Le 18 novembre 2021, le Comité Européen de la Protection des Données, le « CEPD »[1] a publié (en anglais) un projet de lignes directrices (ci-après « Lignes directrices ») sur l’interaction entre l’application de l’article 3 (champ d’application territorial) et les dispositions sur les transferts internationaux au chapitre V du Règlement général sur la Protection des Données («RGPD »).
L’objectif des lignes directrices est notamment de clarifier les cas dans lesquels le chapitre V du RGPD s’applique. Le chapitre V vise à garantir une protection continue des données personnelles, même lorsque les données sont transférées vers des « pays tiers ».
Le présent article donne un aperçu des Lignes directrices.
Contexte : comment traiter les flux de données vers des organisations hors UE mais soumises au RGPD ?
Ces Lignes directrices ont été établies principalement pour la raison suivante : le RGPD s’applique non seulement à des organismes établis dans l’UE (ou plutôt l’Espace Economique Européen ou « EEE ») mais aussi à certains responsables du traitement et aux sous-traitants établis en dehors de l’UE. En effet, le RGPD s’applique à des organisations établies en dehors de l’UE (i) en vertu de l’article 3 (2) du RGPD, en application du critère dit de « ciblage » et (ii) dans certains cas plus exceptionnels, selon une interprétation très large de l’article 3 (1) du RGPD en application du critère dit de « l’établissement » (comme c’est le cas notamment dans l’arrêt « Google Spain » de la CJUE[2]). Ainsi, la question s’est posée de savoir si un transfert de données par une organisation dans l’UE à des organisations établies hors de l’UE mais entrant dans le champ d’application du RGPD en application de l’article 3, devait être conforme au chapitre V, étant donné que les destinataires doivent déjà se conformer au RGPD. Ne faudrait-il pas traiter ce genre de transfert de la même façon qu’un transfert au sein même de l’UE ?
Sur le principe, le CEPD indique clairement que le chapitre V du RGPD doit s’appliquer même dans la situation où le traitement relève de l’article 3 (2) du RGPD, et ce « pour éviter que la protection offerte par le RGPD ne soit compromise par la législation dont relève l’importateur ».
À cet effet, les Lignes directrices s’attachent à clarifier les critères d’un transfert de données vers un pays tiers en vertu du chapitre V du RGPD. Le CEPD illustre ses orientations par des exemples permettant de déterminer si ces critères sont remplis.
Critères du transfert international de données
Selon les Lignes directrices, il y a transfert international de données si le traitement en question remplit les trois critères suivants :
- un responsable du traitement ou un sous-traitant soumis au RGPD pour un traitement donné ;
- ledit responsable du traitement ou le sous-traitant agit comme un « exportateur » en divulguant par transmission des données personnelles du traitement en question, ou en les mettant autrement à disposition d’un autre responsable du traitement ou sous-traitant (un « importateur ») ; et
- l’importateur se trouve dans un pays tiers (peu important qu’il soit soumis ou non au RGPD en application de l’article 3).
Premier critère : l’exportateur de données est soumis au RGPD pour un traitement donné
Comme indiqué ci-dessus, le premier critère couvre de manière égale les deux types de situations :
- les traitements de données personnelles effectués dans le cadre des activités d’un établissement dans l’UE (l’art. 3(1) du RGPD) ; et
- les traitements des données des organisations qui ne sont pas établies dans l’UE lorsque ces traitements concernent des personnes physiques dans l’UE dans le cadre soit (i) de l’offre de biens ou de services à des personnes de l’UE, soit (ii) du suivi du comportement de personnes dans l’UE (article 3(2) du RGPD).
Le CEPD souligne que pour éviter des erreurs, il faut prendre en compte l’activité de traitement concernée plutôt que l’entreprise elle-même.
Deuxième critère : les données sont transférées entre deux « parties » (exportateur et importateur)
Il faut que deux « parties » différentes soient impliquées pour qu’il y ait un transfert international au titre du chapitre V : un exportateur (responsable du traitement ou sous-traitant) qui partage les données personnelles avec un importateur (responsable du traitement ou sous-traitant). Le CEPD illustre ce point à l’aide d’un certain nombre d’exemples.
