L’essor d’internet, la numérisation des biens et services et l’usage croissant des nouvelles technologies ont favorisé une circulation massive de données à travers le monde. Cependant, les transferts internationaux de données, notamment en dehors de l’UE et de l’Espace Economique Européen (EEE), sont fortement encadrés par le RGPD. Ce cadre légal s’est d’ailleurs renforcé depuis l’invalidation du Privacy Shield et l’application de nouvelles règles. Quelles sont les dispositions du RGPD en matière de transferts internationaux de données ? Eléments de réponse avec NH Conseil, cabinet de conseil spécialisé en protection des données personnelles.
Les exigences du RGPD pour les transferts de données en dehors de l’UE
Pour peu qu’ils assurent un niveau de protection des données suffisant et approprié, les organismes peuvent transférer des données hors de l’UE et de l’EEE (UE et Norvège, Islande et Lichtenstein). Pour garantir ce niveau de protection, les responsables de traitement et les sous-traitants doivent se référer aux outils juridiques prévus par le RGPD pour les transferts internationaux de données.
Au nombre des outils encadrant le transfert de données depuis l’UE/EEE vers un Etat tiers figure la décision d’adéquation prévue à l’article 45 du RGPD. Rendue par la Commission Européenne, elle permet d’attester que le pays destinataire des données dispose d’un niveau de protection suffisant, en harmonie avec les normes européennes. Le cas échéant, l’organisme transférant les données hors UE n’est plus tenu de fournir des garanties supplémentaires pour cette opération.
En absence d’une décision d’adéquation, d’autres garanties dites « garanties appropriées », visées à l’article 46 du RGPD, doivent être mises en place. Celles-ci sont prises à la lueur des engagements des entités concernées en termes de protection des données personnelles, de la vie privée et des droits fondamentaux des personnes concernées. Si ces garanties appropriées n’existent pas, les transferts internationaux de données peuvent être effectués, par dérogation, dans des situations précises et à des conditions clairement définies à l’article 49 du RGPD.
Les transferts de données entre l’Union européenne (UE) et les Etats-Unis (USA)
Outre la décision d’adéquation, les transferts internationaux de données peuvent notamment être encadrés par des instruments contractuels déployés entre les parties prenantes, tels que les Clauses Contractuelles Types (CCT).
Les Clauses contractuelles types (CCT) et le RGPD
Modèles de contrats adoptés par la Commission européenne ou un Etat membre de l’UE, les clauses contractuelles types (CCT) encadrent les transferts de données hors UE. Elles représentent un ensemble de clauses établies entre l’exportateur et l’importateur de données.
En pratique, ces clauses sont applicables que le transfert ait lieu entre deux responsables de traitement, deux sous-traitants, ou encore entre un responsable de traitement et un sous-traitant. Intégrées au contrat entre les entités concernées, les clauses contractuelles types (CCT) encadrent le transfert de données. Toutefois, depuis l’arrêt de la Cour de Justice de l’Union européenne (CJUE) dit « Schrems II », elles ont connu des modifications pour se conformer aux exigences du RGPD.
Depuis cette jurisprudence, le régime juridique des transferts internationaux a considérablement évolué, impliquant des changements concernant tant les clauses contractuelles types (CCT) que le transfert de données vers les USA. Si l’arrêt « Schrems II » a reconnu la validité des clauses contractuelles types (CCT), la CJUE a soumis leur utilisation à une analyse préalable du cadre juridique applicable dans le pays tiers et de sa conformité aux stipulations des clauses contractuelles types (CCT). En cas de contradiction avec les clauses contractuelles types (CCT), des mesures supplémentaires doivent être prises pour garantir une protection appropriée des données. Une telle exigence conforte, s’il le fallait encore, la nécessité de nommer un DPO.
L’invalidation du Privacy Shield et la mise en place de mesures supplémentaires
Suite à l’invalidation du Safe Harbor, le Privacy Shield, accord entre l’UE et les Etats-Unis en matière de protection des données personnelles dans le cadre des transferts transantlatiques permettait de transférer librement les données vers le territoire américain. Toutefois, à travers l’arrêt dit « Schrems II » rendu le 16 juillet 2020 par la Cour de justice de l’Union Européenne (CJUE) , le juge européen a invalidé le Privacy Shield.
Les transferts internationaux de données vers les Etats-Unis depuis 2023
Dans le cas des Etats-Unis, à la suite d’une analyse de la législation américaine, la Cour de Justice de l’Union européenne (CJUE) a estimé que la règlementation américaine sur la protection des données n’offrait pas un niveau de protection des données personnelles suffisant. Elle a donc prononcé l’annulation du Privacy Shield. Pour pallier la suppression du Privacy Shield, la Commission européenne a mis à jour les clauses contractuelles types (CCT) le 4 juin 2021.
Cependant, depuis le 10 juillet 2023, les transferts internationaux de données entre les USA et l’UE sont encadrés par un nouveau système visant à remplacer le Privacy Shield : le Data Privacy Framework. De facto, pour répondre aux insuffisances relevées par la Cour de Justice de l’Union européenne (CJUE) dans l’arrêt « Schrems II », les Etats-Unis ont introduit de nouvelles garanties sur la protection des données. Suite à cette mise en conformité, la Commission européenne a adopté sa décision d’adéquation du cadre de confidentialité des données entre l’UE et les Etats-Unis. Pour peu qu’ils s’inscrivent dans le cadre de ce nouvel accord, les transferts internationaux de données de l’UE vers les USA sont libres et conformes au RGPD.
Les conséquences du Brexit sur les transferts de données entre l’UE et le Royaume-Uni
Depuis le 1er février 2020, le Royaume-Uni s’est retiré de l’UE. Ce retrait, appelé « Brexit », a modifié le cadre juridique des échanges de données personnelles entre le Royaume-Uni et l’Union européenne. Il est donc judicieux de s’interroger sur les conséquences du Brexit sur les transferts internationaux de données entre le Royaume-Uni et l’UE.
Dans une décision adoptée le 28 juin 2021, la Commission européenne a rendu deux décisions d’adéquation, dont l’une sur le transfert de données entre l’Union européenne et le Royaume-Uni. Selon cette décision, les transferts de données de l’UE vers le Royaume-Uni sont conformes aux RGPD et peuvent s’effectuer sans encadrement spécifique ou garanties supplémentaires.
Toutefois, cette décision d’adéquation expire en 2024. De plus, suite à un projet de loi visant à réorganiser la protection des données personnelles Outre-Manche, l’adéquation du système britannique de protection des données personnelles pourrait être remis en question. En effet, ce projet de loi implique des changements majeurs, lesquels pourraient être contraires aux dispositions du RGPD sur les transferts internationaux de données. En temps opportun, la Commission procédera certainement à une réévaluation de la situation.