Comité euro­péen de la protec­tion des données (CEPD), Recommendations 01/​2020 on measures that supple­ment trans­fer tools to ensure compliance with the EU level of protec­tion of perso­nal data, 10 novembre 2020 (dispo­nibles unique­ment en anglais à ce jour)

I. Introduction

L’arrêt Schrems II de la Cour de justice de l’Union euro­péenne (CJUE) promet­tait de faire couler beau­coup d’encre et il n’a pas déçu. En substance, cet arrêt d’ores et déjà commenté sur swiss­pri­vacy valide dans leur prin­cipe les clauses contrac­tuelles types ou « Standard Contractual Clauses » (SCC) publiées par la Commission euro­péenne (déci­sion 2010/​87/​UE). Néanmoins, un trans­fert de données hors de l’Union euro­péenne et repo­sant unique­ment sur ces clauses ne peut ipso facto être quali­fié comme offrant un niveau de protec­tion équi­valent à la régle­men­ta­tion euro­péenne au sens de l’art. 46 par. 2 let. c RGPD. En effet, ces clauses ne sont que de nature contrac­tuelle et ne peuvent, partant, faire obstacle à des mesures prises par les auto­ri­tés de l’État desti­na­taire. La nouvelle version des SCC, qui a été publiée dans l’intervalle, ne change rien à cette faiblesse inhé­rente à un système contractuel.

Ainsi, les expor­ta­teurs de données doivent au préa­lable de tout trans­fert procé­der à une évalua­tion des risques au cas par cas et, au besoin, accom­pa­gner les SCC de « garan­ties supplé­men­taires ». Circonspects, plusieurs commen­ta­teurs se sont toute­fois demandé quelles pouvaient bien être ces mesures supplé­men­taires (cf. notam­ment David Vasella sur daten​recht​.ch et Emilie Jacot-Guillarmod sur LawInside). Une ordon­nance du 13 octobre 2020 du Conseil d’État fran­çais rela­tive au Health Data Hub offre certaines pistes de réflexion préliminaires.

II. Recommandations 01/​2020

C’est dans ce contexte que, le 10 novembre 2020, le CEPD a publié ses Recommandations 01/​2020 pour venir en aide aux expor­ta­teurs de données, qu’il s’agisse de respon­sables de trai­te­ment ou de sous-trai­tants privés comme publics. De deux ordres, ces Recommandations portent, d’une part, sur l’évaluation du niveau de protec­tion de l’État desti­na­taire et des risques (A) et, d’autre part, sur l’identification des mesures supplé­men­taires envi­sa­geables en vue de pallier l’insuffisance des SCC (B).

A) Procédure d’évaluation du niveau de protec­tion de l’État destinataire

Pour procé­der à l’évaluation du niveau de protec­tion de l’État desti­na­taire, le CEPD propose une feuille de route (« road­map ») consti­tuée de six étapes :

1. Premièrement, tout expor­ta­teur doit connaître et iden­ti­fier quelles sont les données trans­fé­rées (« know your trans­fers ») et, à cet égard, le registre des acti­vi­tés de trai­te­ment (art. 30 RGPD) peut être parti­cu­liè­re­ment utile ;

2. Ensuite, il est néces­saire d’identifier le fonde­ment juri­dique sur lequel repose le trans­fert et de distin­guer selon qu’il s’agit (i) d’une déci­sion d’adéquation (art. 45 RGPD) ou (ii) de garan­ties appro­priées au sens de l’art. 46 RGPD, parmi lesquelles les SCC, mais aussi les règles d’entreprise contrai­gnantes (« binding corpo­rate rules » ou BCR), les clauses ad hoc ou encore les codes de conduite. Dans la première hypo­thèse, l’examen s’arrête tant et aussi long­temps que la déci­sion d’adéquation demeure valide, alors qu’il se pour­suit dans la seconde ;

3. Dans un troi­sième temps, le droit de l’État desti­na­taire doit être examiné, afin de déter­mi­ner si les garan­ties préci­tées sont in concreto appro­priées et suffi­santes, en ce qu’elles assurent bel et bien un niveau de protec­tion adéquat. Pour ce faire, le CEPD renvoie aux Garanties essen­tielles euro­péennes (« EDPB European Essential Guarantees Recommendations »), en indi­quant que l’examen doit être conduit avec soin (« care­fully exami­ned ») lorsque le droit en ques­tion permet­tant l’accès aux données par des auto­ri­tés de pour­suite ou de sécu­rité natio­nale est ambigu ou n’est pas public. Si la légis­la­tion est lacu­naire, l’examen doit repo­ser sur des critères objec­tifs et non subjec­tifs, à l’instar de la vrai­sem­blance d’un accès aux données ne s’alignant pas sur les stan­dards européens ;

4. Si l’évaluation qui précède révèle une insuf­fi­sance en termes de protec­tion décou­lant soit du droit de l’État de desti­na­tion, soit de sa pratique interne, qui empê­che­rait l’im­por­ta­teur de remplir ses obli­ga­tions en vertu des SCC, des mesures supplé­men­taires doivent être prises qui, par défi­ni­tion, vont au-delà des garan­ties envi­sa­gées par l’art. 46 RGPD ;

5. Lorsque les mesures supplé­men­taires consistent en une modi­fi­ca­tion (et non seule­ment un complé­ment) des SCC ou y contre­viennent, alors le trans­fert est réputé ne plus repo­ser sur des SCC au sens de l’art. 46 RGPD (cf. CEPD, Avis 17/​20), si bien que l’autorisation de l’autorité de contrôle compé­tente (art. 46 par. 3 RGPD) est néces­saire (en droit suisse, la LPD en vigueur prévoit une infor­ma­tion au Préposé fédé­ral à l’art. 6 al. 2 let. a et al. 3) ;

6. Enfin, il sied de rééva­luer de manière régu­lière les déve­lop­pe­ments au sein de l’État de desti­na­tion qui pour­raient impac­ter la procé­dure d’évaluation.

