Il existe, en France et en Europe, un cadre réglementaire exigeant en matière de protection des données à caractère personnel. Est ainsi imposée à l'ensemble des entreprises traitant des données personnelles une série d’obligations portant notamment sur la base juridique des traitements, l’information des personnes, la confidentialité des données personnelles, le respect des droits des personnes
Ce sujet concerne au premier chef les établissements bancaires qui évoluent dans un cadre totalement globalisé, qu’il s’agisse des activités de banques d’investissement, qui sont tributaires de l’évolution des marchés, ou des activités de banques de réseau avec des clients de plus en plus nomades.
Les transferts internationaux étaient déjà encadrés sous l’empire de la directive européenne 95/46/CE et de la loi informatique et libertés du 6 janvier 1978. Le Règlement pérennise la plupart des règles antérieures aux articles 44 à 50 du chapitre V consacré à l’encadrement des transferts vers les pays tiers et organisations internationales.
L'objectif poursuivi par ces règles demeure celui d'assurer aux citoyens européens, selon des mécanismes variés, un niveau de protection équivalent à celui de la réglementation européenne lorsque leurs données sont traitées dans des pays non européens où le cadre juridique de protection des données est moins disant.
La violation des règles relatives aux transferts est d'ailleurs sanctionnée sévèrement : amendes administratives pouvant s'élever jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (article 83 du Règlement).
Le principe cardinal : l’encadrement juridique des transferts de données vers des pays situés en dehors de l’Espace économique européen
Il n’existe pas de restrictions particulières au transfert de données personnelles entre des entités, qu’elles soient responsables de traitements ou sous-traitants, lorsque ce transfert se déroule au sein de l'Espace économique européen (EEE) qui réunit tous les États membres de l'Union européenne, ainsi que l'Islande, le Liechtenstein et la Norvège. Le transfert au sein de l’EEE est donc sans entrave pour autant que l’ensemble des autres obligations prévues par le Règlement est satisfait : par exemple recueil du consentement lorsqu’il est requis, loyauté de la collecte et principe de transparence consistant à mettre à disposition des personnes concernées une information claire, intelligible et aisément accessible sur les traitements de leurs données, au moment de la collecte de leurs données, mais aussi à l'occasion de l’exercice ultérieur de leurs droits, sécurité des données, obligation de contractualiser la relation avec le sous-traitant…
En revanche, il n’est pas possible de transférer des données vers un État non européen si celui-ci n’assure pas un niveau de protection suffisant en matière de protection des données, lequel est formellement reconnu par une « décision d'adéquation » adoptée par la Commission européenne. Or, à ce jour, comme nous le verrons ci-après, relativement peu de pays ont vu reconnaître leur loi comme offrant un niveau de protection équivalent à celui offert par la réglementation européenne.
En conséquence, si le transfert de données personnelles d’une entité située en France, par exemple, est dirigé vers une autre entité située dans un pays en dehors de l’EEE, il est nécessaire de mettre en place des garanties pour protéger ces données.
Ainsi, dans un établissement financier, avant de s’assurer de la mise en place de telles garanties, il appartient, dans un premier temps, au détenteur des données en charge d'une ou plusieurs opérations de traitement de données (par exemple la direction de la conformité s’agissant des obligations KYC, LAB, AML, ou la DRH s’agissant des traitements de mobilité des salariés au sein du groupe) d’identifier les situations de transferts vers un pays tiers qui peuvent résulter de la localisation de la filiale, d’un prestataire, partenaire, actionnaire ou donneur d’ordre intra-groupe.
La notion de transfert de données personnelles
En l’absence de définition du transfert dans le Règlement, il est fait référence à la définition du transfert de données personnelles proposé par la CNIL comme « toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne ».
Cette définition appréhende notamment tout partage ou envoi de données personnelles par e-mail, mais aussi l’accès aux données personnelles même hébergées sur le territoire de l’UE, par tout moyen, tout support de communication, à des équipes situées en dehors de l’UE. Le transfert de données personnelles peut être « interne » : les données personnelles peuvent, par exemple, être transmises par un département d’un établissement vers un autre établissement au sein du même groupe. Les données personnelles peuvent également faire l'objet d'un transfert à des entités externes (e.g. prestataires de services, autre banque, etc.). L'entité qui transfère les données personnelles est considérée comme l'exportateur et l'organisation qui les reçoit, l'importateur. Ce dernier peut les recevoir ou y accéder comme responsable du traitement ou en qualité de sous-traitant.
