Les outils de transfert de données personnelles vers des pays non couverts par une décision d’adéquation

Qu’est-ce que le transfert de données personnelles ?

La Commission nationale de l'informatique et des libertés définit le transfert de données à caractère personnel comme : "toutes communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’UE".

Qu'est-ce que les outils d’encadrement des transferts de données personnelles hors de l’UE ?

Les organismes souhaitant transférer des données vers des pays non couverts par une décision d’adéquation, peuvent recourir aux outils suivants aussi appelés "garanties appropriées" :

• les clauses contractuelles type (CCT) ;
• les règles internes d’entreprises contraignantes (BCR) ;
• un code de conduite ou un mécanisme de certification approuvé par une autorité de contrôle.

En l’absence de telles garanties appropriées, le transfert peut être réalisé par dérogation à ces outils globaux d’encadrement, dans des situations particulières et des conditions spécifiques décrites notamment à l’article 49 du RGPD.

Qu'est-ce que les garanties appropriées en détail ?

L’utilisation de Clauses contractuelles type (CTT)

On distingue les CTT encadrant les transferts entre deux responsables de traitement et entre un responsable de traitement et un sous-traitant. Le transfert entre deux sous-traitants ne peut donc pas être encadré par de telles clauses. Une fois que les transferts de données ont été identifiés, le responsable de traitement doit identifier les CCT adaptées et les compléter, notamment en ce qui concerne la description du traitement de données envisagé.

Bon à savoir : La CNIL met à disposition sur son site internet, les modèles de contrats et de CCT adoptés par la Commission Européenne dans le cadre du transfert de données personnelles

Aucune autorisation de transfert de la CNIL n’est nécessaire sauf pour des clauses contractuelles spécifiques dites « ad hoc », modifiant et adaptant les clauses proposées par la Commission.

L'utilisation des règles internes d'entreprises (BCR)

Les entreprises multinationales dont certaines entités sont implantées hors du territoire de l’UE dans des pays n’offrant pas un niveau de protection adéquat, ont recours aux règles internes d’entreprises (BCR).

Ces règles permettent de définir la politique et la stratégie du groupe d’entreprises afin d’encadrer les transferts de données personnelles hors de l’UE entre les différentes entités qui le constituent.

Cette mise en conformité globale du groupe permet ainsi d’éviter la prolifération CCT entre chaque entité.

Un groupe d’entreprises peut soumettre un projet de BCR à condition que ces règles :

• soient juridiquement contraignantes ;
• soient mises en application par toutes les entités concernées du groupe d'entreprises ;
• confèrent expressément aux personnes concernées des droits sur le traitement de leurs données personnelles ;
• répondent aux exigences prévues par le RGPD.

Les autorités de protection des données sont en charge de l’évaluation et de la validation de ces conventions vis-à-vis de ces référentiels.

Ces règles permettent :

• d'être en conformité avec les principes du RGPD ;
• d'éviter de conclure autant de contrats qu'il existe de transferts au sein d'un groupe ;
• d'uniformiser les pratiques relatives à la protection des données personnelles au sein d'un groupe ;
• de communiquer sur la politique d'entreprise en matière de protection des données personnelles auprès de ses clients, partenaires et salariés et de leur assurer un niveau de protection satisfaisant lors des transferts de leurs données personnelles ;
• de placer la protection des données au rang des préoccupations éthiques du groupe.

L'utilisation d'un code de conduite ou d'un mécanisme de certification

Le transfert de données personnelles hors UE peut également être fondé sur un code de conduite ou un mécanisme de certification approuvé par une autorité de contrôle, telle que la CNIL en France.

Ces mécanismes comportent l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées.

Quels transferts sont possibles sans décisions d’adéquation ou garanties appropriées ?

Lorsqu’il n’existe pas de garanties appropriées pour le transfert envisagé, ni de décision d’adéquation, le transfert peut s’opérer dans des cas limitativement énumérés à l’article 49 du RGPD :

• la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle ;
• le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande ;
• le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
• le transfert est nécessaire pour des motifs importants d'intérêt public ;
• le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ;
• le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ;
• le transfert a lieu au départ d'un registre qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.

Important : les RT doivent s’efforcer de mettre en place des garanties appropriées et ne recourir à ces exceptions qu’en l’absence de telles garanties.

Enfin, si il n’existe ni décision d’adéquation, ni de garanties appropriées ou que le traitement ne répond à aucune exceptions qui pourraient le légitimer, transférer les données si le transfert :

• ne revêt pas de caractère répétitif ;
• ne concerne qu'un nombre limité de personnes concernées ;
• est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée ;
• et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.