Transferts de données hors UE : ce qui change avec le règlement général sur la protection des données (RGPD)

24 mai 2018

Les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) à condition d’assurer un niveau de protection des données suffisant et approprié. Ils doivent encadrer ces transferts en utilisant les différents outils juridiques définis au chapitre V du RGPD.

Les modèles de clauses contractuelles types sont toujours d’actualité et peuvent être utilisées dans l’attente d’une prochaine mise à jour.


Internet et la numérisation des biens et services ont transformé l'économie mondiale en facilitant la circulation des données dans le monde. Les échanges commerciaux reposent de plus en plus sur les flux de données personnelles et la confidentialité, la sécurité de ces données sont devenus des facteurs centraux de la confiance des consommateurs, mais également des entreprises désireuses d’un cadre à la fois sûr et compétitif.

Le règlement européen sur la protection des données (RGPD) encadre précisément les transferts internationaux de données. Il complète la gamme des outils existants permettant l'encadrement de ces transferts, afin de répondre aux différentes situations rencontrées par les responsables de traitements de données et leurs sous-traitants.

Quels outils pour encadrer les transferts de données hors EEE ?

Le RGPD élargit la gamme d’outils juridique permettant d’encadrer les transferts. Ils pourront être utilisés tant par les responsables de traitement que par les sous-traitants.

Afin d’assurer un haut niveau de protection des données transférées du territoire européen à des Etats tiers, les organismes souhaitant transférer des données peuvent recourir aux outils suivants :

  • La décision d’adéquation (art. 45 du RGPD), qui constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un Etat, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet Etat ;
  • En l’absence d’une telle décision, des « garanties appropriées » (art. 46 du RGPD), constituées pour la majorité de décisions des autorités de contrôle et qui sont prises à la lumière des engagements des organismes concernés ;      

En l’absence de telles garanties appropriées, le transfert peut enfin être réalisé par dérogation  à ces outils globaux d’encadrement, dans des situations particulières et des conditions spécifiques

Les mécanismes actuels d’encadrement des transferts actuels restent valables

Les transferts hors UE peuvent être fondés sur :

Avec le RGPD, les transferts peuvent également être encadrés par :

  • des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
  • un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées), 
  • un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
  • un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).

Les outils de transferts RGPD

Après le 25/05/2018, quand faudra-t-il demander l'autorisation de la CNIL ?

Le RGPD prévoit un allégement important des formalités auprès des autorités de protection des données. Ainsi, à compter du 25 mai 2018,

Pas d'autorisation de la CNIL

Si le transfert est fondé sur :

  • Des clauses contractuelles types de protection des données adoptées par la Commission européenne ou par une autorité de contrôle avec approbation de la Commission européenne ;
  • Des règles internes d’entreprise dites BCR ;
  • Un code de conduite approuvé par une autorité de contrôle ; 
  • Un mécanisme de certification par une autorité de contrôle ou par un organisme de certification agréé par une autorité de contrôle ou un organisme national d’accréditation ;  
  • Des instruments juridiques contraignants entre autorités publiques (telle une convention internationale).

Autorisation de la CNIL nécéssaire

Si le transfert est fondé sur :

  • Des clauses contractuelles spécifiques entre le responsable d'un fichier ou un sous-traitant et un autre responsable de fichier, un sous-traitant ou un destinataire des données dans le pays tiers ou l'organisation internationale ;
  • Des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées. 

Maintien des autorisations accordées

  • Les autorisations de transfert accordées avant le 25 mai 2018 sur le fondement de la précédente législation restent valables jusqu’à leur modification, remplacement ou abrogation par l’autorité de contrôle.

    Concrètement, les entreprises pourront se prévaloir de ces autorisations tant que les garanties et les décisions sur lesquelles sont fondés leurs transferts sont toujours valables, par exemple, tant que les Clauses contractuelles type adoptées par la Commission européenne n’ont pas été modifiées, remplacées ou abrogées. Si tel est le cas, à défaut de dispositions spécifiques contraires, il sera nécessaire de signer de nouvelles clauses ou de prévoir de nouvelles garanties appropriées pour encadrer les flux de données hors du territoire européen.
     

  • Les décisions d’approbation des BCR restent également valables. Toutefois les groupes ayant des BCR déjà approuvées doivent adapter leurs BCR aux exigences des nouveaux référentiels du G29
    (WP256 et WP257, anciennement WP153 et WP195, tels qu’adoptés le 6 février 2018), de sorte que les transferts vers les pays tiers effectués sur cette base soient conformes au RGPD.
    En effet, compte tenu de la nature des BCR, elles doivent nécessairement tenir compte de toute modification de l'environnement législatif et réglementaire dans lequel elles sont utilisées et doivent être modifiées en conséquence. Les détenteurs actuels de BCR approuvées, sont invités à mettre à jour leurs BCR aux autorités de contrôle concernées via l’autorité chef de file BCR à compter du 25 mai 2018. Cette mise à jour RGPD ne nécessitera pas une nouvelle approbation européenne.

Quelle garantie appropriée choisir pour encadrer mes transferts ?

Les outils de transfert désormais proposés par le RGPD sont complémentaires et répondent chacun à un besoin spécifique tant pour le secteur privé que pour le secteur public. Tous ne sont pas encore effectifs mais, à terme, ils présentent des avantages réels pour toutes les parties prenantes, individus, partenaires commerciaux, autorités de protection des données. Ils permettent aux organisations d’offrir une meilleure conformité et une protection plus efficace pour les individus.


Où en sont les travaux du G29 en matière de transfert ?

Le G29 revoit ses orientations en matière de transfert pour les mettre à jour dans le contexte du  Règlement général de l'UE sur la protection des données et de la jurisprudence récente de la Cour de justice de l’Union européenne (affaire Schrems, 6 Octobre 2015).

Les travaux en cours portent essentiellement sur