Introduction
Contexte
L’arrêt Schrems II a pour origine la requête de l’activiste Maximillian Schrems. Cette requête, reposait sur le Privacy Shield, visait à invalider le transfert de données personnelles de Facebook. Le risque ? Que les agences de renseignement américaines puissent consulter les données personnelles (en transit vers et/ou stockées aux États-Unis). Cet accès serait contraire au RGPD ainsi qu’au droit de l’Union européenne.
Le RGPD interdit les transferts de données en dehors de l’UE et de l’EEE, sauf mise en place d’une protection adéquate.
L’arrêt Schrems II de la Cour de justice de l’UE (CJUE) a donc invalidé les transferts vers les Etats-Unis. Dans la foulée, la Commission européenne a défini de nouvelles exigences au titre du règlement général sur la protection des données, pour le transfert des données à caractère personnel, vers des pays tiers.
Enjeux
Depuis le 16 juillet 2020 et suite à la décision de la CJUE dans l’affaire « Schrems II », les entreprises qui exportent des données personnelles de citoyens européens à destination de pays tiers doivent désormais se conformer à des exigences supplémentaires et se mettre en conformité avant le 31 décembre 2022.
La Commission européenne demande désormais que les transferts transfrontaliers :
- intègrent les nouvelles clauses contractuelles standards (CCT).
- fassent l’objet d’un examen au cas par cas, pour déterminer si les données seront suffisamment protégées au regard des droits légaux.
- Lorsque la législation en vigueur du pays ne permet pas de protéger d’une manière équivalente à celle garantie dans l’EEE, des mesures complémentaires aux clauses contractuelles types (CCT) sont nécessaires pour amener le niveau de protection aux normes de l’EEE.
Les solutions encourues en cas de non-respect de ces obligations sont celles définies dans le RGPD, c’est-à-dire une amende pouvant aller jusqu’à 4% du chiffre d’affaires mondial.
Transfert de données hors UE : 3 conseils opérationnels pour formaliser cette remédiation
Comment se mettre en conformité avec ces nouvelles exigences ? Plusieurs problématiques se posent :
- Quels sont les transferts visés par ces obligations et quand faut-il faire les évaluations et mettre en place les clauses contractuelles types ?
- Comment évaluer les risques ? (outils, questions, pondération)
- Quelles mesures mettre en œuvre ? (contractuelles, organisationnelles, techniques)
1er conseil : définir le scope des transferts concernés par la réglementation
Nous vous proposons de recenser les 2 scénarios de transfert ci-dessous visés par la réglementation. Ces derniers dépendent :
- Des rôles des parties prenantes (contrôleur / processeur / co-contrôleur).
- Des pays importateurs des données :
Notes de bas de tableau 1 : Les transferts vers des sociétés ayant leur siège en dehors de l’UE sont concernés, car il subsiste un risque de demande d’accès disproportionné aux données par des autorités, même dans le cas où celles-ci sont stockées en Europe (par exemple : le gouvernement américain réquisitionne de nombreuses données de Microsoft, même si celles-ci sont stockées en Irlande)
Notes bas de tableau 2 : Les transferts ultérieurs ne rentrent pas dans le cadre d’évaluation des transferts, et ni dans la mise en place de clauses particulières.
2ème conseil : évaluer le risque de transfert et définir les mesures additionnelles si nécessaire
La réglementation ne définissant pas une méthodologie précise du système d’évaluation, il apparaît nécessaire de créer avec les différentes parties prenantes (Directions juridiques, IT, données, etc.) des outils opérationnels et efficients pour appréhender ces enjeux.
Créer un questionnaires d’évaluation du/des transferts (QET) :
Le pilotage de ce projet doit revenir au bénéficiaire du service (le client interne et porteur du risque), avec des questions et réponses prédéfinies et scorées sur une échelle (de 1 à 4 par exemple) et pondérées pour donner plus de valeur à certaines caractéristiques du transfert (cf. ci-dessous). La méthodologie repose sur une évaluation combinatoire du risque inhérent et des moyens de mitigation pour aboutir à la détermination du risque final ou résiduel de transfert.