L’encadrement du transfert de données personnelles vers un pays en dehors de l’Espace économique européen
Pour assurer la conformité du transfert de données personnelles vers un pays tiers, le responsable du traitement doit adopter une approche en deux étapes. Dans un premier temps, il doit s’assurer que le pays tiers visé assure un niveau de protection des données personnelles suffisant. Si tel n’est pas le cas, il doit s’interroger sur l’éventuelle existence de garanties appropriées pour que le transfert soit conforme et en leur absence, les mettre en place.
Enfin, en l’absence de décision d’adéquation ou de garanties appropriées, il conviendra, pour le responsable du traitement des données, de déterminer si le transfert de données personnelles en cause satisfait aux conditions lui permettant de bénéficier d’une des dérogations prévues par le Règlement.
Transferts vers des pays tiers disposant d’un niveau de protection adéquat
Le responsable de traitement doit avant toute chose vérifier si le pays tiers ciblé a fait l’objet d’une reconnaissance par la Commission européenne du caractère adéquat des garanties mises en place. Un transfert vers le pays tiers peut être effectué sans conditions supplémentaires spécifiques si le pays d’importation est considéré comme assurant un « niveau de protection adéquat ».
Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission européenne tient compte de plusieurs éléments. Ce faisceau d’indices inclut la vérification du respect des droits de l’homme et des libertés fondamentales, la ratification de conventions internationales de protection des données, la revue du droit positif sur la protection des données personnelles, c’est-à-dire de l’existence d’un cadre législatif robuste en vue d’assurer la protection des données personnelles, l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes, l'existence de droits effectifs et opposables que les personnes concernées peuvent faire valoir en justice, etc.
La liste des pays tiers bénéficiant d’une décision d’adéquation délivrée par la Commission européenne est à ce jour la suivante : Andorre, Argentine, Canada (pour les organisations commerciales), Suisse, Îles Féroé, Guernesey, Israël, Île de Man, Jersey, Nouvelle-Zélande, Uruguay et États-Unis (dans la limite du cadre posé par le privacy shield). Le cas des États-Unis est particulier, car il est possible pour certaines entreprises américaines de se faire certifier au titre du privacy shield ou « bouclier de protection des données ». De ce fait, un transfert à destination d’une entreprise certifiée pourra lui aussi être effectué sans aucune obligation supplémentaire spécifique au transfert transfrontalier. Le bouclier de protection des données est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. Ce mécanisme est par conséquent considéré comme offrant des garanties juridiques suffisantes pour de tels transferts de données. Il est important de souligner que ce mécanisme ne bénéficie qu’aux entreprises établies aux États-Unis soumises aux pouvoirs de contrôle et d’exécution de la Commission fédérale du commerce (FTC) ou du Département des transports américain (DoT). Cela signifie, par exemple, que les banques et les sociétés d’assurances dans la mesure où elles ne relèvent pas de la compétence de la FTC ou du DoT ne peuvent pas adhérer au bouclier de protection des données.
Transferts vers des pays tiers ne disposant pas d’un niveau de protection adéquat
En l’absence de décision d’adéquation ciblant le pays tiers, le responsable du traitement doit s’assurer de l’existence de garanties appropriées et de leur mise en œuvre.
Le cas des importateurs de données disposant de BCR (Binding corporate rules)
Il est tout d’abord nécessaire de se renseigner sur l’existence de garanties appropriées « générales » (e.g. règles d’entreprise contraignantes ou BCR) proposées par l’importateur non européen (sociétés du groupe s’agissant des « BCR responsables de traitements » ou prestataire s’agissant des « BCR sous-traitants »), et en l’absence de ces dernières, de mettre en œuvre des garanties appropriées spécifiques.
Lors du transfert des données personnelles vers un importateur qui agit comme un sous-traitant (e.g. un prestataire de support IT), situé dans un pays tiers dépourvu d’un niveau de protection des données personnelles adéquat, le responsable du traitement doit s’assurer que le sous-traitant a adopté des BCR sous-traitant, c’est-à-dire vérifier que les règles énoncées par les BCR s’appliquent bien au transfert de données personnelles concernées (i. e., l’exportateur européen des données doit s’assurer que l’importateur se réfère aux règles d’entreprise contraignantes dans le contrat de service proposé). Si le groupe a mis en place des BCR, il suffira de s’assurer que les transferts envisagés sont bien couverts par les BCR et que les entités parties au transfert ont bien adhéré aux BCR.
