Le Comité européen de la Protection des données (« CEPD ») a publié, le 10 novembre 2020, un document dans lequel il formule des recommandations quant aux « mesures supplémentaires » aux outils de transfert de données hors UE permettant d’assurer un niveau de protection des données équivalent à celui de l’Union européenne.
Pour rappel, la Cour de justice de l’Union européenne (CJUE) a, par une décision du 16 juillet 2020, estimé que les exportateurs de données à caractère personnel doivent s’assurer, au cas par cas, que les lois et pratiques des pays tiers à l’UE (destinataires des données) n’entravent pas l’efficacité des garanties appropriées (Clauses contractuelles types, etc.) permettant le transfert de donnes à caractère personnel vers ces pays (voir notre article). Dans le cas où ces lois et pratiques entravent l’efficacité des telles garanties, les exportateurs de données doivent mettre en œuvre des « mesures supplémentaires » afin de combler les lacunes des lois et pratiques du pays de destination des données.
Afin d’aider les exportateurs de données dans leur travail (i) d’évaluation du niveau de protection offert par les pays tiers et (ii) d’identification des « mesures supplémentaires » appropriées, le CEPD a adopté, le 10 novembre 2020, plusieurs recommandations.
I. S’agissant de l’évaluation du niveau de protection offert par le pays tiers destinataire des données, elle doit se concentrer sur la législation applicable au transfert et à l’outil de transfert dont elle peut entraver l’efficacité.
Le CEPD invite, à ce titre, à se référer à son guide du 13 avril 2016 intitulé « European Essential Guarantees recommendations » qui avait pour objet de traiter des conséquences de l’invalidation du Safe Harbor.
Cette évaluation du niveau de protection doit être particulièrement méticuleuse lorsque la législation applicable est ambiguë ou bien n’est pas accessible au public.
En l’absence de législation applicable, l’exportateur doit être attentif aux facteurs objectifs pertinents, et ne pas se reposer sur des facteurs subjectifs, tels que la vraisemblance d’un accès de la part des autorités publiques non-adéquat aux standards européens.
Ce travail d’évaluation doit être mené avec diligence, être documenté et être renouvelé à « intervalles appropriés ».
Si cette évaluation révèle que les lois et/ou pratiques sont susceptibles d’entraver les garanties appropriées, l’exportateur doit identifier et adopter les « mesures supplémentaires » permettant de porter le niveau de protection des données transférées à un niveau équivalent à celui des standards européens.
II. S’agissant des « mesures supplémentaires», le CEPD en fournit une liste non-exhaustive :
- appliquer un chiffrement conforme à l’état de l’art avant de transférer les données, sans que le destinataire ne dispose d’une clé de déchiffrement, à moins que ce destinataire ne soit protégé par les lois du pays tiers (par exemple, par un secret professionnel) ;
- pseudonymiser les données avant leur transfert ;
- s’assurer que les données sont traitées par plusieurs sous-traitants indépendants situés dans différentes juridictions, sans que le contenu des données ne leur soit communiqué ; avant leur transmission, les données doivent être divisées de telle sorte que les données adressées à l’un des sous-traitant ne permet pas de « reconstruire » tout ou partie des données à caractère personnel.
Le CEPD indique n’avoir pas identifié de « mesure supplémentaire » dans les cas suivants :
- un transfert de données vers un prestataire « Cloud », dont le service nécessite un accès aux données en clair, situé dans un pays dont les autorités ont un pouvoir d’accès aux données qui va au-delà de ce qui est nécessaire dans une société démocratique ;
- un accès en clair aux données personnelles de l’exportateur, par un responsable du traitement situé dans un pays tiers à l’EEA, dont les autorités ont un pouvoir d’accès aux données qui va au-delà de ce qui est nécessaire dans une société démocratique.
Dans ces deux situations, le CEPD considère que le chiffrement des données ne saurait constituer une « mesure supplémentaire », si le destinataire des données est en possession d’une clé de déchiffrement.
Dans ce contexte, nous vous invitons à vous référer à nos recommandations.
Lien vers les recommandations du CEPD : https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf
