La question de la protection des données personnelles s’évalue régulièrement à l’aune de nombreux transferts de données, intra-UE ou hors UE. 5 ans après l’entrée en application du RGPD, tour d’horizon des règles applicables.

Les traitements de données personnelles

Données personnelles, données sensibles

Les données à caractère personnel sont classées par catégories au sein du Règlement général sur la protection des données (RGPD). Selon le RGPD, une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou indentifiable. Cela peut inclure des informations telles que le nom, le prénom, l’adresse e-mail, l’adresse postale, le numéro de téléphone, l’âge, etc. (article 4 du RGPD).

Parmi ces données, certaines relèvent des catégories particulières de données qui nécessitent une protection spécifique parce qu’elles sont susceptibles d’engendrer des risques importants pour les droits et libertés des personnes concernées (considérant 51 du RGPD). Le RGPD énumère ces données, qui correspondent notamment aux informations sur l’origine raciale ou ethnique, aux opinions politiques, aux croyances religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques, biométriques, relatives à la santé ou encore à l’orientation sexuelle (article 9 du RGPD).

La collecte et le traitement de telles données sont soumis à des restrictions plus strictes en vertu de l’article 9 du RGPD, nécessitant par exemple une base juridique spécifique (par exemple le recueil d’un consentement explicite) et des mesures de sécurité renforcées.

Traitement, collecte, stockage de données personnelles

Tout responsable de traitement ou DPO est amené à effectuer divers traitements en matière de données personnelles qu’il s’agisse de la collecte, le stockage et le traitement de ces données, dans le contexte des ressources humaines, du marketing, de la prospection commerciale ou encore du recouvrement.

La notion de traitement des données personnelles englobe, toute opération sur les données, qu’il s’agisse de les organiser, les structurer, les analyser, modifier, supprimer etc. La collecte et le stockage figurent parmi ces différents traitements de données.

Chaque traitement doit être mis en œuvre, conformément à des finalités spécifiques (article 5 RGPD) et est susceptible de recouvrer un nombre de données très significatif (nom, prénom, mail, IBAN, facturation). De la même manière certaines opérations peuvent aussi entraîner le traitement de données sensibles (recouvrement, gestion de mutuelle, contentieux…).

A ce titre, la collecte des données constitue un processus essentiel pour obtenir les informations relatives aux personnes concernées, ce qui peut s’effectuer par l’intermédiaire de formulaires, de traceurs sur des sites internet, ou par d’autres moyens conformément aux législations et réglementations en vigueur, notamment le RGPD et la loi informatique et libertés. La mise en conformité de cette collecte est cruciale pour traiter de données dans un cadre sécurisé.

Le traitement et le stockage interviennent en aval de la collecte et correspondent à la phase de modification et de traitement puis de conservation sécurisée des données. Cette dernière conservation doit être déterminée et limitée.

Ces différents traitements nécessitent souvent des transferts de données, entre entités ou vers des acteurs situés en dehors de l’Union européenne (par exemple via l’utilisation d’applications ou d’outils non européens. Cet aspect doit aussi être encadré.

Les différents types de transferts de données personnelles

Transferts interentreprises

Le considérant 48 du RGPD prévoit que : « Les responsables du traitement qui font partie d'un groupe d'entreprises ou d'établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d'entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. Les principes généraux régissant le transfert de données à caractère personnel, au sein d'un groupe d'entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause. »

Dans ce contexte, il est possible de transférer des données entre entités d’un même groupe. Par exemple, dans un groupe composé d’une société mère et de ses filiales, des données relatives aux salariés telles que des fiches de paie, des évaluations de performances peuvent être collectées et gérées par les filiales et transférées à la société mère pour des finalités de gestion des ressources humaines à l’échelle du groupe. De même, les filiales peuvent recueillir des données sur des clients résidants dans d’autres pays et partager ces informations avec la société mère située dans un autre pays, à des fins d’analyse commerciale, ou à des fins de services aux clients du groupe, entre autres...

Le transfert de données intra-groupe doit être mis en œuvre conformément aux principes de l’article 5 du RGPD. Il doit également distinguer selon que ces transferts auront lieu au sein de l’Union européenne ou non. En général, ces transferts sont aussi réglés via des politiques internes au groupe en question, afin de permettre une application uniforme de la législation et de la règlementation applicable. Une analyse au cas par cas des dispositions applicables reste nécessaire, au préalable.

Ces transferts font l’objet de contrôles. En témoigne la délibération de la CNIL en date du 18 septembre 2023. Dans ce cas, la CNIL avait sanctionné l’entreprise SAF LOGISTICS pour le transfert de données sensibles de certains de ses salariés européens vers la société mère en Chine, sans la mise en œuvre des garanties appropriées.

