Licence CC BY

Le transfert des données hors de l’UE

Ici, nous traiterons du transfert des données de citoyens européens en dehors de l’Union, soumis à des règles d’exception : le principe général est la demande de consentement, mais nous verrons que ce principe pose de nombreux problèmes et est très contraignant, c’est pourquoi le législateur met en place de nombreuses dérogations, afin d’ajouter de la souplesse à ce système de consentement explicite, qui ne subsiste que pour les données sensibles.

Présentation et principes généraux

La donnée est aujourd’hui devenue vitale pour l’économie et la société, et de nombreuses dynamiques se mettent en place autour, dont des échanges de plus en plus internationalisés. Avant le RGPD, l’Europe ne protégeait pas les données circulant hors de son sol, mais comme nous l’avons vu, le champ d’application du Règlement dont ce cours est l’objet a été élargi pour englober les données concernant tout citoyen européen ; il est alors devenu indispensable pour le législateur d’encadrer les règles de sortie de données de l’UE, et de leur traitement à l’étranger.

Par principe, l’accord de l’utilisateur est nécessaire avant transfert de données personnelles hors de l’Europe, et ce pour la plupart des pays de l’Union ; certains pays, cependant, ont été jugés aptes par la Commission Européenne à prendre un soin suffisamment correct des données1, ce qui leur permet de bénéficier d’un statut privilégié :

  • l’Espace Économique Européen (c’est-à-dire l’UE plus Islande, Norvège et Liechtenstein), où la plupart des règles applicables en Union Européenne s’appliquent ;
  • la Suisse, qui a une situation complexe en cela que l’accord sur l’EEE n’a pas été approuvé par référendum là-bas, ils n’en sont donc pas membres officiellement (mais bien conformes pour le RGPD) ;
  • la Nouvelle-Zélande, le Canada, l’Argentine et Israël, qui ont des législations positives et sont donc reconnus adéquats ;
  • les États-Unis, sans certitude, par le Privacy Shield, un accord qui devait permettre le libre-échange des données entre l’Europe et ce pays, mais qui est pour le moment au point mort, et pas encore appliqué.

Ces pays, donc (sauf pour le dernier), sont dits « adéquats », ou parfois « conformes », ce qui signifie qu’aucun consentement autre que celui nécessaire pour le recueil des données n’est requis auprès de l’utilisateur ; c’est un soulagement pour les entreprises, même s’il l’est peut-être moins pour les utilisateurs soucieux de leurs données, car ils devront passer par diverses structures.

Notons que le transfert doit toutefois faire l’objet d’une communication à l’utilisateur lors de l’exercice de son droit d’information ou de son droit d’accès2 : il est nécessaire de préciser si le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers et d’informer l’utilisateur de l’existence ou de l’absence d’une décision d’adéquation rendue par la Commission ou de toute autre mesure visant à assurer l’exercice de ses droits (les mesures dont nous parlerons juste après.

Enfin, sachez qu’une organisation internationale (type ONG), est considérée comme un pays étranger3 pour le transfert de donnée, sauf s’il peut s’établir sur un État précis, et s’il souhaite s’établir sur cet État ; c’est recommandé, sauf en cas de besoin réel de mobilité de la donnée pour une ONG.

Le consentement est une méthode simple, mais celui-ci doit être libre, informé, spécifique et non ambigu, comme nous l’avons déjà vu ; cela le rend très complexe à mettre en place, et il faudrait développer une infrastructure parallèle en cas de refus, dans le pays concerné, ce qui semble tout de même très improbable, surtout pour les sociétés dont le business repose intégralement sur la donnée ; en pratique, il est surtout applicable pour les données sensibles, et des dérogations sont utilisées lors des transferts vers les pays non-adéquats.

  1. RGPD, considérant 104 

  2. RGPD, art. 13 

  3. RGPD, art. 44 

Les règles spécifiques applicables

Avant toute chose, il me semble nécessaire de mentionner que des exceptions au consentement sont possibles, hors cas mentionnés ci-avant et ci-après, lors de motifs spécifiques et bien définis, que nous avons déjà vus dans une partie précédente, et que je rappelle ici ; les données personnelles d’un utilisateur peuvent être transférées, sans son accord, lorsqu’icelui1 :

  • est nécessaire à l’exécution d’un contrat auquel la personne concernée a souscrit, seulement lors de nécessité absolue du traitement ;
  • est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ;
  • est nécessaire à l’exécution d’une mission d’intérêt public, sans précisions sur la notion de « mission d’intérêt public » ;
  • est nécessaire pour l’exercice de la justice dans le pays concerné, par exemple, le transfert peut être effectué vers un autre pays, depuis la France, si ces données sont nécessaires à la justice là-bas ;
  • enfin, si les données sont publiques.

Hors de ces exceptions notables, dont on remarque qu’elles sont moins nombreuses qu’à l’accoutumée ; le principe du RGPD concernant le transfert des données en dehors de l’Union n’est pas d’interdire, mais simplement de règlementer, pour créer un cadre à la fois propice aux utilisateurs, mais aussi en entreprise, en leur simplifiant au maximum le travail. C’est la raison d’être des différents accords que nous verrons ici : ils ne visent pas à empêcher les entreprises de transférer leurs données, mais simplement de les contraindre à le faire dans les règles.

