[mis à jour le 8 mars 2018] Puisque l’Union Européenne se pose en rempart, unique dans le monde, des droits numériques de ses citoyens, il faut rappeler que l’UE n’est pas – techniquement – un coffre-fort isolé. Il est donc nécessaire de s’intéresser aux transferts HORS UE de données [personnelles].

Si votre entreprise souhaite exporter des données [personnelles] HORS de l’Union Européenne, par exemple (et au hasard) vers les USA (au Maroc, à Madagascar…), vous êtes directement concernés par les mécanismes de transferts hors UE  : ce sont les articles 44 à 49 de la General Data Protection Regulation (Règlement UE n°2016/679 du 27 avril 2016) qui s’appliqueront dès le 25 mai 2018.

Le verbe « exporter » des données HORS UE ne vous évoque rien ? Vous ne vous sentez pas concerné ? Vous préférez « si vous stockez des données HORS UE » ou « si vous faites traiter vos données par un prestataire situé HORS UE » ?

[wonderplugin_gallery id= »89″]

La Directive 95/46 et les règles de transferts HORS UE des données

Pour la première fois, l’UE s’est dotée en 1995 d’un texte pour organiser la collecte et la conservation des données à caractère personnel. La fameuse loi française « Informatique et libertés » du 6 janvier 1978 sera mise en conformité avec le texte européen par une loi d’aout 2004 (neuf ans plus tard…).

Petit rappel des exportations de données HORS UE sous le régime de la Directive de 1995.

Les 5 dérogations autorisant les transferts HORS UE depuis 1998

La directive 95/46, en vigueur jusqu’au 25 mai 2018, pose un principe d’interdiction des transferts hors UE des données [personnelles], avec 5 dérogations.

1ère des 5 dérogations : la reconnaissance d’un niveau de protection adéquate des données [personnelles] des Européens par le pays importateur. Cette reconnaissance passe par une « décision d’adéquation » officielle de la Commission européenne. Pour mémoire, à ce jour, bénéficient d’une décision d’adéquation la Suisse, le Canada, Israel, l’Argentine, le Paraguay et la Nouvelle-Zélande (plus quelques confetis comme Jersey, Guernesey, etc.). Ajoutons à cette liste l’accord sectoriel UE-USA – unique en son genre – « Safe Harbor« , annulé en octobre 2015, et remplacé depuis juillet 2016 par le pas glorieux « Privacy Shield« . Retenez bien, ce régime est reconduit à l’identique avec la GDPR.

2ème dérogation : les clauses contractuelles type homologuées officiellement par l’UE et/ou une CNIL.

3ème dérogation : les binding corporate rules [BCR], c’est-à-dire les accords de transferts intra-groupe de données [personnelles]. Ce régime-ci est également reconduit par la GDPR, mais sévèrement « durci » en version 25 mai 2018.

4ème dérogation : le consentement individuel et exprès (très difficile à gérer sur une vaste échelle) de chaque personne concernée dont les données doivent être transférées.

5ème dérogation : le transfert « nécessaire » avec ses 6 hypothèses, d’interprétation très restrictive car limitées à des « cas ponctuels et exceptionnels » selon la doctrine du groupe des CNIL de l’UE dit « G.29 ». Ce régime-là aussi est repris : c’est la 6° modalité « super-dérogatoire » en version GDPR.

Le détail ce que prévoit la GDPR à partir du 25 mai 2018 ?

GDPR : 5 modalités principales de transferts HORS UE 

Vous avez noté, dans le titre ? Ce n’est plus 1 principe et des dérogations. Ce sont 5 modalités principales. Oublions l’ancienne opposition « principe d’interdiction / exceptions par dérogation expresse » de la Directive 95/46… Et oubliez (déjà) la 6° modalité « super-dérogatoire » tellement c’est conçu pour ne permettre à quiconque de s’en servir…

1ère modalité de transferts hors UE: Les décisions d’adéquation de la Commission européenne. Les principes sont ceux de la Directive 95/46, même s’ils évoluent. Les critères permettant l’adoption des décision appréciant le « niveau de protection adéquate » d’un pays tiers à l’UE sont dorénavant fixés directement dans la GDPR. En cas de contestation d’une décision d’adéquation, la CJUE va se régaler, sans avoir besoin de se justifier aussi longuement que dans l’arrêt « Schrems » du 6 octobre 2015.