B) Mesures supplémentaires

1. Mesures techniques

Les mesures tech­niques évoquées par le CEPD sont (i) le cryp­tage et (ii) la pseu­do­ny­mi­sa­tion, pour autant que ces mesures puissent garan­tir que l’importateur des données, situé par hypo­thèse dans un État réputé non adéquat, ne dispose pas d’un accès aux données en clear text. Dans une pers­pec­tive pratique, seules ces mesures tech­niques appa­raissent, à l’heure actuelle, capables d’empêcher l’accès des auto­ri­tés publiques du pays de l’importateur aux données person­nelles transférées.

Toutefois, si l’importateur a besoin d’un accès aux données pour rendre le service, les mesures tech­niques préci­tées ne pour­ront pas être mises en place et seules des mesures contrac­tuelles (2) et orga­ni­sa­tion­nelles (3) pour­ront être envisagées.

2. Mesures contractuelles

Le CEPD évoque égale­ment la possi­bi­lité de recou­rir à des mesures contrac­tuelles, étant précisé toute­fois que de telles mesures pour­raient être mises en échec par le droit local appli­cable au réci­pien­daire, ce qui est préci­sé­ment le point criti­qué dans le cadre de Schrems II. Ces mesures contrac­tuelles peuvent notam­ment consis­ter en :

• l’obligation, à charge de l’importateur, d’informer l’exportateur sur le cadre légal appli­cable à l’importateur, notam­ment s’agissant des mesures d’enquête des auto­ri­tés, cette infor­ma­tion permet­tant à l’exportateur de mener à bien le « risk assess­ment » exigé par Schrems II (cf. ci-dessus) ;
• une garan­tie de l’importateur que la solu­tion d’hébergement de données ne contienne pas de « back doors » ;
• des droits d’audit éten­dus en faveur de l’exportateur, de manière à permettre à ce dernier de s’assurer de l’absence de divul­ga­tion à des autorités ;
• une obli­ga­tion, à charge de l’importateur, de confir­mer à inter­valles régu­liers l’absence de requête d’accès d’une auto­rité (la non-trans­mis­sion d’une telle confir­ma­tion signa­lant ainsi à l’exportateur qu’une telle requête a été reçue /​ un tel système est dési­gné par l’appellation « warrant canary » en réfé­rence aux mineurs qui appor­taient des cana­ris dans les mines de char­bon pour déce­ler des gaz toxiques) ;
• une obli­ga­tion, à charge de l’importateur, de prendre toute mesure utile pour proté­ger les données, par exemple l’obligation de requé­rir des mesures provi­sion­nelles pour suspendre l’ordre de divul­ga­tion, de contes­ter cet ordre en justice et de limi­ter toute divul­ga­tion au strict mini­mum requis.

3. Mesures organisationnelles

Les mesures orga­ni­sa­tion­nelles comprennent les poli­tiques et proces­sus de l’exportateur, dont l’importateur doit égale­ment garan­tir le respect, de manière à assu­rer la protec­tion des données durant tout le cycle de trai­te­ment des données. Ces mesures orga­ni­sa­tion­nelles peuvent notam­ment porter sur la mise en œuvre d’une struc­ture de gouver­nance rela­tive aux trans­ferts trans­fron­ta­liers de données, sur la docu­men­ta­tion des requêtes d’accès émanant d’autorités étran­gères et sur la fixa­tion de prin­cipes en matière de mini­mi­sa­tion de données.

III. Conclusion

En résumé, l’on retien­dra que ces Recommandations reflètent les attentes très élevées du CEPD s’agissant des mesures à prendre suite à l’arrêt Schrems II. Les mesures contrac­tuelles propo­sées dans les Recommandations consti­tuent une palette inté­res­sante de clauses qui pour­raient, à l’avenir, faci­li­ter les négo­cia­tions avec les pres­ta­taires de services par l’émergence d’un certain « stan­dard mini­mal » concer­nant les enga­ge­ments contrac­tuels. Un premier pas en ce sens a du reste déjà été fran­chi vu que, moins de 10 jours après la publi­ca­tion de ces Recommandations, Microsoft a annoncé (le 19 novembre 2020) une modi­fi­ca­tion de ses condi­tions contrac­tuelles, afin de reflé­ter certains des points évoqués ci-dessus. En tout état de cause, on gardera à l’esprit que le CEPD consi­dère que les mesures contrac­tuelles et orga­ni­sa­tion­nelles ne sont effi­caces de manière auto­nome que lorsque la légis­la­tion de l’État de desti­na­tion est conforme aux Garanties essen­tielles euro­péennes, donc quand l’accès aux données person­nelles par les auto­ri­tés publiques en vertu du droit natio­nal est suffi­sam­ment enca­dré et limité.