Pour aider les entreprises exportatrices de données à caractère personnel à évaluer les pays tiers et à identifier les mesures complémentaires appropriées, le Conseil européen de la protection des données (CEPD) a adopté six recommandations. L’arrêt de la Cour de justice de l’Union européenne invalidant le Privacy Shield, avait laissé aux entreprises le soin de négocier ou de renégocier les contrats de transfert des données au cas par cas. Celles-ci n’étaient pas complètement démunies, puisqu’elles pouvaient s’appuyer sur les Clauses Contractuelles Types (CCT) : des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.
La Cour avait confirmé la validité des clauses contractuelles types, en tant qu’outil de transfert pouvant servir à assurer contractuellement un niveau de protection essentiellement équivalent pour les données transférées vers des pays tiers.
Cependant, la Cour a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT. En d’autres termes, la législation du pays de réception des données doit avoir un arsenal juridique au moins équivalent à celui de l’Europe. Pour clarifier certaines précautions à prendre et de vérifications à effectuer, le Comité Européen de la Protection des Données ou European Data Protection Board, vient de publier une série de recommandations adoptées par le Conseil européen de la protection des données (CEPD).
Des recommandations étape par étape
Elles sont destinées aux exportateurs de données (responsables du traitement ou de sous-traitants, d’entités privées ou d’organismes publics, traitant des données à caractère personnel dans le cadre de l’application du GDPR) pour leur permettre d’évaluer les pays tiers et identifier les mesures complémentaires appropriées le cas échéant. Ces recommandations fournissent aux exportateurs une série de six étapes à suivre, des sources d’information potentielles et quelques exemples de mesures supplémentaires qui pourraient être mises en place.
Par exemple, la première étape consiste à savoir précisément où vont les données personnelles transférées, en cartographiant tous les transferts de données personnelles vers des pays tiers. Il s’agit de s’assurer qu’elles bénéficient d’un niveau de protection essentiellement équivalent, quel que soit le lieu où elles sont traitées. Vous devez également vérifier que les données que vous transférez sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont transférées et traitées dans le pays tiers.
Une deuxième étape consiste à vérifier l’outil de transfert sur lequel repose votre transfert, parmi ceux qui sont énumérés au chapitre V du GDPR. Si la Commission européenne a déjà déclaré que le pays, la région ou le secteur vers lequel vous transférez les données est adéquat, et tant que la décision est encore en vigueur, vous n’aurez pas besoin de prendre d’autres mesures, si ce n’est de vérifier que la décision d’adéquation reste valable.
En l’absence d’une décision d’adéquation, vous devez recourir à l’un des outils de transfert énumérés à l’article 46 du RPPP pour les transferts qui sont réguliers et répétitifs. Ce n’est que dans certains cas de transferts occasionnels et non répétitifs que vous pouvez vous prévaloir de l’une des dérogations prévues à l’article 49 PIBR, si vous remplissez les conditions.
Cliquez sur ce lien de téléchargement pour avoir accès à l’intégralité des six recommandations.