L’exemple 5 permet de clarifier que l’accès à distance au système informatique de son entreprise (dans l’UE) par un employé voyageant à l’étranger (hors UE) n’équivaut pas à un transfert de données, puisque l’employé n’est pas une partie différente (il n’est ni un responsable du traitement, ni un sous-traitant). Au contraire, l’employé fait partie intégrante de l’entreprise européenne. Le traitement n’engage pas deux parties différentes, et il n’y a donc pas à proprement parler de transfert de données.
L’exemple 1 clarifie quant à lui que la collecte d’informations par un site de e-commerce hors UE auprès d’un individu basé dans l’UE qui lui achète un bien en ligne, ne constitue par un transfert international de données, car cet individu n’est ni un responsable du traitement ni un sous-traitant. Dans ce scenario il n’y a pas d’exportateur de données.
Les Lignes directrices rappellent aussi que l’exportateur peut être un sous-traitant transférant des données vers un sous-traitant ultérieur hors de l’UE ou vers un responsable de traitement hors UE.
Un certain nombre de situations supplémentaires de flux de données mériteraient d’être expliquées dans ces Lignes directrices, comme par exemple, le partage de données entre une succursale de l’UE et son siège social dans le pays tiers. Cela sera peut-être le cas dans la version définitive des Lignes directrices.
Troisième critère : l’importateur se trouve dans un pays tiers (peu important qu’il soit soumis ou non au RGPD en application de l’article 3)
Le destinataire des données, « l’importateur », doit être situé dans un pays tiers (à savoir un pays non membre de l’UE /l’EEE), et il importe peu que le traitement de données de l’importateur entre ou non dans le champ d’application du RGPD du fait de l’article 3.
En effet, comme indiqué ci-dessus, le fait que l’importateur de données doive se conformer au RGPD (lorsqu’il entre dans son champ d’application) ne constitue pas une protection suffisante dans le cadre du transfert, car les lois du pays tiers peuvent porter atteinte à cette protection. C’est la raison pour laquelle les exportateurs doivent se conformer au chapitre V même dans ce cas.
L’exemple 7 couvre le cas d’un prestataire français qui «re-transfère » des données à son client, un site d’e-commerce chilien ciblant le marché européen.
Bien que les Lignes directrices ne fournissent pas d’exemple à cet effet, nous déduisons que le transfert de donnée provenant d’une entité non européenne dont le traitement entre dans le champ d’application du RGPD au titre de l’article 3 (2) vers une autre partie dans un pays tiers, est également considéré comme un transfert international. Ceci s’applique même si ce transfert est effectué au sein du même pays (par exemple, le transfert de données d’un site de e-commerce basé aux États-Unis vers un hébergeur de données basé aux États-Unis). Ainsi, l’organisation non européenne devrait se conformer au chapitre V pour de tels transferts, et adopter un mécanisme de transfert de données, tel que les clauses contractuelles types (« CCT »). Et le terme « exportateur » peut donc également s’appliquer à une organisation non européenne. Nous rappelons par ailleurs que le chapitre V et les présentes Lignes directrices s’appliquent aux transferts ultérieurs.
Attente d’une nouvelle série de clauses contractuelles types (CCT) pour couvrir certains flux de données
Des CCT pour le transfert de données vers un pays tiers en application du RGPD ont été adoptées par la Commission européenne en juin 2021 (voir notre commentaire sur ces CCT ). Cependant, il est difficile d’utiliser ces CCT en cas de transfert vers des organisations basées dans un pays tiers et dont le traitement entre dans le champ d’application du RGPD et d’ailleurs la décision de la Commission européenne l’exclu expressément[3]. De même, ces mêmes organisations établies hors UE trouvent difficile de les utiliser pour les transferts vers des pays tiers, car ces CCT ont été établies en partant du principe que l’exportateur de données est basé dans l’UE et que l’importateur n’est pas soumis au RGPD (même si la clause 13 des CCT relative au « contrôle » prévoit la possibilité pour un exportateur de données de ne pas être établi dans l’UE, tout en étant soumis au RGPD).
