Le comité européen de la protection des données (EDPB) fournit aux entreprises des conseils pour garantir la protection des données personnelles lors de leur transfert en dehors de l’Europe.
Comment respecter la réglementation européenne lors d’un transfert de données en dehors de l’Europe ? © mixmagic – stock.adobe.com
Après la suspension du Privacy Shield en juillet dernier, les entreprises ont dû revoir leur manière de transférer les données personnelles de leurs utilisateurs en dehors de l’Europe, tout en respectant la réglementation en vigueur. Pour répondre aux questions des milliers d’entreprises concernées, le comité européen de la protection des données (EDPB) a publié un guide de 38 pages, qui contient une feuille de route avec une série de 6 recommandations à suivre. Elles visent notamment les responsables de traitement et les sous-traitants, qui agissent en tant qu’exportateurs de données. L’objectif : les accompagner dans leur devoir d’identification et de mise en œuvre des mesures à prendre pour garantir la protection des données personnelles lors de leur transfert en dehors de l’Espace Économique Européen.
L’EDPB est parfaitement conscient de l’impact de l’arrêt Schrems II sur des milliers d’entreprises de l’UE et de la responsabilité importante qu’il place sur les exportateurs de données. L’EDPB espère que ces recommandations pourront aider les exportateurs de données à identifier et à mettre en œuvre des mesures complémentaires efficaces là où elles sont nécessaires. Notre objectif est de permettre des transferts licites de données personnelles vers des pays tiers tout en garantissant que les données transférées bénéficient d’un niveau de protection essentiellement équivalent à celui garanti dans l’EEE, a déclaré Andrea Jelinek, le président de l’EDPB.
En tant qu’exportateurs de données, les entreprises sont responsables d’évaluer le contexte dans lequel est effectué leur transfert vers un pays tiers, connaître la législation en vigueur dans le pays de destination, ainsi que les outils utilisés pour réaliser cette opération.
1. Identifier les transferts internationaux de données
Avec cette première recommandation, le comité européen conseille aux entreprises d’identifier tous les transferts de données à caractère personnel vers des pays en dehors de l’EEE. Elles doivent s’assurer que les juridictions des pays dans lesquelles les données sont envoyées respectent les normes du RGPD pour garantir qu’elles bénéficient d’un niveau de protection suffisant. Les données transférées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont transférées et traitées dans le pays tiers », précise l’instance.
2. Identifier les mécanismes de transfert de données
Une fois que les flux de données à caractère personnel ont été identifiés, l’EDPB demande aux entreprises de s’assurer que les outils de transfert sur lesquels ils s’appuient sont conformes aux dispositions du RGPD relatives aux transferts internationaux. Ces mécanismes de transfert incluent :
- les clauses standard de protection des données (de type SCC) approuvées par la Commission européenne,
- les règles d’entreprise contraignantes (BCR),
- les codes de conduite approuvés,
- les mécanismes de certification,
- les clauses contractuelles ad hoc.
3. Évaluer la législation du pays tiers
La législation en vigueur au sein du pays de l’importateur de ces données, situé en dehors de l’EEE, doit être évalué pour s’assurer qu’elle n’empiètera pas sur les garanties liées aux outils de transfert. Cette étape doit prendre en compte la nature, la quantité, les types de données à caractère personnel, le contexte de leur transfert ainsi que l’objet du traitement effectué par l’entreprise destinataire.
4. Adopter des mesures supplémentaires
Cette 4e recommandation du guide pratique de l’EDPB prend en compte le cas où l’entreprise exportatrice constaterait que la législation s’appliquant à l’importateur des données pourrait avoir un impact sur l’efficacité des mécanismes de transfert. Pour garantir un niveau équivalent à la norme européenne sur la protection des données personnelles, il est préconisé d’adopter des mesures supplémentaires d’ordre technique, contractuelle et organisationnelle :
- des mesures techniques, telles que le cryptage, la pseudonymisation ou le traitement fractionné,
- des mesures contractuelles, comme l’obligation de transparence, ou la disposition selon laquelle les données ne peuvent être consultées qu’avec le consentement de l’exportateur ou de la personne concernée,
- des mesures organisationnelles, à savoir des politiques internes de gouvernance des transferts, la publication régulière de rapport de transparence, l’adoption de politiques d’accès et de confidentialité des données, ou encore l’implication du délégué à la protection des données sur toutes les questions liées à leur transfert.
5. Adopter les étapes procédurales nécessaires
Selon l’EDPB, toutes les mesures procédurales pouvant être nécessaires pour les entreprises, afin de fournir un niveau de protection approprié lors du transfert des données, doivent être prises par les entreprises. Il peut s’agir de la mise en place de procédures de sauvegarde adéquate ou de la consultation d’une autorité européenne compétente en matière de protection des données. Ces étapes procédurales peuvent être intégrées au sein de la politique de l’entreprise.
6. Réévaluer à intervalles appropriées
Dans cette dernière recommandation, le comité européen insiste sur la surveillance des mesures prises et leur application, ainsi que leur réévaluation en cas de besoin, dans le but d’assurer un niveau de conformité aux réglementations européennes de manière continue.
Vous devez surveiller, en permanence, et le cas échéant en collaboration avec les importateurs de données, les développements dans le pays tiers vers lequel vous avez transféré des données personnelles, qui pourraient affecter votre évaluation initiale du niveau de protection et des décisions que vous avez pu prendre en conséquence sur vos transferts, précise l’EDPB.
Le guide pratique mis en ligne par le comité européen de la protection des données, à l’occasion de sa 41e session plénière, est ouvert à la consultation publique jusqu’au 30 novembre. La série de recommandations sera ensuite officialisée et appliquée immédiatement après sa publication.
Recevez par email toute l’actualité du digital
