Alors que le droit positif avait pendant longtemps maintenu un principe général d’interdiction des transferts de données personnelles vers un pays tiers, le Règlement (UE) 2016/679 relatif à la protection des données personnelles (ci-après « RGPD » ou « Règlement ») est venu consacrer un principe général d’autorisation sous condition de tels transferts, prévus au Chapitre V du RGPD, qu’ils soient fondés sur une décision d’adéquation, réalisés moyennant des garanties appropriées, opérés dans le cadre de règles d’entreprise contraignantes, requis sur décision judiciaire ou administrative fondée sur un accord international, ou encore réalisés sur le fondement de dérogations pour des situations particulières.
Il s’agit dès lors de présenter les règles régissant les transferts internationaux de données « voulus », c’est-à-dire volontairement consentis par les intervenants dans le traitement des données. Seront d’abord évoqués les transferts de droit, puis les transferts soumis à des conditions spécifiques.
I. Les transferts hors Union européenne de droit
Les transferts de droit peuvent être réalisés soit sur le fondement d’une décision d’adéquation (1.), soit par le biais de clauses contractuelles types (2.). Il convient de noter d’emblée, que les différentes modalités de transferts de données hors Union européenne s’appliquent alternativement ou plus précisément en cascade, de telle sorte que la mise en place des garanties appropriées prévues à l’article 46 du RGPD, telle l’adoption de règles d’entreprises contraignantes, par exemple, ne s’impose que si le pays vers lequel les données personnelles sont transférées ne bénéficie pas d’une décision d’adéquation au sens de l’article 45 du RGPD.
1. Les transferts fondés sur une décision d’adéquation
Il existe un nombre réduit de situations pour lesquelles une décision d’adéquation permet de réaliser de droit un transfert. La liste des pays dits « adéquats » comprend, en l’état, Andorre, l’Argentine, le Canada, les États-Unis d’Amérique (partiellement), Guernesey, les Îles Féroé, l’Île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay et bientôt le Japon[1]. Les décisions d’adéquation, adoptées par la Commission européenne sur le fondement de l’article 45 du RGPD, consistent en la reconnaissance que le pays tiers « assure un niveau de protection adéquat. » Trois séries de critères gouvernent l’appréciation de la Commission européenne : la législation du pays tiers, notamment en matière de protection des droits de l’homme et des libertés fondamentales, de sécurité publique, d’accès des autorités publiques aux données personnelles, de droits de la défense des personnes concernées, ainsi que le caractère effectif de leur recours ; l’existence d’une autorité de contrôle indépendante ; et les engagements internationaux en matière de protection des données personnelles.
Une fois la décision d’adéquation adoptée par la Commission européenne, le transfert des données est de droit, sans nécessiter d’autorisation préalable ou être assujetti à d’autres conditions. Cependant, l’admission au bénéfice de ce régime n’est pas définitive : l’adéquation doit être réévaluée par la Commission européenne au moins tous les quatre ans et la décision abrogée si le pays tiers n’assure plus un niveau de protection adéquat.
Par ailleurs, l’adéquation peut n’être que partielle pour un pays donné. Tel est notamment le cas de l’accord liant les États-Unis d’Amérique et l’Union européenne, couramment dénommé Privacy Shield. Celui-ci est entré en vigueur au 1er août 2016 pour remplacer l’accord dénommé Safe Harbor, invalidé par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt Schrems du 6 octobre 2015[2]. Le mécanisme institué par le Privacy Shield est reconnu par la Commission européenne comme ayant un niveau de protection « essentiellement équivalent » aux exigences européennes. Il consiste en une auto-certification par les entreprises américaines soumises au pouvoir de la FTC (Commission fédérale américaine du commerce) ou du DoT (Département des transports américains). Il n’est donc pas applicable aux entreprises ne relevant pas du contrôle desdits organismes, ce qui exclut du bénéfice du Privacy Shield précisément les banques américaines, qui sont soumises au contrôle de la SEC. Cette circonstance n’exclut évidemment pas des transferts sur le fondement d’autres dispositifs prévus par le RGPD.
