INTRODUCTION
Le 22 juillet 2024, en coopération avec la CNIL, l’autorité néerlandaise de protection des données a prononcé à l’encontre des sociétés UBER B.V. et UBER TECHNOLOGIES INC. une amende de 290 millions d’euros pour avoir transféré des données personnelles hors UE sans garanties suffisantes.
Il est apparu que des informations sensibles de chauffeurs Uber exerçant en Europe (comme des licences de taxi, données de localisation, photos, informations de paiement, documents d’identité, casier judiciaire) ont été transférées par Uber Europe pour être stockées sur des serveurs d’Uber aux USA.
Uber n’avait plus de « garanties appropriées » suite à l’invalidation du « privacy shield » qui désignait les USA comme un « pays adéquat ». Ce n’est qu’à partir du moment où Uber s’est inscrite aux USA, sur la liste du « Data Privacy Framework » (DPF), que les garanties entourant le transfert ont été considérées comme suffisantes.
Cet épisode est une piqure de rappel pour toutes les entreprises : lorsque votre entreprise est responsable de traitement, elle supporte la responsabilité de protéger les données lors d’un transfert en dehors de l’Union européenne. Votre entreprise doit pouvoir démontrer qu’elle respecte les principes du RGPD (art. 5.2 RGPD) et justifier la mise en œuvre de toutes les mesures techniques et organisationnelles nécessaires à cet effet (art. 24 RGPD).
A défaut, votre entreprise s’expose à de lourdes amendes, comme le démontre le cas d’Uber. Cet article a pour objet de rappeler les principes et mesures à prendre pour éviter ce type de situation.
Qu’est-ce qu’un transfert de données personnelles en dehors de l’UE ?
Il y a transfert de données personnelles en dehors de l’UE lorsque des données personnelles sont envoyées par un responsable de traitement (ou par son sous-traitant, avec son autorisation) vers un pays non membre de l’UE et ce afin que ces données fassent l’objet d’un traitement après ce transfert.
Le rôle de la personne exerçant le traitement importe peu, il peut s’agir d’un sous-traitant ou d’un autre responsable de traitement. Le traitement est défini de manière large: il ne faut pas nécessairement qu’il y a une utilisation « active » des données, un simple stockage, par exemple sur un hébergement sur un serveur (p.ex. AWS), constitue aussi un traitement, même si les données ne sont pas activement utilisées.
À quelles conditions les données peuvent-elles être transférées hors UE ?
Le RGPD (art. 44 et s.) oblige le responsable de traitement exportateur de données à veiller à ce que le transfert envisagé « ne compromette pas le niveau de protection des personnes physiques ». Pour assurer le niveau de protection, différentes mesures de protection sont proposées par le RGPD.
Première mesure de protection : le transfert vers un pays « adéquat »
La première mesure – et la plus facile à mettre en œuvre – est de n’envoyer les données personnelles uniquement vers un destinataire installé dans un pays considéré par la Commission européenne comme « adéquat », c’est-à-dire offrant des garanties suffisantes de protection des données.
Lorsque le pays est « adéquat », le transfert de données vers une entreprise installée dans ce pays ne doit plus être encadré de manière particulière. Les garanties sont vérifiées sur la base de critères prédéfinis dans le RGPD. Si ces critères sont rencontrés, la Commission rend une « décision d’adéquation », cette décision étant revue sur base régulière.
Les pays considérés comme « adéquats » sont actuellement: Andorre, Argentine, Îles Féroé, Guernesey, Île de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay et États-Unis (sous conditions) et Canada (sous conditions).
Il existe, pour le Canada et les USA, des dispositions particulières à respecter.
Pour les USA : lors d’un transfert de données vers les USA, le responsable de traitement doit préalablement s’assurer que le destinataire figure sur la liste « Data Privacy Framework ». Cette liste, exhaustive, comprend l’ensemble des entreprises qui se sont engagées à respecter certaines conditions, sous la forme d’une auto-certification. Cette liste est consultable à l’adresse: https://www.dataprivacyframework.gov/list. Il est important de noter que (i) les USA ne sont pas assimilés dans leur ensemble à un « pays adéquat », mais uniquement les destinataires et (ii) des recours ont été introduits contre le DFA et il est donc possible qu’il soit prochainement annulé par la CJUE, à l’instar du « privacy shield » (annulation courant 2025 ?).
Pour le Canada : la législation de protection des données canadienne jugée comme « adéquate » ne s’applique qu’aux entités commerciales (entreprises du secteur privé active dans le commerce, les services financiers, etc.).
Seconde mesure de protection : les outils de transfert ou « garanties appropriées »
En l’absence d’une décision d’adéquation, le responsable de traitement doit s’assurer de la mise en place de garanties individuelles avant de transférer les données hors de l’UE.
- Première garantie : imposer les « clauses contractuelles types » (CCT) de la Commission européenne au destinataire
Le responsable de traitement qui transfert des données peut l’encadrer par les clauses contractuelles types (CCT), à insérer dans le contrat de sous-traitance. Ces clauses, mises à jour régulièrement par la Commission européenne et disponibles ici, sont composées de deux parties: une partie « réglementaire », à copier/coller tel quel dans le contrat (moyennant quelques choix) et une partie « formulaire » à compléter individuellement pour chaque contrat. Il est impératif de compléter correctement les clauses contractuelles afin que l’encadrement soit bien effectué.
