Appelez-nous au Mission RGPD, le logiciel RGPD de référence 04 28 70 91 81

Cet article regroupe l’ensemble des questions posées à nos intervenants, Deborah CHAPON – Responsable juridique chez Mission RGPD et Amira BOUNEDJOUM – Avocate Données personnelles et Cybersécurité, à l’occasion de notre webinar consacré aux transferts hors UE. 

Compte tenu du succès de cette intervention et du grand nombre de réactions qu’elle a suscité, nous avons estimé pertinent de vous partager ici nos réponses. 

Retrouvez le replay de ce webinar ainsi que nos précédentes conférences en cliquant ici : ?

Thème 1 : BCR 

« Les BCR ont elles aussi à être approuvées par les autorités ? » 

✅ Oui, les Biding corporate rules (BCR) sont présentées à l’autorité de contrôle chef de file BCR. Elle les approuve après avoir reçu l’avis du Comité européen de la protection des données (CEPD). Vous retrouverez la procédure à suivre pour soumettre un projet de BCR aux autorités de contrôle sur le site de la CNIL.

« Il me semblait que les BCR, pour être valables, devaient être validées par, et déclarées auprès de la Commission européenne ? »

La Commission européenne met à disposition les CCT, elle n’intervient pas dans la procédure d’approbation des BCR. Les BCR sont validées par l’autorité de contrôle compétente et déclarées au Comité européen de la protection des données (CEPD). 

« Comment sait-on si des BCR ont reçu une approbation ? Existe-t-il une publication des listes de BCR approuvées quelque part ? »

L’entreprise ayant eu recours à la procédure d’approbation des BCR reçoit notification de la décision prise par l’autorité chef de file BCR. Le CEPD publie une liste de BCR approuvées.

« Les BCR peuvent-elles concerner aussi les subprocessors tiers au groupe d’entreprises/sous-traitants et pas seulement les filiales ? » 

Les BCR ont vocation à s’appliquer uniquement en interne. Ce sont des règles que le groupe s’engage à respecter. Elles visent l’hypothèse dans laquelle les différentes entités du groupe sont réparties dans plusieurs pays, dont des pays hors Espace économique européen (EEE). Dans ce cas, pour ses activités, le groupe peut être amené à échanger des données entre ses entités. Les BCR lui permettent d’uniformiser les pratiques du groupe en matière de transferts de données personnelles et les garanties associées. 

Pour rappel, il existe deux types de BCR : ?

  • BCR RT 

Les transferts sont réalisés entre deux entités, du même groupe. L’exportateur est un responsable de traitement situé en UE, et l’importateur (responsable de traitement ou sous-traitant) est situé hors UE. 

  • BCR ST 

Ce type de BCR vise les transferts de données entre plusieurs entités du groupe, lorsqu’elles agissent en tant que sous-traitants. 

Si les données sont transférées à un sous-traitant externe au groupe, il faut envisager un autre mécanisme de transfert tel que des CCT. Les CCT ont été mises à jour par la Commission européenne le 4 juin 2021.

« Les BCR sont-elles viables pour une ETI de 2 500 personnes réparties sur plus de 30 pays ? »

✅ Oui, c’est cette hypothèse qui est visée par les BCR, c’est l’instrument à adopter pour les transferts intragroupes. En pratique, il s’agit d’un bon exercice de conformité dans la mesure où les exigences requises pour obtenir l’approbation de BCR permettront au groupe d’ancrer l’implémentation effective de leurs process de conformité. Attention néanmoins, c’est un processus long et assez complexe qui nécessite un certain niveau de maturité en la matière et requiert des moyens humains et matériels.  

Thème 2 : CCT 

« Bonjour, par rapport à Schrems II – quelle méthodologie selon vous pour réaliser les études préalables des législations nationales hors UE (quelle grille de lecture pour évaluer le pays tiers ? et quels critères pour juger de l’efficacité ou non des CCT dans le pays tiers ?). Merci. » et «  Comment savoir si les CCT sont suffisantes ou pas ? »

Le CEPD a publié des « recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE ». 