En pratique, pour pouvoir invoquer le bénéfice du Privacy Shield, le responsable des données doit accomplir certaines diligences avant tout transfert vers les États-Unis : vérifier que la société américaine dispose d’une certification active pour le type de données à transférer, cette certification étant réexaminée tous les ans ; informer la personne concernée du destinataire de ses données personnelles ; enfin, vérifier que l’utilisation des données est compatible avec les principes énumérés dans la réglementation européenne.
Ce nouveau mécanisme a, lui aussi, fait l’objet de vives critiques. Une association irlandaise a formé un recours en annulation de la décision de la Commission européenne reconnaissant l’adéquation du Privacy Shield devant le Tribunal de l’Union, recours rejeté pour défaut d’un intérêt à agir de ladite association en sa qualité de personne morale ne bénéficiant pas de la protection des données personnelles[3]. Le Parlement européen a adopté récemment une résolution aux termes de laquelle il considère que « l’actuel bouclier de protection des données n’offre pas le niveau de protection adéquat requis par le droit de l’Union en matière de protection des données et par la charte des droits fondamentaux de l’Union européenne, telle qu’interprétée par la Cour de Justice de l’Union européenne »[4]. Affaire à suivre donc, car il n’est pas impossible que le futur réserve au Privacy Shield un sort analogue à son prédécesseur, le Safe Harbour.
2. Les transferts fondés sur des clauses contractuelles types (CCT)
En l’absence de décision d’adéquation au sens de l’article 45 du RGPD, un transfert vers un pays tiers pourra être réalisé moyennant les garanties appropriées prévues à l’article 46 du RGPD, qui se déclinent en différents dispositifs pouvant être utilisés par les responsables du traitement ou les sous-traitants selon les situations spécifiques dans lesquelles le transfert doit avoir lieu.
Les clauses contractuelles types (CCT) sont, sans doute, l’un des dispositifs les plus connus et employés par la pratique. Il s’agit des clauses types de protection des données adoptées soit par la Commission européenne, soit par une autorité de contrôle et approuvées par la Commission européenne. Jusqu’à présent, deux jeux de clauses ont été adoptés par la Commission européenne : les CCT encadrant les transferts entre responsables de traitement (2001 et 2004) et celles encadrant le transfert entre un responsable de traitement et un sous-traitant (2010)[5]. Elles définissent, en substance, les droits des personnes concernées (notamment les droits d’information et de recours à la médiation en cas de litige), les détails du transfert de données (catégorie de données, finalité, durée de conservation) et la responsabilité de l’exportateur et de l’importateur des données.
Les CCT préexistaient donc au RGPD, de sorte que, aujourd’hui, un décalage s’opère parfois entre les CCT existantes et les nouvelles dispositions du Règlement qui consacrent de nouveaux concepts comme le mécanisme d’autocontrôle (l’accountability) ou l’exigence de protection dès la conception, la Privacy by design. Aussi, une attention particulière doit être portée à l’adéquation des anciennes CCT avec le RGPD, d’autant que la Cour de Justice devra bientôt répondre à une question préjudicielle portant sur la conformité de celles-ci avec les exigences de la Charte des droits fondamentaux de l’Union[6]. Enfin, les entreprises peuvent toujours prévoir des clauses contractuelles spécifiques entre les différents intervenants (responsable de traitement, sous-traitant, destinataire des données), qui devront toutefois faire l’objet d’une autorisation préalable de l’autorité de contrôle compétente, donc de la CNIL.
Le transfert peut être réalisé également sur le fondement d’un code de conduite, prévu aux articles 40 et 41 du RGPD, élaboré par les associations et organismes représentant un secteur d’activité. Ce code doit être approuvé par les autorités nationales de contrôle, voire la Commission européenne pour une application générale au sein de l’Union européenne. Il encadre le traitement loyal et transparent des données et des informations communiquées, l’exercice des droits des personnes concernées, le transfert des données hors de l’Union, ainsi que les procédures de règlement des litiges, et ce au regard de la spécificité du secteur d’activité. Il peut être appliqué par des responsables de traitement non soumis au RGPD, au moyen d’un engagement contraignant et exécutoire afin de fournir des garanties appropriées en cas de transfert de données hors de l’Union européenne.