- Seconde garantie appropriée : les règles d’entreprise contraignantes (BCR)
Les règles d’entreprise contraignante (Binding Corporate Rules (BCR) en anglais) est une politique de protection de données intra-groupe, mise en place pour un ensemble de sociétés filiales situées dans divers pays et qui s’échangent des données personnelles. Les BCR sont soumises à un agrément préalable de l’autorité de contrôle compétente, suivant un cahier des charges. Les règles d’entreprise contraignantes s’appliquent habituellement aux sociétés disposant de filiales hors UE et effectuant régulièrement des transferts de données.
- Troisième garantie appropriée: les codes de conduite
Les codes de conduite sont similaires aux BCR, à la différence que c’est un secteur entier qui est concerné et non un groupe multinational individuel. Les codes de conduite sont élaborés par des associations représentant des catégories d’organisations. Un système d’organismes accrédités qui contrôlent le respect du code de conduite doit être mis en place. Un exemple de code de conduite est celui de la Chambre nationale des notaires, approuvé par l’APD le 8 avril 2021 et arrêté dans un arrêté royal du 24 juillet 2021.
Il est utile de noter que la simple adhésion à un code de conduite ne constitue pas un blanc-sein du respect du RGPD. Encore faut-il pouvoir démontrer une application concrète des dispositions qui sont reprises. Des contrôles sont en principe prévu dans les codes de conduite – sans préjudice des contrôles réalisés par l’APD elle-même.
- Quatrième garantie appropriée : la certification
La certification est une procédure par laquelle les entreprises sont certifiées par les autorités de contrôle ou certifiées par des organismes eux-mêmes certifiés par les autorités de contrôle. Une certification démontre le respect de certains critères opérationnels et juridiques. Le certificat peut être retiré. Ce processus reste théorique, il n’existe en effet que 5 organismes actuellement actifs (dont la liste est disponible ici) sans pour autant que les certifications puissent autoriser le transfert à eux seuls.
- Cinquième garantie appropriée : les clauses contractuelles « ad hoc »
Les parties peuvent décider de ne pas utiliser les clauses contractuelles types (CCT) de la Commission européenne et d’adopter leur propres clauses « ad hoc ». Ces clauses doivent apporter des garanties suffisante et doivent être approuvées par l’autorité de contrôle au préalable.
- Avec, en complément, des mesures supplémentaires…
Appliquer ces « garanties appropriées » ne pourrait toutefois pas toujours suffire…En effet, la Cour de Justice de l’Union européenne a jugé, dans un arrêt désormais célèbre (« Schrems II »), que les garanties appropriées ne pouvaient être examinées sans avoir égard au contexte juridique dans lequel elles s’appliquent.
Par exemple, les clauses contractuelles peuvent être limitées (voire leurs effets annihilés) par le droit impératif ou d’ordre public du pays de destination (on pense par exemple aux dispositions américaines qui permettent de consulter les données dans le cadre de dossier relevant de l’intérêt sécuritaire américain).
La Cour de Justice juge qu’il est de la responsabilité de l’exportateur des données de vérifier, au cas par cas et, le cas échéant, en collaboration avec l’importateur dans le pays tiers, si le droit ou la pratique du pays tiers compromet l’efficacité des garanties appropriées contenues dans les instruments de transfert. Dans ces cas, la Cour estime qu’il appartient aux exportateurs de mettre en œuvre des mesures supplémentaires qui remédient à ces lacunes de la protection et la portent au niveau exigé par le droit de l’Union… La Cour de Justice ne précise pas quelles pourraient être ces mesures.
Or, identifier les « lacunes » et adopter des « mesures supplémentaires » apparaissent comme des tâches particulièrement complexes pour une entreprise, d’autant qu’il s’agit de le vérifier dans le pays de destination. Le comité européen de la protection des données a adopté des recommandations afin d’aider les exportateurs (qu’il s’agisse de responsables du traitement ou de sous-traitants) à s’acquitter de ces tâches: (i) connaitre et cartographier tous les transferts, (ii) vérifier quel est la garantie d’application (décision d’adéquation, CCT, code de conduite, etc.), (iii) évaluer si le droit national de destination affecte ou est susceptible d’affecter l’efficacité des garanties appropriées, (iv) adopter des mesures supplémentaires (chiffrement, pseudonymisation, transfert fractionné à deux destinataires indépendants, obligations d transparence, audit, mesures techniques spécifiques, etc).
La troisième voie: les « dérogations » en cas de « situations particulières »
En l’absence de décision d’adéquation ou de garanties appropriées, le transfert peut être réalisé par dérogation, dans des situations particulières :
- La personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle
- Le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande
- Le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale
- Le transfert est nécessaire pour des motifs importants d’intérêt public
- Le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice
- Le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement
- Le transfert a lieu au départ d’un registre qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d’un intérêt légitime.
Lorsqu’aucune de ces situations n’est applicable, un transfert vers un pays tiers reste tout de même autorisé si les conditions suivantes sont respectées :
- Le transfert n’a pas un caractère répétitif et ne touche qu’un nombre limité de personnes concernées
- Le transfert est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée
- Le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données personnelles.
Conclusion
Il est que chaque responsable de traitement identifie correctement les transferts de données et soit en mesure de connaitre les destinataires des données. Lorsqu’elles sont transférées hors UE, le responsable de traitement veille à utiliser des garanties appropriées si le pays de destination n’est pas adéquat.
Pour rappel, toutes ces démarches et les choix qui ont été posés doivent impérativement être documentés. En effet, le principe d’accountability s’impose à lui, à savoir l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données (CNIL).
Associate Partner THALES Lawyers
