Les mesures préconisées par le CEPD pour transférer légalement des données hors Europe

Il manquait, depuis l’invalidation du Privacy Shield le 16 juillet 2020 par la Cour de justice de l’Union européenne (CJUE), la définition des “mesures complémentaires” – juridiques, techniques ou organisationnelles – que peuvent mettre en place les acteurs européens souhaitant continuer à transférer des données à caractère personnel vers les États-Unis. Pour rappel, les données de santé sont donc concernées, ainsi que les solutions d’hébergement de sociétés soumises au droit étasunien et le transfert de données à des fins de stockage ou de maintenance. Donner accès aux données équivaut à un transfert, a rappelé cet été la Commission nationale de l’informatique et des libertés (Cnil). La CJUE a estimé que les exigences du droit américain n’étaient pas équivalentes à celles requises par le droit de l’Union européenne, donc par le règlement général sur la protection des données (RGPD).

Le Comité européen pour la protection des données (CEPD) a adopté le 10 novembre ses recommandations en matière de “mesures complémentaires” aux clauses contractuelles types (CCT) pour s’assurer de continuer à respecter le RGPD, ou du moins d’assurer aux données une protection équivalente. Si ces recommandations sont ouvertes à consultation publique jusqu’au 30 novembre, elles s’appliquent d’ores et déjà aux acteurs européens concernés, publics comme privés. Le document du CEPD, long de 38 pages, propose en premier lieu une feuille de route des six étapes permettant déjà d’estimer le besoin ou non de mesures complémentaires puis d’identifier celles qui s’avéreraient efficaces : cartographie de tous les transferts dans des pays tiers et des données concernées en s’assurant que les données transférées ne sont limitées qu’au strict nécessaire, vérification des outils de transfert utilisés, évaluation des lois et pratiques du pays tiers et de leurs conséquences sur le niveau de protection des données, identification et adoption de mesures complémentaires, respect des formalités locales associées et enfin réévaluation à intervalles “appropriés” du niveau de protection des données transférées qui nécessite “une vigilance constante”.

“Pas de solution miracle”

Le CEPD liste également une série de mesures, qui ne sont que des exemples “non exhaustifs”, précisant pour chacune les conditions requises. Mesures qui peuvent être combinées. Il précise que des mesures contractuelles et organisationnelles seules ne suffiront généralement pas, ne pouvant pas exclure par exemple “l’application de la législation d’un pays tiers qui ne répond pas aux garanties européennes dans le cas où cette législation oblige les importateurs à se conformer aux ordres de divulguer les données qu’ils reçoivent des autorités publiques”. À l’inverse, des mesures techniques peuvent à elles seules entraver ou empêcher l’accès aux données par des autorités internationales, en particulier à des fins de surveillance, comme des données cryptées ou pseudonymisées et pour lesquelles seul l’acteur européen détient la clé de chiffrement ou l’algorithme de réidentification.

Le CEPD rappelle enfin aux acteurs européens l’importance de ce processus, la responsabilité du respect du RGPD leur incombant, y compris celle relative à l’efficacité de ces mesures complémentaires. Mais le CEPD souligne aussi la possibilité qu’aucune mesure suffisante ne soit intégrable au vu de la diversité des situations… “Il n’existe pas de solution miracle, ni de solution universelle pour tous les transferts”, déclare la présidente du Comité Andrea Jelinek. Dans ce cas, les responsables de traitement doivent “éviter, suspendre ou mettre un terme au transfert” concerné “pour éviter que le niveau de protection des données personnelles ne soit compromis”.