L’Analyse d’Impact du Transfert des données personnelles hors UE
L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données personnelles vers les Etats-Unis. La raison de cette décision reposait sur le fait que ce pays avait des pouvoirs de surveillance excessifs, et le mécanisme Ombudsman (officiel chargé d’investiguer les plaintes des individus contre une entreprise ou organisation et en particulier une autorité publique) ne fournissait pas suffisamment de protection aux citoyens européens.
Rappelons que le Règlement Général sur la protection des données, RGPD, fait référence à la restriction du transfert de données personnelles vers des pays en dehors de l’Union Européenne. La raison de cette restriction est d’empêcher l’évasion de cette protection en envoyant les données vers un pays tiers.
Il y a un certain nombre d’exceptions à cette règle, telles que le transfert des données vers un pays avec des lois adéquates à sa protection, où les personnes concernées par les données personnelles ont donné leur consentement explicite au transfert. Sinon, la solution passe par l’utilisation de Clauses Contractuelles Standards ou Types, CCTs.
Le/La responsable du traitement devra s’assurer de la sécurité des données. Ceci est fait par la mise en place d’une annexe de sécurité au contrat. Dans cette annexe de sécurité, le fournisseur présente les mesures techniques et organisationnelles qui protègent les données dans un Plan d’Assurance Sécurité (PAS). Ce PAS est analysé et validé avant la signature du contrat et bien entendu avant le transfert des données.
Le point central de la décision de la Cour de Justice Européenne tourne autour du fait que les Clauses Contractuelles Types définissent la relation et les responsabilités entre les deux parties, l’exportateur et l’importateur des données. Mais les clauses ne lient pas toute autre partie pouvant obtenir les données transférées, telles qu’une organisation gouvernementale ou un pays tiers.
Malgré le fait que l’exportateur des données vérifie la sécurisation de celles-ci par l’importateur, il devra aussi s’assurer, avec l’aide de l’importateur, des protections existantes contre les accès des tiers et ceci au cas par cas.
Quel est l’intérêt de l’analyse d’impact du transfert des données personnelles hors UE ?
Il est de la responsabilité des exportateurs des données d’implémenter une Analyse d’Impact du Transfert. Cette analyse d’impact doit évaluer les lois en vigueur dans le pays tiers, l’existence ou non d’organismes indépendants de supervision, l’existence de traités ou des accords liant le pays à la protection de données personnelles ou la véritable application de la loi.
Ce TIA permet certainement une évaluation du risque plus complète.
Il ne faudra faut pas oublier que ce TIA doit être maintenu à jour en fonction des évolutions des législations des pays en matière de protection des données.
Qu’est-ce qu’une décision d’adéquation (adequacy decision) :
La Commission Européenne a le pouvoir de déterminer si un pays en dehors de l’Union Européenne offre un niveau adéquat de protection de données.
La Commission Européenne a reconnu parmi d’autres les pays suivants : Andorre, Argentine, Canada (organisations commerciales), Les Îles Féroé, Nouvelle Zélande, Suisse, Uruguay comme des pays fournissant protection adéquate aux données. Des discussions sont en cours avec la Corée.
Le Royaume Uni a quitté l’Union Européenne le 31 janvier 2020 et est entré dans une période de transition qui s’est finalisée le 31 décembre 2020.
Des transferts de données à partir du Royaume Uni vers l’Union Européenne ou d’autres pays sont assujettis aux règles de transfert de données du régime du Royaume Uni. Le gouvernement britannique a déjà reconnu l’UE comme adéquat, et a adopté les déterminations existantes d’adéquation de l’UE.
En ce qui concerne l’Union Européenne, il y a des clauses qui permettent le transfert de données vers l’UE et qui sont couvertes par la décision d’adéquation de la Commission Européenne. Cette décision est revue périodiquement par le Royaume Uni.
Pour des transferts à partir de l’Union Européenne vers le Royaume Uni, les règles RGPD de l’Union Européenne sont applicables. Le Royaume Uni est à la recherche d’une décision d’adéquation de la part de l’Union Européenne qui permettrait un flux de données libre sous l’égide de ces règles.
Le 19 février 2021, La Commission de l’Union Européenne a émis une proposition de décision d’adéquation pour des flux de données entre l’Union Européenne et le Royaume Uni. Cette décision engage un processus devant conduire à l’adoption de deux décisions relatives à l’adéquation du niveau de protection des données pour les transferts de données à caractère personnel vers le Royaume-Uni, une dans le cadre du règlement de la protection des données et l’autre dans celui de la directive en matière de protection des données dans le domaine répressif.
Cette décision rassurera certainement les entreprises et les organisations des deux côtés de la Manche.
Lire l’article sur la décision rendue par la CJUE au sujet du privacy shield