Surveillance Act (FISA) et l’Executive Order 12333, permettaient une consultation par les services de renseignement américain de toutes les données détenues par les entreprises américaines, quelle que soit la localisation des données, sans garanties pour les droits des personnes.

Conséquences sur les transferts actuels

Cette décision est venue balayer le cadre juridique des transferts de données vers les Etats-Unis et complexifier les échanges de données en rendant illégaux bon nombre de transferts. Ces transferts outre-Atlantique – et au-delà simplement confier des données à une entreprise américaine telle que Microsoft, Google ou encore Amazon – sont depuis lors théoriquement interdits à moins que des garanties appropriées ne soient mises en œuvre. Les recommandations de l’EDPB de juin 2021 sont venues apporter des précisions sur les modalités de mise en œuvre de garanties appropriées encadrant les transferts. Des mesures techniques (chiffrement, anonymisation des données, etc.), juridiques (recours à des CTT, des BCR, etc.) et organisationnelles, doivent être mises en œuvre afin de garantir un niveau de protection adapté au cadre européen.

Par conséquent, si les transferts actuellement réalisés ne répondent pas à une des exceptions de l’article 49 du RGDP, ou ne reposent pas sur des garanties appropriées assorties de mesures complémentaires de protection, ces transferts sont par principe illégaux donc interdits.

Quel avenir pour les transferts vers les Etats-Unis ?

Différentes possibilités sont à l’étude :

• L’hypothèse d’un remplaçant du Privacy Shield avait été évoquée mais aucune information précise n’est disponible sur ce « Data Umbrella[2]» à l’heure actuelle ;
• L’« européanisation » des GAFAM, en créant des entités juridiques européennes indépendantes du siège américain, permettant d’éviter l’accès aux données des autorités américaines ;
• Un cloud européen souverain, dont les prémices s’annoncent avec la création récente de la société Blue par Orange et Cap Gemini, permettant en somme d’enclaver les solutions cloud étrangères dans un cloud européen sécurisé.

Que faire d’ici-là ?

Dans l’attente d’une amélioration des conditions de transfert de vos données, il convient en premier lieu de rechercher et de mettre en œuvre toutes les solutions vous permettant d’améliorer votre conformité dans le cadre de l’usage d’outils impliquant des transferts hors UE (Microsoft, G Suite, etc.).

Assurez-vous par exemple de choisir les centres de données européens pour l’hébergement de vos données, activez la Customer LockBox interdisant à Microsoft d’accéder aux datas sans autorisation pour vos compte 365, etc.

Vous pouvez également effectuer une analyse des risques pesant sur les personnes concernées par les transferts et ainsi mettre en balance de ces derniers, le coût des mesures complémentaires ou solutions européennes alternatives. A bien des égards l’analyse ira dans votre sens, du fait de coûts importants impossibles à absorber pour une majorité d’entreprises.

L’important est de faire de votre mieux à raison de vos capacités en prenant soin de tout documenter par écrit dans le cadre d’une démarche de transparence et de conformité. D’aucuns estiment qu’en cas de contrôle cela pourrait vous sauver la mise. D’ailleurs dans ses dernières décisions de sanction, la CNIL ne s’est pas attardée une seule fois sur la question des transferts hors UE, signe que même le régulateur ne dispose pas de la panacée !

Auteurs : Constance DAOUST – Consultante Protection des Données, Andrea MARTELLETTI – Consultant Protection des Données et SSI

[1] Statistique non officielle.

[2] Appellation non officielle.