Transferts RGPD à l’étranger: garanties et pratiques à risque

Droit des affaires | 5 minutes of reading

La gouvernance des données face à l’hébergement de données personnelles en Cloud Computing à l’heure de la surveillance numérique

Section 2. Le transfert de données à l’étranger par le Règlement Général sur la protection des données (RGPD)

Un chapitre entier du RGPD est consacré à cette question qui prend beaucoup d’importance notamment avec le développement du Cloud computing. Les articles 44 et suivants du règlement déterminent les conditions dans lesquelles des données peuvent être transférées vers un pays tiers à l’Union européenne. Nous avons déjà évoqué dans une partie introductive les transferts fondés sur diverses décisions d’adéquation, elles ne seront donc pas traitées dans cette partie. Il sera question d’envisager les transferts fondés sur l’existence de « garanties appropriées » ( A ), ou par l’adoption de règles d’entreprise contraignantes ( B ) et les dérogations prévues pour des « situations particulières » par l’article 49 ( C ).

A. Les transferts fondés sur l’existence de « garanties appropriées »

Un transfert de données personnelles dans un pays qui n’offre pas un niveau de protection adéquat (tel que les États-Unis) peut être autorisé si les parties mettent en place des garanties contractuelles appropriées (art. 46 par. 2 let. c RGPD), appelées plus communément Standard Contractual Clauses (SCC).

L’article 46 du règlement envisage l’existence de ses « clauses types de protection des données » pouvant déterminer les obligations de la personne qui recevra les données personnelles hors du territoire de l’Union européenne. Ces clauses types lient donc l’expéditeur et le destinataire des données et doivent être basées sur les modèles fournis par la Commission Européenne.

Bien entendu, le bon sens veut que l’utilisation de clauses contractuelles types soit exclue si l’autre partie contractante est susceptible d’être concernée par des lois de surveillance contestée ou par d’autres lois litigieuses. Recourir à des règles contraignantes d’entreprises (BCR) ne semble pas non plus possible puisqu’un problème identique se pose, comme le confirme le Comité européen de la protection des données (CEPD) dans une Foire aux questions du 23 juillet 2020 51 .

49 Art 57. Droit à un recours effectif et à accéder à un tribunal impartial.

50 Art 52. Portée des droits garantis

La CJUE rappelle que le choix des clauses contractuelles types pour encadrer un transfert implique que le responsable de traitement des données personnelles, vérifie « au cas par cas […] si le droit du pays tiers de destination assure une protection appropriée […] en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses » 52 . Si le responsable de traitement ne peut mettre en place des mesures supplémentaires suffisantes, il doit renoncer au transfert au risque de voir les autorités de contrôle intervenir.

En théorie donc, le responsable de traitement a l’obligation de procéder à une analyse de la législation et des pratiques en vigueur dans le pays tiers, et le sous-traitant des données doit l’assister au besoin 53 . En pratique, les clauses contractuelles types sont utilisées presque systématiquement à défaut de décision d’adéquation avec le pays tiers. Et il est impossible pour les autorités de contrôle de s’assurer que les garanties offertes par les clauses sont suffisantes pour pallier aux lois de surveillance.

B. L’adoption de règles d’entreprises contraignantes

Même si la Commission européenne n’a pas identifié un pays comme assurant une protection adéquate de données personnelles, il est possible d’y transférer des données si certaines garanties sont prises. La liste en est dressée par l’article 46 du règlement.

Par exemple, il est possible d’adopter des règles d’entreprise contraignantes. Il s’agit de « règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe ».

51 CEPD, Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18 – Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, 23 juillet 2020. 52 CJUE, Jugement du 16 juillet 2020 Schrems II, C-311/18, ECLI:EU:C:2020:559 (point 134)

53 HADDAD (S.), CASANOVA (A.), DUBOIS (N.), « Arrêt “Schrems 2”, La Cour de Justice de l’Union Européenne invalide le système du “Privacy Shield” », Village de la Justice, 2020.

Le dispositif concerne par exemple les multinationales implantées dans et hors de l’Union européenne. Les données peuvent ainsi circuler au sein de ces entreprises, même hors de l’Union européenne dès lors que ces règles d’entreprise ont été approuvées par l’autorité de contrôle. L’article 47 du règlement dresse la longue liste des dispositions que doivent contenir ces règles contraignantes.

L’objectif est évidemment d’assurer le respect du règlement. Il est notamment prévu, que le responsable du traitement ou le sous-traitant établi sur le territoire de l’Union européenne engage sa responsabilité « pour toute violation des règles d’entreprise contraignantes par toute entité concernée non établie dans l’Union ».

C. Le cas particulier de l’article

En l’absence de décision d’adéquation et de garanties appropriées, il est prévu à l’article 49 du RGPD des dérogations permettant les transferts dans des situations spécifiques. Il s’agit notamment des cas où la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées.

C’est une solution couramment utilisée par les plateformes web offrant directement des services aux particuliers. L’utilisateur est alors généralement amené à accepter le transfert à travers les conditions générales d’utilisation du site. Dans le cas d’utilisation de services Cloud, l’usage par des particuliers ne représente qu’une partie minime du marché, l’article 49 n’est donc pas utilisé dans le cadre de transactions interentreprises.

Il faut cependant évoquer que l’utilisation de l’article 49 par des plateformes web a fait l’objet de dérives avec l’utilisation par exemple d’interfaces truquées ou « Dark Patterns » qui « amènent les utilisateurs à prendre des décisions involontaires, non désirées et potentiellement préjudiciables en ce qui concerne le traitement de leurs données à caractère personnel » 54 .

54 EDPB, Recommendations 03/2022 on Dark patterns in social media platform interfaces: How to recognize and avoid them, 21 mars 2022, 64 p.

Après s’être intéressé aux aspects juridiques encadrant l’hébergement de données à l’étranger, il convient de voir quels risques concrets planent sur les entreprises et les autorités publiques ayant fait le choix de cette modalité de services.

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)
Lire aussi :
  1. Nuages de données et souveraineté : enjeux du Cloud Computing moderne
  2. Stratégies Cloud et conformité réglementaire : un défi pour les acteurs privés
  3. Déjouer les risques du cloud : atteintes à la souveraineté et à l’intégrité
  4. Défis et solutions dans la protection des données du Cloud en UE
  5. Défi numérique européen : maîtriser le Cloud souverain en 7 étapes
  6. Transfert de données à l'étranger : risques et responsabilités juridiques
Télécharger le mémoire pdf

Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top