Le cadre general des transferts de donnees hors UE
Le RGPD encadre strictement les transferts de donnees personnelles vers des pays situes en dehors de l Union europeenne et de l Espace economique europeen. L objectif est de garantir que les donnees des residents europeens beneficient d un niveau de protection equivalent, quel que soit le pays ou elles sont traitees. Tout transfert de donnees hors UE doit reposer sur un mecanisme legal prevu par le RGPD.
Les transferts concernent de nombreuses situations courantes : utilisation de services cloud americains, recours a des prestataires informatiques situes hors UE, envoi de donnees a des filiales etrangeres ou encore utilisation d outils SaaS dont les serveurs sont localises dans des pays tiers.
Les decisions d adequation de la Commission europeenne
Le mecanisme le plus simple est la decision d adequation. La Commission europeenne reconnait que certains pays offrent un niveau de protection des donnees adequat. Les transferts vers ces pays sont autorises sans formalite particuliere. Parmi les pays reconnus figurent le Royaume-Uni, la Suisse, le Japon, la Coree du Sud, le Canada (pour les traitements soumis a la LPRPDE) et l Argentine.
Pour les Etats-Unis, le Data Privacy Framework (DPF) adopte en juillet 2023 permet les transferts vers les entreprises americaines certifiees. Ce mecanisme fait cependant l objet de contestations et pourrait evoluer dans les annees a venir, comme ses predecesseurs (Safe Harbor et Privacy Shield).
Les clauses contractuelles types (CCT)
En l absence de decision d adequation, les clauses contractuelles types adoptees par la Commission europeenne constituent le mecanisme le plus utilise. Ces clauses imposent au destinataire des donnees des obligations contractuelles equivalentes a celles du RGPD. Depuis juin 2021, de nouvelles CCT modulaires remplacent les anciennes versions et s adaptent a differents scenarios de transfert : responsable vers responsable, responsable vers sous-traitant, sous-traitant vers sous-traitant et sous-traitant vers responsable.
L utilisation des CCT ne suffit pas a elle seule. L organisme exportateur doit realiser une evaluation d impact du transfert (Transfer Impact Assessment) pour verifier que la legislation du pays destinataire ne compromet pas l efficacite des garanties contractuelles. Si des risques sont identifies, des mesures supplementaires doivent etre mises en place.
Les regles d entreprise contraignantes (BCR)
Les BCR sont des politiques internes adoptees par un groupe d entreprises multinationales pour encadrer les transferts de donnees au sein du groupe. Elles doivent etre approuvees par une autorite de controle chef de file. Ce mecanisme est particulierement adapte aux grands groupes internationaux, mais sa mise en place est longue et couteuse.
Les autres mecanismes de transfert
Le RGPD prevoit d autres mecanismes : les codes de conduite approuves, les mecanismes de certification et, dans certains cas limites, les derogations de l article 49 (consentement explicite, execution d un contrat, motifs importants d interet public). Ces derogations doivent rester exceptionnelles et ne peuvent pas servir de base a des transferts reguliers et massifs.
Les obligations pratiques pour les organismes
Tout organisme qui transfere des donnees hors UE doit cartographier ses flux de donnees internationaux, identifier les pays destinataires et les mecanismes de transfert utilises. Cette cartographie doit figurer dans le registre des traitements. Pour chaque transfert, l organisme doit documenter le mecanisme legal retenu, l evaluation d impact realisee et les mesures supplementaires eventuellement mises en place.
L information des personnes concernees est egalement obligatoire. La politique de confidentialite doit mentionner l existence de transferts hors UE, les pays destinataires et les garanties mises en oeuvre. Les personnes doivent pouvoir obtenir une copie des garanties sur simple demande.
Les risques en cas de non-conformite
Les transferts de donnees non encadres constituent un manquement grave au RGPD. La CNIL et les autres autorites de controle europeennes ont prononce des sanctions significatives pour des transferts non conformes vers les Etats-Unis et d autres pays tiers. Au-dela des amendes, un transfert non conforme peut faire l objet d une injonction de suspension, ce qui peut perturber gravement l activite de l organisme si ses outils critiques reposent sur des services situes hors UE.
Article redige par Laurent de Cavel, DPO certifie. Publie sur DPO Partage, le portail francophone de reference sur le RGPD et la protection des donnees personnelles.