Les informations relatives aux critères pour juger de l’efficacité ou non des CCT se trouvent principalement dans la section 2.3 Étape 3 : Évaluer si l’instrument de transfert prévu à l’article 46 du RGPD auquel l’exportateur a recours est efficace compte tenu de toutes les circonstances du transfert, ainsi que dans l’Annexe 3 : Sources d’information possibles aux fins de l’évaluation d’un pays tiers

« Quelles sont les « mesures supplémentaires » à ajouter dans les CCT ? » et « Avez-vous des exemples de mesures supplémentaires ? »

Les mesures supplémentaires à mettre en œuvre, en plus des CCT, sont des mesures techniques ou organisationnelles. Le CEPD a dressé une liste d’exemples de mesures supplémentaires dans ses « recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE ». 

Retrouvez cette liste dans l’Annexe 2 : Exemples de mesures supplémentaires

Thème 3 : Google Analytics et transferts aux GAFAM 

« Je présume que les GAFAM ont en leur sein des puristes du droit qui maîtrisent tous les rouages autour des transferts de données personnelles. Pouvez-vous donc me dire ce qui pose problème concrètement à leur niveau ? Pourquoi sommes-nous défendus d’utiliser Google Analytics ? Comment vos équipes vivent-elles cette décision de la CNIL ? Comment y remédier ? »

Nous avons abordé ces questions au cours du webinar. Nous vous invitons à regarder le replay, notamment à partir de 51min25.  

? Pour résumer la problématique, à travers l’utilisation de Google Analytics, une collecte de données est réalisée (particulièrement l’adresse IP). Ces données sont transférées aux États-Unis et peuvent potentiellement être communiquées aux agences de renseignements américaines du fait d’une réglementation spécifique du droit américain. En conséquence, la CJUE considère que le niveau de protection accordé sur le territoire américain en matière de données personnelles n’est pas suffisant au regard du droit européen. En conséquence, l’accord permettant le transfert de données vers ce pays est annulé. Il n’existe plus de décision d’adéquation pour les transferts vers les États-Unis (cf. Schrems II), donc ce transfert n’est plus encadré sur cette base. La CJUE n’exclut pas la possibilité d’utiliser d’autres mécanismes (CCT, BCR) à condition de les assortir de mesures complémentaires garantissant l’effectivité du mécanisme de transfert choisi au regard du droit national du pays de transfert. Google a mis en œuvre des CCT. Néanmoins au regard des dernières décisions des autorités de contrôle européenne au regard de Google Analytics, il ne semble pas que les mesures mises en œuvre soient suffisantes pour légitimer le transfert opéré.  

Nous sommes dans l’attente d’un nouvel accord permettant d’encadrer les transferts vers les États-Unis.  

« Quelle est la règle pour les données hébergées chez Microsoft Azure au sein de l’UE ? »

Pour les outils fournis par des sociétés américaines, même en dehors du territoire des États-Unis, la législation américaine s’applique. Cela signifie qu’il existe un risque pour que les données soient transférées hors Union Européenne. La CNIL a indiqué, suite à l’interrogation de la Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU)  sur la conformité au RGPD de l’utilisation, dans l’enseignement supérieur et la recherche, au sujet d’outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis, qu’ « indépendamment de l’existence de transferts, les législations américaines s’appliquent aux données stockées par les sociétés états-uniennes en dehors de ce territoire. Il existe donc un risque d’accès par les autorités américaines aux données stockées. » 

Il convient alors, pour utiliser Microsoft Azure, de mettre en place des mesures supplémentaires. Le CEPD a dressé une liste d’exemples de mesures supplémentaires dans ses « recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE ». 