La première possibilité de déroger au consentement sont les accords juridiques spécifiques en États ; nous en parlions juste avant, cela ne concerne pour le moment que le Privacy Shield2, appelé auparavant Safe Harbor, qui vise à une « harmonisation » des règles entre les Etats-Unis et l’Europe sur la protection des données. Cet accord prévoit que la juridiction états-unienne prévaut en cas de conflit, même si son droit n’est pas seul applicable aux données – un droit spécifique s’applique pour le traitement des données, et est précisé dans l’accord. Ce Privacy Shield est très complexe, et il pourrait faire l’objet d’un cours entier, sachez en tout cas qu’il est pour le moment délicat de l’appliquer, car il est très critiqué, et il semble évident qu’il va être supprimé prochainement.

Un moyen plus simple d’éviter le consentement sont les « Model Contracts », ou Clauses Contractuelles Types en français ; ces clauses sont en fait des modèles non-modifiables de conditions régissant le transfert des données. En particulier, ces clauses prévoient que la loi européenne doit être applicable avant et pendant le transfert, et continue de l’être après si elles concernent un citoyen européen, qui peut exercer ses droits auprès de l’organisme local qui a collecté ses données. Ces clauses sont en pratique assez utilisées, car elles existent depuis longtemps ; elles sont simples mais peu flexibles, car il n’en existe que deux types (2001 et 2004), et la seule partie modifiable sont deux annexes (définition et mesures de sécurité) ; notons de plus que ce moyen est l’objet d’un recours actuellement, il est donc « à risque ».

Un second moyen important3, qui est sûrement le plus important mis en place par le RGPD, sont les BCR – ou Règles d’Entreprise Contraignantes, qui consistent en la mise en place d’une gouvernance globale des données au sein d’une structure. Ces règles sont juridiquement contraignantes, et confèrent certains droits obligatoires aux utilisateurs. C’est une solution flexible, aisée pour une société moyenne mais peu accessible aux petites entreprises, de par leur complexité juridique. A minima, ces règles doivent contenir4 :

  • les finalités du traitement ;
  • les personnes affectées par le transfert, car il ne concerne pas forcément toutes les personnes dont les données sont traitées ;
  • les pays destinataires ;
  • une mention de leur nature juridiquement contraignante ainsi que la mise en place des principes fondamentaux de la gouvernance des données dans l’entreprise ;
  • les divers mécanismes de réclamation et d’exercice des droits pour les utilisateurs ; ces droits devront leur être mentionnés ailleurs, car les BCE sont des documents internes ;
  • les mécanismes internes et procédures d’audit mises en place pour assurer les données et leur bon traitement, ainsi que les mesures de formation du personnel mis en place pour les atteindre.

Ces règles me semblent une très bonne solution dans le cas d’une grande quantité de données ; notez en tout cas qu’elles ne sont pas juste une formalité administrative, mais visent à remettre en cause en profondeur la façon dont les données sont gérées, car seule une réforme interne à l’échelle de l’entreprise permet leur bonne application.

Terminons par mentionner deux possibilités, qui, au moment au j’écris ces lignes, ne sont pas encore ouvertes : les codes de conduite, qui sont des procédures internes à une entreprise et approuvées de façon globale par la Commission Européenne ou un État membre, ainsi que les certifications, attribuées aux structures respectant certaines règles de bonne conduite, et pouvant donner lieu à une autorisation de transfert. Ces deux modes d’actions sont encore mal définis5, car la Commission y travaille toujours, conjointement avec le G29.

Pour terminer, je vous propose dans la partie suivante un petit résumé de ce que nous avons vu jusqu’à maintenant, avec une carte de transfert des données, et un rappel des diverses possibilités de se passer du consentement.

  1. RGPD, art. 49 

  2. Voir le site officiel 

  3. RGPD, art. 47 

  4. RGPD, art. 47, alinéa 2 

  5. RGPD, art. 40 et suivants 

Un schéma-bilan des pays

La CNIL propose sur son site une carte interactive sur les divers modèles à adopter pour transférer de la donnée en fonction des pays du monde ; je propose ici une carte d’ensemble, plus simple (et donc moins spécifique) que celle de la CNIL, qui est surtout à vocation indicative.

Carte de conformité RGPD

Pour les pays incertains, j’ai inclus le Royaume-Uni et l’Irlande, car on ne sait pas ce qu’il adviendra au niveau de la sortie de l’UE, ainsi que la Suisse pour sa situation particulière. Pour le reste, la carte semble grise, mais il faut noter que nombreux pays grisés ne seront même jamais l’objet d’un de vos transferts internationaux.

Pour les pays où un accord est nécessaire, il peut prendre la forme, pour rappel :

  • d’un consentement ;
  • d’une exception légale au consentement ;
  • du transfert vers un pays « adéquat » ;
  • d’un accord inter-États ;
  • de « Model Contract », si les données à transférer sont simples ;
  • de BCR, pour les grandes et moyennes entreprises, lorsque la volumétrie est importante ou que les données sont particulièrement sensibles.

En cas de questionnement sur le transfert de vos données, je vous invite à revenir à cette carte et à compléter éventuellement votre recherche par la carte proposée par la CNIL. Si vous adorez le RGPD, cette carte est distribuée sous licence libre, vous pouvez donc même l’accrocher au mur de votre chambre.