Transferts entre responsables de traitement et sous-traitant

Les situations relatives aux transferts de données entre responsable de traitement et sous-traitant doivent aussi être pris en compte. Dans ce cadre, la conformité aux normes sur la protection des données personnelles s’avère plus complexe. En effet et en comparaison des transferts de données au sein d’un même groupe de sociétés, le transfert entre un responsable de traitement et ses sous-traitants implique des défis supplémentaires. En effet, dans la mesure où ces entités sont des personnes morales totalement distinctes et ne font pas partie d’un même groupe, leurs conformités peuvent diverger de manière significative, en l’absence de liens organisationnels à la différence des sociétés appartenant à un même groupe. Ce qui va nécessiter pour le responsable de traitement de déterminer la conformité ou non de son sous-traitant.

Afin de régir les transferts et les traitements de données personnelles entre responsable de traitement ou DPO et sous-traitants, les dispositions de l’article 28 du RGPD prévoient différentes obligations. Le traitement réalisé par le sous-traitant pour le compte du responsable de traitement doit être formalisé par le biais d’un acte juridique, généralement un contrat. Ce contrat doit contenir des clauses relatives à la protection des données, comprenant des éléments tels que la sécurité des données, leur transfert, les responsabilités de chacune des parties. Plus globalement, ce contrat contient le cadre établi pour permettre au sous-traitant de traiter les données qui lui ont été transférées par le responsable de traitement.

Transferts internationaux (hors Union européenne)

Des règles strictes sont prévues par le RGPDB Concernant le transfert de données personnelles vers des pays tiers à l’Union européenne ou des organisations internationales.

En effet, en matière de transferts de données hors de l’UE, plusieurs dispositifs sont prévus par le RGPD (hérités en partie de la directive 95/46) :

• Les décisions d’adéquation – article 45 du RGPD : La Commission européenne peut reconnaître par une décision « d’adéquation » qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation assure un niveau de protection adéquat des données, facilitant ainsi les transferts vers ce pays sans autorisation spécifique. La liste de ces pays est régulièrement mise à jour par la Commission ;

• Les clauses contractuelles types – article 46 du RGPD : Les entreprises peuvent avoir recours à des clauses contractuelles types mises en œuvre par la Commission européenne afin d’encadrer certains transferts de données et de garantir un niveau de protection des données similaire à celui du RGPD. Ces clauses ont été révisées et précisées le 4 juin 2021 ;

• Les règles d’entreprises contraignantes (BCR) – article 47 du RGPD : les entreprises peuvent établir des règles d’entreprise contraignantes approuvées par les autorités de protection des données pour les transferts intragroupes de données personnelles. Ces règles sont contraignantes pour toutes les entités concernées du groupe d’entreprise ;

• Les dérogations pour des situations particulières – article 49 du RGPD : Ce dernier prévoit une liste de dérogations en matière de transferts de données, en l’absence de décision d’adéquation ou de règles d’entreprise contraignantes. Parmi ces dérogations, le RGPD prévoit le consentement explicite des personnes concernées, qui peut être requis pour autoriser le transfert de données personnelles en dehors de l’UE mais aussi l’exécution d’un contrat ou encore pour des motifs d’intérêt public.

Sécurité des transferts de données personnelles

Risques associés aux transferts de données personnelles

Les transferts de données personnelles en dehors de l’Union européenne peuvent présenter plusieurs risques pour la protection des données personnelles, notamment le manque de protection par des législations moins strictes que celles de l’UE, ce qui expose les données des personnes concernées à des niveaux de protection moindre. En effet, une fois que les données ont été transférées hors de l’Union européenne, il peut être difficile pour les personnes concernées et les autorités de contrôles de l’UE d’exercer un contrôle sur ces données et la manière dont elles sont utilisées, stockées et protégées ou non.

Les individus peuvent ne pas bénéficier de recours dans certains pays pour demander réparation d’éventuelles violation de leurs données, ce qui peut rendre difficile en pratique la protection de leurs droits. Enfin, le niveau de protection des données peut varier considérablement d’un pays à l’autre, voire être remis en cause par d’autres impératifs, notamment en matière de surveillance gouvernementale.

Afin d’appréhender ces divergences de législation ou de réglementation, la Commission européenne tient compte dans l’élaboration de ses décisions d’adéquation des critères connexes à ceux mentionnés précédemment (article 45 du RGPD).

Elle a notamment souligné qu’il était crucial de s’assurer que les données personnelles transférées en dehors de l’UE bénéficiaient bien d’une protection équivalente à celle garantie dans l’UE, conformément aux exigences du RGPD, afin d’éviter tout risque de violation de la réglementation sur la protection des données, comme le souligne le considérant 104 du RGPD : « […] Le pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l'Union […] »

Mesures de sécurité à déployer en cas de transferts de données

À la suite de l’invalidation de l’accord de transfert « Privacy Shield » entre l’UE et les Etats-Unis par l’arrêt Schrems II de la CJUE, le Comité européen de la protection des données (CEPD) a joué un rôle central afin de guider et d’orienter les entités concernées en Europe, dans le cadre de l’encadrement de leurs transferts de données vers des pays tiers. Ces recommandations avaient aussi pour objet de veiller à la prise en compte des standards fixés par la CJUE.