2ème modalité : les [BCR] (les règles internes contraignantes d’entreprises) – pas de changement dans le principe mais… bienvenue aux 14 critères obligatoires auxquels les entreprises devront se plier pour bénéficier de ce dispositif. Et c’est valable seulement APRES validation par la CNIL nationale… Comme une certification, mais délivrée au cas par cas directement par l’Autorité de contrôle…

3ème modalité : la preuve de la fourniture de « garanties appropriées » en matière de protection de données, notamment la signature de clauses contractuelles type. Ce n’est jamais que la preuve, par des mesures techniques et organisationnelles appropriées (déjà), du respect de la GDPR. C’est une reprise améliorée de la 2ème dérogation de la directive 95/46. Globalement, ce sera au finale la meilleure solution car partiellement contractuelle, donc la plus utilisée. C’est juridiquement à ce stade que les audits de certification interviennent. Enfin… pour les entreprises qui auront compris que c’est le seul moyen de se faire présumer « GDPR compliant » dans le temps.

4ème modalité : une décision judiciaire / administrative fondée sur un accord international. Ce principe figurait comme l’une des 6 hypothèses de la 5ème dérogation contenue dans la directive 95/46.

5ème modalité : les « dérogations pour des situations particulières » avec 7 conditions alternatives, assez restrictives, ET avec une condition préalable (de taille) : qu’il n’y ait (i) ni décision d’adéquation, (ii) ni « garanties appropriées« , (iii) ni [BCR]. Tout cela sent le dérogatoire à interprétation restrictive (je parie encore mon chapeau sur ce point).

Nous verrons successivement ces 5 modalités de transferts hors UE dans les slides en tête de ce post.

La 6° modalité « super dérogatoire » de transferts HORS UE dans « l’intérêt légitime et impérieux » du responsable

Et puis… et puis vint la 6ème et dernière modalité super dérogatoire de transferts hors UE : « l’intérêt légitime et impérieux » du prestataire qui collecte les données. Pour pouvoir prétendre utiliser cette modalité super dérogatoire, il faudra déjà qu’il n’existe (i) ni décision d’adéquation, (ii) ni « garanties appropriées », (iii) ni [BCR], (iv) ni « dérogations pour des situations particulières ». Ce que l’audacieux aspirant à ce fondement juridique devra prouver à l’Autorité de contrôle, je vous le rappelle, puisque la charge de la preuve pèse de manière générale sur le « data controller » (le « responsable du traitement » en Molière version Bruxelles dans le texte).

En plus, cette dérogation ne sera permise (i) que pour des transferts « non répétitifs », (ii) seulement si le nombre de personnes concernées est « limité », (iii) qu’à condition de noter et de documenter l’usage de cette modalité super dérogatoire dans le registre écrit des traitements de données [personnelles], (iv) en informant la CNIL nationale et (v) en informant aussi la personne concernée.

Enfin, il faudra que le responsable du traitement puisse démontrer que son « intérêt légitime et impérieux » prévaut sur les « intérêts et les droits et libertés » des personnes dont il traite les données [personnelles]. Cliquez sur ce lien pour accéder à notre étude complète des « intérêts légitimes » du responsable du traitement.

Vous comprenez mieux le terme de super dérogatoire ? En réalité, c’est ici encore la reprise d’une autre des 6 hypothèses de la 5ème dérogation de la directive 95/46. Ce sera tellement rare que je ne vous montre même pas la slide correspondante ici. C’est dire !

La poursuite des décisions d’adéquation antérieures à la GDPR

Avec bon sens (c’est suffisamment peu courant pour être précisé), la GDPR pose un principe de continuité des transferts hors UE validés par une décision d’adéquation prise en application de la Directive 95/46.

