Transferts internationaux de données : déplacer des données hors de l'UE
Quand des données personnelles quittent l'Espace économique européen (EEE), le RGPD impose des exigences supplémentaires pour s'assurer que les données continuent de bénéficier d'une protection équivalente. Pour les organisations utilisant des services cloud, travaillant avec des fournisseurs internationaux ou opérant à travers les frontières, comprendre ces règles de transfert est essentiel.
Points clés
| Point | Résumé |
|---|---|
| Restrictions de transfert | Les données personnelles ne peuvent quitter l'EEE qu'avec des garanties appropriées en place |
| Décisions d'adéquation | Les transferts vers certains pays (UK, Canada, Japon, etc.) sont autorisés sans mesures supplémentaires |
| Clauses contractuelles types | Mécanisme le plus courant pour les transferts vers des pays non adéquats |
| Implications Schrems II | Les transferts post-2020 nécessitent une évaluation des lois du pays de destination |
| Documentation | Les mécanismes de transfert doivent être documentés dans le ROPA et la politique de confidentialité |
Réponse rapide : Les transferts de données hors de l'EEE nécessitent des garanties appropriées. L'approche la plus courante est les Clauses contractuelles types (CCT) combinées à une Évaluation d'impact du transfert. Les transferts vers des pays "adéquats" comme le UK, le Canada ou le Japon peuvent procéder plus simplement.
Qu'est-ce qui compte comme un transfert ?
Un transfert a lieu quand des données personnelles passent de l'intérieur de l'EEE vers un destinataire à l'extérieur de l'EEE. Le Comité européen de la protection des données (CEPD) identifie trois critères cumulatifs :
| Critère | Description |
|---|---|
| L'exportateur est soumis au RGPD | L'organisation envoyant les données est dans le scope du RGPD |
| Les données sont divulguées à une autre partie | Les données sont transmises, rendues accessibles ou autrement partagées |
| Le destinataire est dans un pays tiers | L'organisation réceptrice est située hors de l'EEE |
Scénarios de transfert courants
| Scénario | Transfert ? |
|---|---|
| Utilisation d'AWS avec région UE | Peut toujours impliquer des transferts pour le support/maintenance |
| SaaS basé aux US avec data center UE | Implique souvent des transferts pour les opérations techniques |
| Envoi de données à une filiale UK | Oui (post-Brexit, bien que le UK ait l'adéquation) |
| Employé UE accédant aux données en voyage | Généralement pas considéré comme un transfert |
| Partage avec un fournisseur basé aux US | Oui, indépendamment de l'endroit où les données sont traitées |
Mécanismes de transfert
Le RGPD fournit plusieurs mécanismes pour les transferts internationaux licites :
1. Décisions d'adéquation (Article 45)
La Commission européenne peut formellement reconnaître qu'un pays tiers fournit une protection "essentiellement équivalente" au RGPD. Les transferts vers des pays adéquats peuvent procéder sans garanties supplémentaires.
Pays avec décisions d'adéquation complètes :
| Pays | Statut |
|---|---|
| Andorre | Adéquat |
| Argentine | Adéquat |
| Canada (commercial) | Adéquat |
| Îles Féroé | Adéquat |
| Guernesey | Adéquat |
| Israël | Adéquat |
| Île de Man | Adéquat |
| Japon | Adéquat |
| Jersey | Adéquat |
| Nouvelle-Zélande | Adéquat |
| République de Corée | Adéquat |
| Suisse | Adéquat |
| Royaume-Uni | Adéquat |
| Uruguay | Adéquat |
EU-US Data Privacy Framework :
Les États-Unis ont une décision d'adéquation partielle via l'EU-US Data Privacy Framework. Les transferts sont autorisés vers les organisations américaines qui se sont auto-certifiées sous le Framework.
2. Clauses contractuelles types (Article 46)
Les Clauses contractuelles types (CCT) sont des termes contractuels pré-approuvés qui imposent des obligations équivalentes au RGPD aux importateurs de données. Elles représentent le mécanisme de transfert le plus courant pour les pays non adéquats.
