Le Comité européen de la protection des données (CEPD) donne son cadre pour être en conformité avec le RGPD en cas de transfert de données hors de l’Union européenne.

Recommendations 01/2020 on measures that
supplement transfer tools to ensure compliance with
the EU level of protection of personal data
Version 2.0
Adopted on 18 June 2021.

 https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_fr

On pouvait s’attendre à ce que ce cadre allège les formalités contractuelles des entreprises (Binding Corporate Rules) en matière de transfert de données hors Union Européenne.

Mais il ressort de ce cadre que l’examen minutieux des législations étrangères reste nécessaire, comme le préconise l’arrêt Schrems II (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311), dès qu’une zone territoriale est identifiée comme incertaine par les autorités européennes : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

En effet, un Etat souverain peut dans tous les cas accéder aux données, sur demande spécifique : seule une demande générale d’accès aux données pourrait être contestée sur le plan des principes.

Il revient donc en premier lieu à l’exportateur de données, dans un exercice périlleux d’évaluation, de vérifier les législations étrangères. Le Comité donne une liste de sources de données à l’annexe III de ses recommandations.

Les nouvelles Clauses Contractuelles Types (« CCT ») (adoptées par la Commission européenne le 4 juin 2021 et publiées le 7 juin 2021, qui entreront en vigueur le 27 juin 2021, https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr) ne dispensent pas de cet exercice.

La décision provisoire Doctolib peut donner des indices sur la façon de sécuriser un transfert de données : localisation et chiffrement en France, obligation de contestation par la filiale européenne de la demande « générale » étrangère, données peu sensibles, durée courte de conservation des données : https://roquefeuil.avocat.fr/2021/04/transfert-de-donnees-sur-un-cloud.html 

Voir aussi :

Transfert de données sur un cloud étranger : la décision Doctolib

Les nouvelles lignes directrices et recommandations CNIL en matière de cookies et de traceurs de tout type.

Atteintes aux traitements automatisés de données

 

Droit informatique