Autre dispositif prévu par l’article 46 du RGPD, un mécanisme de certification permettant d’établir que les traitements réalisés par l’entreprise respectent le RGPD. La certification est délivrée et, le cas échéant, retirée par des organismes agréés par l’autorité nationale de contrôle dans les conditions prévues à l’article 42 du Règlement. Ce mécanisme peut lui aussi être adopté par des responsables de traitement non soumis au RGPD, afin de fournir des garanties appropriées pour le transfert de données hors de l’Union européenne, par un engagement contraignant et exécutoire.
II. Les transferts hors Union européenne sous conditions
Le RGPD a prévu d’autres possibilités pour les transferts de données hors l’Union européenne, notamment les Binding Corporate Rules (1.), le consentement explicite de la personne concernée (2.) et une série de situations pouvant justifier un transfert de données à titre dérogatoire (3.).
1. Les Binding Corporate Rules
Les Binding Corporate Rules (règles d’entreprise contraignantes) constituent, sans doute, le dispositif le plus adapté aux transferts des données au sein des multinationales. Prévu par l’article 46, paragraphe 2, point b) du Règlement, ce dispositif consiste en un code de conduite interne applicable à toutes les entités du groupe, qu’elles soient responsables de traitement ou sous-traitant, par tout dans le monde. Les principaux avantages de ce mécanisme sont, d’une part, l’uniformisation des pratiques en matière de transfert au sein du groupe et, d’autre part, l’économie de la conclusion de clause contractuelles types pour les différents transferts intragroupe.
L’article 47, paragraphe 2, du RGPD donne une liste exhaustive des points qui doivent être obligatoirement couverts par les Binding Corporate Rules, incluant notamment le respect des principes généraux en matière de données personnelles, la formation du personnel, la responsabilité de l’entreprise, les procédures de réclamation ou encore les audits sur la protection des données. Plus généralement, ces règles doivent répondre aux exigences générales concernant la finalité du traitement, la limitation des données transférées au strict nécessaire et la durée de conservation, ainsi qu’en matière de protection des données et de base juridique du traitement.
Toutefois, la mise en place de transfert de données intragroupe sur la base de Binding Corporate Rules est conditionnée à l’approbation préalable desdites règles par une autorité de contrôle. À cet égard, les entreprises multinationales sont libres de choisir une autorité de contrôle chef de file pour la procédure d’approbation de leurs Binding Corporate Rules. Elle sera ainsi l’unique interlocutrice du groupe en Europe en matière de protection de données personnelles.
2. Le consentement explicite
En l’absence de décision d’adéquation ou de garanties appropriées, un transfert de données à caractère personnel vers un pays tiers pourra toujours avoir lieu avec le consentement de la personne concernée, y compris lorsque ledit transfert ne répond pas à l’une des finalités prévues à l’article 49, paragraphe 1, points b) à g) du RGPD.
Aux termes de l’article 49, paragraphe 1, point a) du Règlement, il doit toutefois s’agir d’un « consentement explicite au transfert envisagé », donné par la personne concernée après avoir été informée des risques que ce transfert peut comporter pour elle en raison de l’absence d’adéquation et de garanties appropriées. Ce consentement ne peut être valable que s’il a été exprimé librement par la personne concernée, constituant ainsi, conformément au principe général de l’article 4, paragraphe 11, du RGPD, une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement », et donc d’un transfert vers un pays tiers ne bénéficiant pas d’une décision d’adéquation et ce sans garanties appropriées. L’obligation d’informer précisément la personne concernée des risques du transfert constitue indéniablement un renforcement de la protection par rapport à ce qui prévoyait la Directive n° 96/46/CE.
3. Les dérogations pour des situations particulières
En l’absence de décision d’adéquation ou de garanties appropriées, l’article 49 du RGPD prévoit également une série de situations particulières justifiant un transfert des données vers un pays hors Union européenne, même sans le consentement explicite de la personne concernée[7].
