Des lignes directrices très attendues sur les garanties de transfert de données ont été publiées par le Conseil européen de la protection des données, qui pourraient éventuellement exclure le recours à de nombreux fournisseurs de services dans le nuage.
Que contiennent ces nouvelles lignes directrices ?
Les lignes directrices du Conseil européen de la protection des données (CEPD), officiellement adoptées le 10 novembre, comprennent une approche en six étapes pour déterminer l’utilisation de mesures supplémentaires et les conditions dans lesquelles elles seraient efficaces. Ces mesures doivent compléter les protections déjà en place dans les cadres de transfert de données, telles que les clauses contractuelles types. (SCC)
Selon la Cour de justice européenne dans l’arrêt Schrems II (LINK TO SCHREMS II ARTICLE SEO #3), les clauses contractuelles types, les règles d’entreprise contraignantes et autres mécanismes similaires restent un moyen valable de transférer des données à l’étranger.
Cependant, les organisations devraient utiliser des mesures supplémentaires pour augmenter le niveau de protection requis par le droit européen, si la protection des données transférées en dehors de l’UE dans le cadre de ces mécanismes n’est pas adéquate.
Les orientations de l’EDPB sont particulièrement importantes car elles fournissent une liste non exhaustive de mesures possibles qui permettraient de sécuriser les transferts, alors qu’auparavant, bien que la notion de mesures supplémentaires existe, le tribunal ne précisait pas ce qu’elles étaient.
L’approche en six étapes :
Tout d’abord, le guide indique que les responsables du traitement doivent cartographier leurs transferts de données, puis vérifier les outils utilisés pour faciliter ces transferts. Ensuite, une évaluation doit être faite pour déterminer si la législation des pays vers lesquels les données sont transférées est susceptible de compromettre l’efficacité des mécanismes de transfert contenus dans les garanties du GDPR.
Si la loi d’un pays tiers affecte les garanties du GDPR, les organisations doivent envisager des mesures supplémentaires. Enfin, les étapes procédurales formelles associées aux mesures supplémentaires choisies doivent être prises ; cela peut impliquer de consulter les autorités de protection des données appropriées. En outre, elles doivent procéder à une réévaluation continue des transferts de données.
Quelles sont les mesures supplémentaires ?
L’EDPB a fourni une longue liste de mesures supplémentaires possibles et les a séparées en types techniques, contractuels et organisationnels. Elle a souligné que la plus efficace est probablement une combinaison des trois types de mesures.
Le conseil a poursuivi en déclarant que dans les cas où le gouvernement aurait accès aux données, il est probable que seules les mesures techniques seraient efficaces.
L’EDPB a déclaré que le cryptage est l’une des mesures techniques efficaces dont disposent les organisations, à condition qu’il soit à la pointe de la technologie et soumis à une série d’exigences techniques. Parmi les autres mesures techniques figurent la pseudonymisation, qui est également soumise à des conditions distinctes, et le « traitement fractionné ou multipartite », qui consiste à transférer des données à différentes organisations en empêchant l’identification des personnes concernées.
Le guide a décrit deux cas dans lesquels il a affirmé qu’il ne peut y avoir de mesure efficace pour assurer une protection adéquate des données. Le premier est le cas des transferts à des fournisseurs de services dans le nuage qui sont tenus par les autorités gouvernementales de donner accès aux données transférées. L’autre cas serait celui où l’accès à distance aux données est nécessaire à des fins commerciales.
L’EDPB a déclaré que lorsqu’aucune mesure de protection des données appropriée n’est disponible, les transferts ne devraient pas être effectués.
Sur Twitter, Max Schrems, le militant de la protection de la vie privée à l’origine de l’événement, a déclaré que 90 % des entreprises sont susceptibles d’être touchées dans les cas impliquant des fournisseurs de services dans le nuage, alors que les scénarios impliquant un accès à distance auraient un impact sur les centres de données gérés par les États-Unis et basés dans l’UE.
Les lignes directrices ont également identifié des mesures contractuelles qui pourraient être utilisées pour renforcer les transferts de données, y compris des éléments tels que les obligations contractuelles relatives à la mise en œuvre de mesures techniques, les obligations de transparence et les obligations relatives à l’habilitation des personnes concernées à exercer leurs droits.
Les mesures organisationnelles suggérées impliquent des politiques internes de contrôle des transferts de données, des mesures relatives à la transparence et à la responsabilité, des mesures impliquant la minimisation des données et la mise en œuvre de normes et de meilleures pratiques.