Modules CCT :
| Module | Scénario |
|---|---|
| Module 1 | Responsable à Responsable |
| Module 2 | Responsable à Sous-traitant (le plus courant) |
| Module 3 | Sous-traitant à Sous-traitant |
| Module 4 | Sous-traitant à Responsable |
Exigences clés des CCT :
- Utiliser les CCT 2021 de la Commission européenne (les anciennes versions ne sont plus valides)
- Exécuter les CCT avant le début des transferts
- Compléter les annexes applicables avec les détails spécifiques du transfert
- Mener une Évaluation d'impact du transfert pour le pays de destination
3. Règles d'entreprise contraignantes (Article 47)
Les Règles d'entreprise contraignantes (BCR) sont des politiques internes de protection des données approuvées par les autorités de contrôle pour les groupes multinationaux. Elles permettent les transferts intra-groupe sans CCT.
| Aspect | BCR |
|---|---|
| Approbation requise | Oui, de l'autorité de contrôle chef de file |
| Délai d'approbation | Souvent 12-24 mois |
| Adapté pour | Grands groupes multinationaux avec des transferts intra-groupe significatifs |
| Coût | Significatif (juridique et administratif) |
| Flexibilité | Élevée, une fois approuvées |
Les BCR ne sont généralement pratiques que pour les grandes entreprises en raison du processus d'approbation et du coût impliqués.
4. Dérogations (Article 49)
Les dérogations permettent des transferts dans des circonstances spécifiques sans autres mécanismes. Elles doivent être utilisées avec parcimonie et ne peuvent pas justifier des transferts routiniers et répétitifs.
| Dérogation | Cas d'usage |
|---|---|
| Consentement explicite | L'individu consent spécifiquement au transfert avec pleine conscience des risques |
| Nécessité contractuelle | Transfert nécessaire pour exécuter un contrat avec l'individu |
| Réclamations juridiques | Transfert nécessaire pour des procédures judiciaires |
| Intérêts vitaux | Transfert nécessaire pour protéger la vie |
| Intérêt public | Transfert nécessaire pour des raisons d'intérêt public important |
Limitations :
- Les dérogations ne peuvent pas être utilisées pour des transferts systématiques et à grande échelle
- Doivent être interprétées de manière restrictive
- Doivent être documentées minutieusement quand on s'y appuie
Évaluations d'impact du transfert
Suite à la décision Schrems II, les organisations utilisant des CCT doivent évaluer si les lois du pays de destination permettent effectivement à l'importateur de remplir les obligations des CCT.
Composantes de la TIA
| Étape | Description |
|---|---|
| Connaître vos transferts | Documenter les données spécifiques, destinataires et finalités |
| Identifier l'outil de transfert | CCT, BCR ou autre mécanisme |
| Évaluer le droit du pays tiers | Évaluer les lois de surveillance et les pouvoirs d'accès gouvernementaux |
| Identifier les mesures supplémentaires | Déterminer si des mesures techniques/organisationnelles supplémentaires sont nécessaires |
| Étapes procédurales | Implémenter les mesures, surveiller et réévaluer périodiquement |
Mesures supplémentaires
Quand les lois du pays de destination peuvent affaiblir les protections des CCT, les organisations peuvent avoir besoin d'implémenter des mesures supplémentaires :
| Type de mesure | Exemples |
|---|---|
| Technique | Chiffrement fort avec clés détenues uniquement dans l'EEE, pseudonymisation, traitement fractionné |
| Contractuelle | Droits d'audit renforcés, engagement à contester les demandes d'accès gouvernementales |
| Organisationnelle | Contrôles d'accès stricts, engagements de transparence |
Destinations à haut risque
Certaines destinations nécessitent une attention particulière dans les TIA :
- Pays sans autorités de protection des données indépendantes
- Pays avec des lois de surveillance larges
- Pays avec accès gouvernemental aux données du secteur privé
- Pays sans recours juridiques effectifs pour les individus
Mise en œuvre pratique
Conformité des transferts étape par étape
Étape 1 : Cartographier vos transferts
- Identifier tous les fournisseurs et systèmes traitant des données personnelles
- Déterminer où les données sont stockées et traitées
- Identifier tout sous-traitant ultérieur dans des pays tiers
Étape 2 : Déterminer le mécanisme de transfert
- Vérifier si le pays de destination a une décision d'adéquation
- Sinon, implémenter des CCT (approche la plus courante)
- Considérer les BCR pour les transferts intra-groupe (grandes organisations)
Étape 3 : Mener une Évaluation d'impact du transfert
- Évaluer les lois du pays de destination