Le CEPD a ainsi publié ses recommandations (Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE Adoptées le 10 novembre 2020) qui visent à aider les acteurs à identifier et mettre en œuvre les mesures supplémentaires requises par l’état du droit.

En effet, ces recommandations avaient pour objet de compléter les dispositions du RGPD, sur la base de la jurisprudence de la CJUE, afin de préciser les moyens supplémentaires que les responsables de traitement et sous-traitants doivent adopter pour garantir un niveau de protection adéquat lors de transferts de données vers des pays tiers.

Ces recommandations visent notamment à fournir des méthodologies pour évaluer si des actions supplémentaires sont nécessaires pour sécuriser les transferts de données et lesquelles choisir. Le but étant de s’assurer que les données personnelles transférées bénéficient d’une protection adéquate au sein du pays tiers, conformément au RGPD et à l’arrêt Schrems II de la CJUE :

CJUE, 16 juillet 2020, C-311/18 : 134 « Il appartient, dès lors, avant tout, à ce responsable du traitement ou à son sous-traitant de vérifier, au cas par cas et, le cas échéant, en collaboration avec le destinataire du transfert, si le droit du pays tiers de destination assure une protection appropriée, au regard du droit de l’Union, des données à caractère personnel transférées sur le fondement de clauses types de protection des données, en fournissant, au besoin, des garanties supplémentaires à celles offertes par ces clauses. »

Dans ses recommandations 01/2020, le CEPD précise la nature des mesures supplémentaires, qui peuvent être :

• Des mesures contractuelles (notamment par la mise en place de clauses et annexes au contrat qui renforcent la transparence (pt99, 103 et suivants) ;

Ces mesures peuvent être déclinées en audits et inspections des installations de traitement de données de l’importateur de données, sur place ou à distance afin de vérifier si des données ont été divulguées aux autorités publiques et dans quelles conditions (pt105 et suivants).

Lorsque le pays où l’importateur se trouve initialement respecte des normes de protection des données similaires à celles de l’UE pour les données transférées, l’exportateur de données peut exiger que l’importateur notifie rapidement s’il ne peut pas respecter les termes du contrat, notamment en ce qui concerne le niveau de protection similaire des données. Cette incapacité peut notamment résulter de changements de la législation ou pratique du pays tiers (pt107, 108 et suivants).

• Des mesures organisationnelles :

Il s’agit de mesures telles que des politiques internes et des normes internes appliquées par les responsables de traitement et sous-traitants qui peuvent être mises en place pour assurer une protection des données personnelles. Ces dernières aident à sensibiliser les exportateurs aux risques liés à l’accès aux données dans des pays tiers et renforcent leur réactivité.

Néanmoins, le CEPD a ajouté que la seule mise en œuvre de telles mesures organisationnelles ne garantissait pas que le transfert de données respectait bien la norme d’équivalence exigée par les dispositions de l’UE. Les mesures organisationnelles devraient être complétées par des mesures contractuelles et techniques en fonction des circonstances afin de garantir un niveau de protection des données à caractère personnel essentiellement équivalent à celui garanti au sein de l’UE (pt122 et suivants)

• Des mesures techniques :

Dans les différentes mesures techniques évoqués, le CEPD énumère la pseudonymisation (pt80), le chiffrement (pt84), le transfert de données à un importateur de données dans un pays tiers spécifiquement protégé par le droit national en tant que destinataire protégé (pt85) ou encore le traitement fractionné ou multipartite de données (pt86).

Les recommandations du CEPD soulignent également (comme le stipule la CJUE dans son arrêt Schrems II) que si l’importateur ne peut pas respecter les clauses de protection des données du contrat, l’exportateur et l’importateur doivent arrêter le transfert ou mettre fin au contrat (pt5).

Parfois, même avec des mesures supplémentaires, il peut être impossible de garantir un niveau de protection équivalent. Dans de tels cas, l’exportateur doit arrêter le transfert pour éviter de compromettre la protection des données.

De façon générale, le CEPD a souligné que tout exportateur doit évaluer les mesures supplémentaires mises en œuvre avec soin et les documenter (résumé des recommandations 01/2020).

Bien que l’article 35 du RGPD ne fasse pas mention des transferts de données, le recours à une analyse d’impact sur la protection des données peut s’avérer pertinent pour évaluer les risques pour les droits et libertés des personnes concernées, ainsi que les mesures envisagées pour faire face aux éventuels risques, y compris les garanties et mécanismes de sécurité pour assurer la protection des données. Le CEPD a ainsi milité en faveur d’une forme d’analyse d’impact dédiée (« transfer impact assesment »).