- Eléments d’évaluation du risque inhérent ou risque brut :
- Classification des données transférées : interne / confidentielle / secrète
- Volume de données : dépend de la taille de la structure
- Niveau d’adéquation du pays tiers (en tenant compte de l’environnement juridique du pays) : essentiellement adéquat (sans être considéré comme adéquat par la Commission européenne) / niveau non “essentiellement adéquat” mais proche du niveau d’adéquation / niveau pas essentiellement équivalent mais certaines garanties et certains contrôles existent / environnement juridique loin d’être essentiellement équivalent en raison de dispositions permettant un accès disproportionné et/ou manque évident de garantie de recours.
Certains de ces points peuvent nécessiter une expertise juridique, interne ou externe.
- Elément de mitigation du risque :
- Considération de couverture du risque inhérent par des mesures organisationnelles par le data importateur (auto-évaluation) : totalement atténué / principalement atténué / partiellement atténué / non atténué.
- Considération de couverture du risque inhérent par des mesures de sécurité (techniques) par le data exportateur.
Il faudra donc définir et mettre en place un questionnaire spécifique pour le data importateur. Ce questionnaire recense l’ensemble des questions à lui poser pour l’évaluation du risque inhérent et des moyens de mitigation.
Questionnaire d’évaluation : point d’attention
Une des difficultés de la construction du questionnaire réside dans l’affectation des pondérations des questions / réponses. De multiples « proof of concept » nous ont permis de définir l’ordre suivant :
- Dans le cadre de l’évaluation du risque inhérent, la pondération maximale portera sur :
- Les dispositions locales.
- Les secteurs de l’importateur (cible des autorités de Protection de la donnée personnelle : GAFAM, Secteur de la Santé, etc).
- La nature des données transférées.
- Pour les éléments de mitigation, la pondération maximale doit porter sur :
- L’évaluation mitigation par les mesures de sécurité de l’exportateur de données.
- L’évaluation mitigation par les mesures organisationnelles de l’importateur.
Le scoring final et les actions à mener
Pour l’évaluation finale du risque et des actions à mener, nous préconisons de s’appuyer sur la matrice suivante :
Risque
- faible : seule la mise en place des nouvelles CCT entre importateur et exportateur est requise.
- moyen : la mise en place des CCT est requise et la nécessité de mesures supplémentaires (technique ou organisationnelle) doit être étudiée avec les experts juridiques, IT et les experts de la protection de la donnée (CDO, DPO, etc.).
- élevé : la mise en place de CCT est requise, des mesures techniques robustes doivent être définies.
3ème conseil : mettre en place ou actualiser les CCT
Ces clauses doivent faire partie des accords contractuels entre les deux parties (importateur et exportateur situé dans un pays non adéquat).
Compte tenu de l’arrêt Schrems II 2020 de la CJUE, la Commission européenne (CE) a publié une nouvelle version de ces clauses contractuelles types qui ont remplacé les anciennes CCT depuis le 27 septembre 2021. Cette nouvelle version propose désormais 4 modules adaptés aux situations de transferts suivantes :
- 1er module : transfert de responsable de traitement à responsable de traitement.
- 2ème module : transfert de responsable de traitement à sous-traitant.
- 3ème module : transfert de sous-traitant à sous-traitant.
- 4ème module : transfert de sous-traitant à responsable de traitement, dans un pays tiers.
Conclusion
Cette démarche méthodologique doit s’accompagner d’une gouvernance adaptée. Elle n’exonère par d’un travail de priorisation des actions de remédiation nécessaire ni d’actions de formation auprès des acteurs métiers et des fonctions concernées.
Par ailleurs, les discussions se poursuivent entre les Etats-Unis et l’Union européenne sur l’encadrement des transferts vers les Etats-Unis. En cas d’accord, les mesures de protection requises par l’Union européenne pourraient faire l’objet d’allégements.