Pour l’essentiel, la liste des dérogations est identique à celle de la Directive n° 95/46/CE. Ces dérogations couvrent les transferts nécessaires à l’exécution d’un contrat ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ou nécessaires à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée ; les transferts nécessaires pour des motifs d’intérêts publics ou à la constatation, l’exercice et la défense de droits en justice ; ou encore ceux nécessaires à la sauvegarde des intérêts vitaux de la personne concernée, mais aussi « d’autres personnes » (nouveauté par rapport au régime de la Directive n° 96/46/CE), lorsque la personne concernée est dans l’incapacité physique ou juridique de donner son consentement. Sont également autorisés à ce titre les transferts des données personnelles au départ de registres publics, c’est-à-dire ouverts à la consultation du public ou de toute personne justifiant d’un intérêt légitime. Concernant plus particulièrement la dérogation pour les transferts nécessaires en raison de motifs importants d’intérêt public, l’intérêt public doit être reconnu par le droit de l’Union ou le droit de l’État membre auquel le responsable de traitement est soumis.
Enfin, même lorsqu’aucune dérogation spécifique prévue à l’article 49 (1) du RGPD n’est applicable, un transfert de données vers un pays tiers peut avoir lieu, à titre exceptionnel en quelque sorte, si le transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées et est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée. À ces conditions très restrictives s’ajoute l’obligation pour le responsable du traitement d’évaluer toutes les circonstances entourant le transfert de données et d’offrir, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel, ainsi que celle d’informer à la fois l’autorité de contrôle du transfert et la personne concernée du transfert et des intérêts impérieux qu’il poursuit. À cet égard, seuls les intérêts qui peuvent être reconnus comme « impérieux » sont pertinents en l’espèce. Le champ d’application de la dérogation est donc sensiblement restreint puisqu’il ne couvre pas tous les « intérêts légitimes » concevables en vertu de l’article 6 (1) point f) du RGPD. Selon les Lignes directrices adoptées par le Comité européen de la protection des données, il doit s’agir d’un intérêt essentiel pour le responsable du traitement, comme par exemple dans le cas où le responsable du traitement est tenu de transférer les données à caractère personnel afin de protéger son organisation ou ses systèmes d’un préjudice immédiat grave ou d’une sanction sévère qui affecterait gravement son entreprise.
En conclusion, le régime issu du RGPD ouvre, notamment aux établissements bancaires, des nouvelles voies pour gérer le transfert des données personnelles hors Union européenne, en introduisant des dispositifs, tels les codes de conduite, qui pourraient être mis à profit pour dessiner des règles sectorielles sur mesure qui prennent mieux en compte les spécificités de ce secteur. Pour l’heure, l’assimilation de ce nouveau cadre réglementaire n’est pas encore suffisamment aboutie pour permettre aux acteurs économiques de profiter pleinement de toutes les possibilités qu’il offre en matière de transfert des données personnelles. Parions donc sur le fait que le RGPD ne sera bientôt plus perçu comme un casse-tête, mais comme un cadre favorable, offrant aux entreprises des nouvelles perspectives en matière de gestion des données personnelles.
[1] Le processus d’adoption d’une décision d’adéquation a été lancé par la Commission européenne le 5 septembre 2018 à la suite de la conclusion des pourparlers entre l’UE et le Japon concernant l’adéquation réciproque le 17 juillet 2018 en vertu desquels les parties sont convenues de reconnaître comme adéquats leurs systèmes respectifs de protection des données.
[2] CJUE 6 octobre 2015, Maximilian Schrems c/ Data Protection Commissioner, C-362/14.
[3] Trib. UE, Ord. 22 novembre 2017, Digital Rights Ireland Ltd c/ Commission européenne, T-670/16
[4] Résolution du Parlement européen du 5 juillet 2018 sur l’adéquation de la protection assure par le bouclier de protection des données EU-États-Unis, 2018/245 RSP, § 34.
[5] https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne.
[6] CJUE, Demande préjudicielle, 29 juin 2018, Facebook Ireland & Schrems, C-311/18.
[7] Voir notamment EBPB, « Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE) 2016/679 », adoptées le 25 mai 2018.
