Le transfert de données personnelles en dehors de l'UE est soumise à des règles strictes, le principe étant que tout transfert vers un pays qui n'offre pas un niveau de protection adéquat est interdit. Il n'existe que peu de pays en dehors de l'UE vers lesquels les données personnelles peuvent être librement transférées (Andorre, Argentine, îles Féroé, Guernesey, Israël, île de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Royaume-Uni, Uruguay et Canada & Japon dans certains cas).
Les États-Unis ne font donc pas partie de ce cercle privé, d'autant que les garanties alternatives approuvées au niveau européen (Safe Harbor puis Privacy Shield) ont été successivement invalidées par la CJUE (2015 : Schrems I et 2020 : Schrems II).
➡️ L'un des moyens pour les responsables du traitement et les sous-traitants de transférer des données en dehors de l'UE vers un pays qui ne garantit pas un niveau suffisant de protection des données est d'utiliser les clauses contractuelles types (SCC) de la Commission européenne. ➡️ Toutefois, il a récemment été jugé (Schrems II) que les SCCs ne sont pas nécessairement suffisantes en tant que telles pour réglementer le transfert de données à caractère personnel en dehors de l'UE. ➡️ Avant de les utiliser, les entités doivent s'assurer que le droit local applicable ne porte pas atteinte à l'efficacité de la protection requise par le droit de l'UE et aux garanties fournies par les CSC. Dans le cas contraire, des mesures supplémentaires doivent être prises ou il faut renoncer au transfert. (cf. Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data).
🕛
Les anciennes SCCs ont été abrogées le 27 septembre 2021 et remplacées par un nouvel ensemble de clauses plus complètes. Les nouvelles SCCs doivent être utilisées à partir du 27 décembre 2022 pour les DPA déjà en place avant le 27 septembre 2021 et à partir de cette date pour les nouveaux accords de transferts de données.
🕛
Les nouvelles SCCs couvrent les transferts entre : 🔹 les responsables de traitement UE et non-UE 🔹 les responsables de traitement UE et les sous-traitants non-UE 🔹 (🆕) les sous-traitants UE et les responsables de traitement non-UE et, 🔹(🆕) les sous-traitants UE et non UE.
💡 En pratique, que doivent faire les entités de l'UE avant de transférer des données personnelles en dehors de l'UE ou de faire appel à un sous-traitant non européen sur la base des SCCs ? 💡 ✔️ Etape 1: Cartographier les différents transferts de données personnelles et déterminer leur rôle dans ceux-ci (responsable du traitement ou sous-traitant) ; ✔️ Etape 2: Identifier la base juridique du transfert (décision d'adéquation, SCCs, consentement des personnes concernées, BCR, etc.) ✔️ Etape 3: Procéder à une évaluation des risques liés au transfert. Lorsque les transferts sont basés sur des SCCs, évaluez la législation et la jurisprudence du pays tiers : sont-elles équivalentes à la protection offerte par le GDPR ? Sont-elles susceptibles d'affecter l'efficacité des SCCs ? ✔️ Etape 4: S'il ressort de cette analyse que la législation du pays tiers n'est pas équivalente à celle du GDPR et/ou susceptible d'affecter l'efficacité des CSC, mettre en place des mesures supplémentaires appropriées pour atteindre le niveau de protection requis, en fonction des particularités du transfert, comme par exemple le cryptage, la pseudonymisation, l'obligation contractuelle d'utiliser des mesures techniques spécifiques ou l'exigence d'une transparence accrue, la mise en œuvre de politiques internes de gouvernance des transferts, etc.
Ecrit par Claire Leonelli et Claire Denoual, Avocats à la Cour