Outre la question pratique du mécanisme contractuel, l’une des préoccupations est que l’utilisation des CCT existantes soumettrait contractuellement l’importateur de données à un niveau de protection des données inférieur à celui du RGPD, alors même que l’importateur de données est par ailleurs déjà soumis au RGPD pour le traitement en question.
De ce fait, le CEPD est en faveur du développement d’un nouveau mécanisme de transfert de données, tel qu’une nouvelle version de CCT, adaptée à la situation d’un importateur de données dont le traitement tombe dans le champ d’application du RGPD. L’objectif devrait être d’éviter la duplication des obligations du RGPD et de ne combler que les lacunes, comme en ce qui concerne les lois du pays tiers contredisant le RGPD et permettant l’accès aux données par les autorités du pays tiers au-delà de ce qui est admissible. Le CEPD exprime également sa volonté de coopérer (vraisemblablement avec la Commission européenne et d’autres parties prenantes) à ce développement. La Commission européenne devrait publier une nouvelle version des CCT dans le courant de l’année 2022.
Attention : absence de transfert international n’équivaut pas à absence de protection
Si les trois critères sont remplis, le CEPD considère qu’il y a un transfert international de données au titre du chapitre V, et que les entreprises impliquées dans ce transfert doivent mettre en œuvre un mécanisme de transfert de données adéquat pour protéger les données personnelles de l’UE (ou mettre en place les dérogations prévues audit Chapitre V).
Par ailleurs les Lignes directrices désignent certaines catégories de flux de données qui ne constituent pas un transfert de données dans le cadre du chapitre V. Le CEPD rappelle néanmoins que dans ce cas, les organismes soumis au RGDP doivent mettre en place des mesures de protection et sauvegarde en application notamment de l’article 32 RGPD en fonction du risque existant dans le pays où ils sont établis (par exemple lorsque le pays dans lequel ils sont établis permet aux autorité d’avoir accès aux données au-delà de ce qui est nécessaire dans une société démocratique). Le CEPD énumère, entre autres obligations, les responsabilités du responsable du traitement découlant de l’article 24 RGPD, ou l’obligation de réaliser une évaluation d’impact sur la protection des données, voire les dispositions de l’article 48 sur les transferts non autorisés (![4]). Par conséquent, même dans les cas où les organismes n’ont pas à respecter le chapitre V, les autres dispositions du RGPD les contraignent à analyser et prendre en compte les problèmes potentiels du fait de la législation ou des pratiques dans le pays tiers, et à les traiter en conséquence.
Prochaines étapes
Les Lignes directrices font l’objet d’une consultation publique et les parties intéressées peuvent soumettre leurs points de vue jusqu’à la fin janvier 2022. Le CEPD adopte généralement la version définitive de ses lignes directrices plusieurs mois après la clôture d’une consultation publique. Sans attendre la version définitive, qui devrait être due dans le courant de l’année prochaine, on peut cependant partir du principe que les points de vue exprimés par le CEPD dans le projet de lignes directrices resteront largement les mêmes.
Si vous avez des questions sur vos obligations en matière de transfert de données en vertu du RGPD, vous pouvez contacter Stephanie Faber stephanie.faber@squirepb.com ou tout membre de l’équipe européenne du département Data Privacy, Cybersecurity & Digital Assets.
[1] EDPB (European Data Protection Board) en anglais
[2] Arrêt Google Spain de la CJUE (affaire C‑131/1213) 13 mai 2014
[3] Point (7) Décision d’exécution de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679
[4] La responsable du secrétariat du CEPD a reconnu lors d’une interview par l’IAPP le 29 novembre 2021 qu’il fallait que les institutions européennes clarifient la question de l’application de l’article 48 aux organisations soumises au RGPD en application de l’article 3(2)