- Évaluer le risque d'application pratique
- Documenter votre analyse et conclusions
Étape 4 : Implémenter des mesures supplémentaires (si nécessaire)
- Identifier les mesures techniques ou organisationnelles appropriées
- Implémenter avant le début des transferts
- Documenter les mesures prises
Étape 5 : Documenter et surveiller
- Mettre à jour le ROPA avec les détails des transferts
- Mettre à jour la politique de confidentialité pour divulguer les transferts
- Surveiller les changements dans les lois du pays de destination ou le statut d'adéquation
Questions de due diligence fournisseurs
Lors de l'évaluation des fournisseurs pour les transferts internationaux :
| Question | Pourquoi c'est important |
|---|---|
| Où les données sont-elles stockées et traitées ? | Identifie les destinations de transfert |
| Utilisez-vous des sous-traitants ultérieurs hors de l'EEE ? | Élargit le scope des transferts |
| Êtes-vous certifié sous l'EU-US DPF ? | Simplifie les transferts US |
| Pouvez-vous exécuter nos CCT ? | Confirme le mécanisme de transfert |
| Quel chiffrement utilisez-vous ? | Supporte les mesures supplémentaires |
| Comment gérez-vous les demandes d'accès gouvernementales ? | Informe la TIA |
Défis courants
Défi 1 : Services cloud
De nombreux services cloud impliquent des flux de données complexes qui peuvent constituer des transferts même quand les data centers principaux sont dans l'UE.
Approche :
- Demander une documentation détaillée des flux de données aux fournisseurs
- Vérifier les emplacements des sous-traitants ultérieurs
- S'assurer que les CCT ou autres mécanismes couvrent tous les scénarios de transfert
- Considérer les fournisseurs avec des engagements forts de localisation des données
Défi 2 : Fournisseurs américains
Les transferts US nécessitent une attention particulière en raison des préoccupations liées aux lois de surveillance, bien que l'EU-US Data Privacy Framework fournisse une voie.
Approche :
- Vérifier si le fournisseur est certifié sous l'EU-US DPF
- Sinon, implémenter des CCT avec une TIA robuste
- Considérer des mesures supplémentaires basées sur la sensibilité des données
- Documenter minutieusement votre évaluation
Défi 3 : Acquisitions et fusions
Les transactions d'entreprise impliquant des entités hors EEE peuvent déclencher des exigences de transfert.
Approche :
- Évaluer les implications de transfert de données tôt dans la due diligence
- Implémenter les mécanismes appropriés avant le partage de données
- Planifier la conformité continue post-transaction
Exigences de documentation
Mises à jour du ROPA
Votre Registre des activités de traitement devrait documenter :
- Catégories de destinataires dans des pays tiers
- Mécanismes de transfert utilisés
- Destinations pays tiers
Divulgations de la politique de confidentialité
Les politiques de confidentialité devraient informer les individus sur :
- Le fait que des transferts internationaux ont lieu
- Les pays de destination ou catégories de destinations
- Les garanties sur lesquelles vous vous appuyez (ex : CCT, décisions d'adéquation)
Comment Bastion peut vous aider
La conformité des transferts internationaux de données implique une analyse juridique, une évaluation technique et une surveillance continue. Travailler avec des partenaires expérimentés aide à s'assurer que les transferts sont correctement structurés et documentés.
| Défi | Comment nous aidons |
|---|---|
| Cartographie des transferts | Identification de tous les flux de données constituant des transferts internationaux |
| Sélection du mécanisme | Conseils sur les mécanismes de transfert appropriés pour votre situation |
| Préparation TIA | Support pour mener et documenter les Évaluations d'impact du transfert |
| Mise en œuvre des CCT | Templates et conseils pour une exécution correcte des CCT |
| Évaluation fournisseurs | Support de due diligence pour évaluer les fournisseurs internationaux |
| Surveillance continue | Suivi des changements de statut d'adéquation et des évolutions réglementaires |
Les transferts internationaux représentent un domaine où bien faire les choses dès le départ aide à éviter le besoin de remédiation rétrospective, qui peut être complexe et perturbatrice.
Des questions sur vos transferts internationaux de données ? Parlons-en →
Sources
- RGPD Chapitre V (EUR-Lex) - Texte officiel sur les transferts internationaux
- Recommandations CEPD sur les mesures supplémentaires - Guidance post-Schrems II
- CCT Commission européenne - Clauses contractuelles types officielles
- EU-US Data Privacy Framework - Mécanisme d'adéquation US