Vous trouverez cette liste dans l’Annexe 2 : Exemples de mesures supplémentaires

« Une entreprise française qui ne fait même pas un chiffre d’affaires de 10 millions d’euros, peut-elle négocier avec Google, LinkedIn, etc. ? Ces plateformes vont-elles répondre à ses différents courriels ? Je ne pense pas ! »

❌ Effectivement non, il n’est pas envisageable de négocier avec ces acteurs. Cependant, vous pouvez limiter, autant que possible, leur utilisation. Pour l’utilisation que vous en faites, essayez de les paramétrer pour qu’ils soient plus respectueux de la protection des données personnelles. 

Thème 4 : Autres 

« Le transfert hors UE de données personnelles d’employés peut-il être couvert par une base légale « poursuite d’obligation contractuelle », dans le cadre d’un contrat entre la société dont font partie ces employés, et un sous-traitant ? (Exemple : fourniture d’un SaaS avec transfert de données hors UE) »

✅ En principe oui, car la possibilité de transférer les données ne dépend pas de la base légale du traitement. Pour savoir si les données des employés peuvent être transférées dans l’hypothèse que vous évoquez, il faut suivre la méthodologie que nous avons évoquée dans le webinar. Vous semblez avoir identifié le transfert, les acteurs (exportateur et importateur) et la base légale du traitement concerné, il vous reste à : ?

  • Identifier le pays où sont transférées les données et le mécanisme de transfert (décision d’adéquation, CCT, BCR, etc.) ; 
  • Évaluer les risques associés à ce transfert ; 
  • Mettre en œuvre le mécanisme et adopter des mesures supplémentaires si besoin. 

Cette méthodologie est valable si le transfert n’est pas encore en œuvre ; pour un transfert existant, nous vous recommandons : ?

  • D’auditer votre contrat avec le sous-traitant concerné ; 
  • Évaluer les risques associés au transfert ; 
  • Mettre à jour les garanties mises en œuvre pour réaliser le transfert (adoption d’un nouveau mécanisme de transfert ou adoption de mesures supplémentaires) ; ou 
  • Arrêter le transfert et trouver une autre alternative qui peut être plus respectueuse de la protection des données personnelles. 

Dans tous les cas, n’oubliez pas de réévaluer vos conditions de transfert dans le temps et de les mettre à jour si besoin. 

Nous attirons votre attention sur le fait que le recours aux mécanismes dérogatoires de l’article 49.1.2 (« le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande ») doit respecter, selon la CNIL, les conditions cumulatives suivantes ; à savoir le transfert :  ?

  • Ne revêt pas de caractère répétitif, 
  • Ne touche qu’un nombre limité de personnes concernées, 
  • Est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, 
  • Et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel. 

Nous vous invitons à prendre connaissance des lignes directrices du CEPD sur le sujet.  

« Bonjour, que signifie « l’autorisation nécessaire » ? »

Chaque transfert fondé sur des clauses contractuelles spécifiques ou des dispositions à intégrer dans des arrangements administratifs entre les autorités ou organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées, est soumis à une autorisation de l’autorité de contrôle. 

Dans ces deux hypothèses, ce n’est pas le mécanisme de transfert qui est évalué au préalable, mais chacun des transferts qui est soumis à une autorisation spécifique. 

« Y aura-t-il prochainement un webinar sur le fingerprint tracking ? »

Nous prenons note de l’intérêt que vous portez à ce sujet. Pour l’instant cette thématique très spécifique ne fait pas partie de nos prochains webinars. Nous vous ferons parvenir une invitation dans le cas où nous abordons ce sujet. 

« Bonjour, je dois quitter le webinaire, sera-t-il possible d’avoir le replay ? »

? Nos replay webinar sont disponibles sur le site www.mission-rgpd.com dans la rubrique « Ressources » puis « Nos webinars ». 

 

`
Votre diagnostic RGPD en 5 min 🚀

Êtes-vous sûr de votre conformité ? 

Pour savoir où vous en êtes, faites votre diagnostic gratuit en ligne, en répondant au questionnaire, pour obtenir votre niveau de maturité RGPD et les recommandations de nos experts.