On attendait des recommandations de l'EDPB, qui groupe les CNIL européennes en tant que autorités dépositaires du RGPD. Car la cour n'interdit pas les transferts vers les pays tiers qui n'atteignent pas un niveau de protection équivalent à l'Union Européenne mais à condition d'implémenter des mesures supplémentaires. Elles comblent tout déficit de protection. Seulement, la Cour ne précise pas ce qu'elle entend.

L'EDBP a donc décidé d'aider les entreprises avec des lignes directrices : elles  déterminent si le pays tiers offre cette protection et si non, le type de mesures supplémentaires à implémenter. L'EDPB propose 6 étapes qu'elle soumet à consultation.

Les 6 étapes

• La première étape, c'est de savoir où voyagent les données de l'entreprise. Il faut un inventaire et une cartographie des pays tiers où vont les données. C'est un travail non négligeable qui se complique si les sous-traitants dans ces pays exportent eux-mêmes vers d'autres sous-traitants dans d'autres pays. Et tant qu'à faire, vérifions aussi, dit l'EDPB, qu'on y envoie que la quantité de données qui est strictement nécessaire, pas plus, pour les tâches qui doivent y être effectuées. L'EDPB remarque au passage que l'accès depuis un pays tiers aux données de l'entreprise à des fins de support IT doit être aussi vu comme un transfert de données. Que les entreprises qui utilisent des prestataires en Inde se le disent ! Il en va de même si l'entreprise utilise un fournisseur de cloud qui a de l'infrastructure en dehors de l'Union Européenne. Ce n'est que si le fournisseur vous garantit par contrat que les données restent en Europe que tout va bien.

• La deuxième étape, c'est vérifier le cadre qui couvre l'entreprise. Le plus simple c'est que le pays tiers bénéficie d'une décision d'adéquation: la Commission Européenne a alors reconnu que ce pays jouit de la même protection des données que l'Europe. Il ne faut alors plus rien faire (c'est l'article 45 du RGPD). La décision d'adéquation ne doit même pas couvrir le pays entier : il peut s'agir d'un certain type d'activité dans ce pays ou d'une partie de ce pays. Ceci dit, vous n'êtes pas à l'abri d'une plainte d'un citoyen européen, ce qu'a fait Schrems, pour mettre en doute l'adéquation en question.
  Si ce n'est pas le cas, ce sont les outils de l'article 46 du RGPD qui s'appliquent : l'entreprise doit se mouiller pour elle-même garantir là-bas une protection équivalente à l'Europe. Ce sont des clauses contractuelles précises, des codes de conduite, des règles d'entreprises contraignantes, par exemple entre filiales d'un même groupe, des mécanismes de certification. Comme on le voit, il s'agit surtout d'obligations contractuelles qui ne seraient d'aucun effet dans un Etat tiers policier.

• La troisième étape, c'est là qu'intervient l'arrêt Schrems II, c'est de voir, justement, si ces outils utilisés pour envoyer des données vers un pays tiers restent "efficaces" au regard  de la législation « intrusive » dans ce pays: mettre des protections contractuelles supplémentaires si le pays a des lois qui lui permettent d'exiger l'accès aux données quand il le veut, cela ne sert à rien. C'est la législation relative à la surveillance dans le pays tiers que l'EDPB craint surtout. Il ne s'agit pas juste de  faire confiance au gouvernement en place à ce moment car il peut changer. Il faut éviter tout jugement subjectif.

• La quatrième étape s'enclenche s'il est clair que le pays tiers a une législation qui va rendre inefficace les précautions contractuelles en question. Ce sont les fameuses mesures supplémentaires de l'arrêt Schrems II qui peuvent être de nature technique, contractuelles ou organisationnelles (sauf que ces deux dernières seront peu efficaces face à un Etat très « policier »).  Ce sera par exemple du chiffrage sous votre contrôle exclusif.  Et s'il n'y a pas moyen de les implémenter parce que, par exemple, l'importateur de vos données ne le peut légalement, il faut arrêter tout transfert ou demander l'autorisation à l'autorité de protection des données qui vous donnera sans doute tort.

• La cinquième étape consiste à formaliser l'adoption des mesures supplémentaires de protection : si elles ne contredisent pas les clauses supplémentaires, pas besoin de demander l'autorisation à la CNIL mais il faut le mettre noir sur blanc, le documenter.

• La sixième étape consistera à réévaluer régulièrement ce qui a été mis en place pour continuer à exporter des données dans le pays  tiers et s'adapter éventuellement si la situation s'aggrave là-bas.

C'est de nouveau un chemin de croix qui attend les entreprises pour continuer à travailler avec des pays tiers. Cela devient lourd. Il faut espérer qu'une solution structurelle vienne de l'Europe, un nouveau cadre de façon à éviter ce pensum en 5 étapes.  Ceci dit, à court terme, que feront les autorités de protection des données par rapport à l'arrêt Schrems II : elles peuvent suspendre ou mettre fin au transfert dans ces pays soit de leur propre initiative soit sur plainte d'un citoyen, qu'on se le dise et qu'on ne traine pas.

____

Pour en savoir plus : Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, EDPB, on 10 November 2020

Lire aussi : Ne laissons plus les GAFA s'emparer des données européennes !