En l’absence de BCR, les autres mécanismes disponibles
En l’absence de garanties appropriées existantes proposées par l’importateur non européen, le responsable du traitement des données doit envisager de mettre en œuvre des garanties appropriées spécifiques. Il s’agira généralement d’instruments contractuels intervenant lors de la conclusion du contrat entre l’exportateur et l’importateur. Le responsable du traitement des données peut utiliser les clauses types de protection des données de la Commission européenne. C’est d’ailleurs le mécanisme le plus courant pour encadrer des transferts hors de l’EEE. À l’heure actuelle, la Commission européenne a adopté :
- deux séries de clauses types visant les transferts d’un responsable de traitement situé dans l’UE vers un responsable de traitement situé hors de l’UE ou de l’EEE, disponible sur le site de la Commission européenne et de la CNIL : décision 2001/497/EC et décision 2004/915/EC ;
- une série de clauses types concernant les transferts d’un responsable de traitement situé dans l’UE vers un sous-traitant situé en dehors de l’UE ou de l’EEE, disponible sur le site de la Commission européenne et de la CNIL : décision 2010/87/EU.
En outre, le Règlement a enrichi les mécanismes permettant d'encadrer les transferts vers des pays tiers en prévoyant trois nouvelles garanties :
- les clauses types de protection des données adoptées par une autorité de contrôle (e.g. la Cnil en France) et approuvées par la Commission européenne. À notre connaissance, la Cnil n’a pas adopté de clauses spécifiques à date ;
- les codes de conduite assortis de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. Les codes de conduite répondent au besoin des entreprises de s’appuyer sur des approches plus sectorielles pour que les règles en place s'adaptent à leurs métiers. Or, le secteur bancaire et les sociétés d'assurance doivent gérer des problématiques réglementaires comme les traitements de lutte anti-blanchiment ou de connaissance du client imposées par la réglementation financière. Ces types de traitement méritent des approches différenciées auxquelles l'approche des codes de conduite peut répondre de manière plus appropriée car plus opérationnelle ;
- les mécanismes de certification assortis de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. Le recours aux mécanismes de certification va permettre aux organisations de s'appuyer sur des tiers de confiance pour contrôler leur conformité par rapport aux attentes des régulateurs, à savoir des organismes de certification accrédités par l'autorité de contrôle compétente ou par l'organisme national d'accréditation sur la base des critères approuvés par cette autorité de contrôle.
Si ces nouveaux mécanismes répondent aux attentes des opérateurs économiques, il sera néanmoins nécessaire d’attendre que les procédures d'agrément et d'accréditation soient mises en place afin que des tiers de confiance puissent émerger sur le marché européen autour de ces questions.
Enfin, précisons qu’en l’absence de décision d’adéquation ou de garantie appropriée, le responsable du traitement doit examiner si une dérogation prévue par le Règlement peut être appliquée au transfert de données personnelles. Une partie de ces dérogations ne s’applique que lorsque le transfert de données personnelles en cause présente un caractère occasionnel et non répétitif. Il peut s’agir du consentement explicite de la personne concernée ou encore du transfert de données nécessaire à l’exécution d’un contrat conclu entre la personne concernée et le responsable du traitement voire entre le responsable du traitement des données et une personne tierce, dans l’intérêt de la personne concernée.
Conclusion
Les métiers de la banque sont sans doute parmi les plus globalisés compte tenu de la taille des acteurs et des interactions entre les marchés. Dans ce contexte, la question du cadre réglementaire du transfert des données se pose de manière systématique et avec acuité. Les groupes bancaires ont initié ces dernières années une réflexion d’ensemble sur les outils les plus appropriés, avec un engouement avéré pour les BCR, mécanisme qui permet d’harmoniser le niveau de protection des données dans l’ensemble des entités du groupe quelle que soit leur localisation, en adoptant la logique d’accountability préconisée par le RGPD.
La pertinence des nouveaux outils, tels que codes de conduite et certifications, pour encadrer les transferts vers des pays tiers est encore difficile à évaluer à ce stade, en l’absence de référentiels développés à ce jour. Il est donc prématuré de se prononcer sur leurs périmètre et efficacité à ce jour.
Achevé de rédiger le 9 décembre 2018.