En clair, les transferts hors UE de données vers la Suisse, le Canada, l’Argentine, le Paraguay, la Nouvelle-Zélande ou Israël resteront valables. Mais… dès le 25 mai 2018 – c’est prévu dans la GDPR – TOUTES les décisions d’homologation de « niveau de protection adéquate » de la Commission européenne feront l’objet d’une révision « au moins tous les 4 ans« . Ce « TOUTES » désigne aussi les décisions d’adéquation prises sous le régime de la directive 95/46. Même le Privacy Shield…

ATTENTION aux pays bénéficiant d’une décision d’adéquation. Les décisions prises sous l’empire de la Directive 95/46 conduiront à terme à une évolution législative majeure chez chacun des pays bénéficiaires. Si les 27 pays membres de l’UE doivent se mettre à niveau du fait de l’entrée en vigueur de la GDPR, il faudra que la Suisse, le Canada, Israel, l’Argentine, etc. fassent de même. Au plus tard dans les 4 ans à compter du 25 mai 2018… Sinon , plus de « niveau adéquat de protection » pour l’UE… Cette obligation de « remise à niveau » de la législation concerne également le Royaume-Uni puisque sa sortie officielle de l’UE est actée pour prendre effet le 29 mars 2019.

L’impact du Brexit

[mise à jour du 17 aout 2017] A défaut d’accord spécifique entre l’UE et le Royaume-Uni au plus tard le 29 mars 2019, le Royaume Uni deviendra un pays tiers à l’Union Européenne dès le 30 mars 2019. Concrètement, si l’UE n’adopte pas une décision spécifique d’adéquation pour le Royaume Uni avant la date de prise d’effet du Brexit, la perfide Albion ne pourra plus importer des données depuis l’UE. Sauf pour le prestataire SaaS qui s’y risquerait à encourir les foudres d’une Autorité de type CNIL, avec un risque de sanction pour le prestataire intra UE de 20 millions d’€uros / 4 % de son CA mondial.

Seule autre solution pour que le prestataire SaaS intra UE se « couvre » de son éventuelle responsabilité : faire certifier son client UK via un programme de certification GDPR ou un Code de conduite GDPR. Et à l’heure ou j’écris ces quelques lignes, aucun de ces programmes dont la validation est obligatoire par la Commission Européenne ou une Autorité de contrôle n’est disponible… Je vous invite à beaucoup de prudence contractuelle passé le 29 mars 2019 (n’est-ce pas, Nathalie ?). Petit rappel pour nos amis Anglo-saxons : les « clauses types » d’exportations de données sous le régime de la directive 95/46 imposaient que les contrats soient gouvernés par le droit d’un pays membre de l’UE. Je vois mal la GDPR changer les choses sur ce point.

Cerise sur le gâteau : toutes les exportations de données vers les USA à partir du Royaume Uni fondées sur le Privacy Shield seront donc juridiquement invalides à partir du 29 mars 2019. L’alliance entre l’Oncle Sam et la Grande-Bretagne va en prendre un coup…

Tiens ?! Je connais déjà un prestataire qui rapatrie ses serveurs en Europe continentale… [8 mars 2018 : si les chambres de compensation bancaire quittent actuellement le Royaume-Uni pour s’installer à Bruxelles, pourquoi voudriez-vous qu’il en soit autrement des datacenters ? Car les entreprises UK de la tech viennent (enfin ?) de comprendre les conséquences du Brexit à leur égard. Et s’en plaignent actuellement publiquement auprès de leurs politiques]

MERCI à Fabrice Lebeault, scénariste et dessinateur de la géniale série « Horologiom«  dont il m’a autorisé à utiliser les images et à bricoler les phylactères. Et MERCI une fois encore à la team Delcourt, Laurence Leclercq, Sébastien Le Foll et Lucie Massena, pour leur aide et leur confiance. Car, chez Delcourt / Soleil, on ose autoriser un usage moderne de la BD.