Mon compte Je m'abonne
logo Fiches pratiques

Dans quelles conditions peut-on traiter / héberger les données hors UE ?

Publié par Naïma Conton le | Mis à jour le
Dans quelles conditions peut-on traiter / héberger les données hors UE ?

Avec la globalisation des échanges et l'utilisation croissante des nouvelles technologies, le nombre de transferts de données hors de l'union européenne augmente. Or, ces transferts doivent être encadrés en utilisant différents outils juridiques.

Résumé

Avec la mondialisation et la digitalisation des flux, les opportunités de nouer des partenariats majeurs avec des entreprises localisées aux quatre coins du monde se font de plus en plus nombreuses et sont même devenues quasiment indispensables au déploiement de certaines activités. Parmi les GAFAM (Google, Apple, Facebook, Amazon et Microsoft), les NATU (Netflix, Airbnb, Tesla et Uber) ou les BATX (Baidu, Alibaba, Tencent et Xiaomi), aucun n'est hélas une entreprise européenne. Malgré tout, ces acteurs sont devenus incontournables en Europe.

Si le Règlement de Protection des Données Personnelles (ci-après « RGPD ») vise à protéger la donnée personnelle des individus résidant en Union européenne, il n'en reste pas moins qu'il doit être appliqué par tout organisme traitant de la donnée personnelle de résidents européens quelle que soit sa localisation. Ceci, dès lors que les activités de traitement de cet organisme (i) sont liées à l'offre de biens ou de services aux personnes résidant en Union européenne, qu'un paiement soit exigé ou non ; (ii) sont liées au suivi du comportement des résidents de l'Union européenne, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union européenne. Le chapitre V du RGPD définit, détaille et encadre la notion de transferts vers des pays tiers ou vers des organisations internationales.

S'agissant des transferts de données personnelles hors de l'Union européenne, la Commission Nationale de l'Informatique et des Libertés (ci-après « CNIL ») a indiqué : « Les responsables de traitement et les sous-traitants peuvent transférer des données hors de l'Union européenne (UE) et de l'Espace Economique Européen (EEE) à condition d'assurer un niveau de protection des données suffisant et approprié. Ils doivent encadrer ces transferts en utilisant les différents outils juridiques définis au chapitre V du RGPD. »


Comment savoir si la donnée personnelle est transférée hors de l'UE ou hors de l'EEE ?

Les organismes sont responsables de la sécurité et de la protection des données personnelles des personnes physiques. Afin d'assurer cette protection, ils doivent désormais connaître le périmètre géographique des transferts de données personnelles qu'ils opèrent, notamment via l'intermédiaire de leurs prestataires, lorsqu'ils font appel à des hébergeurs de données, des systèmes de « Cloud », des intermédiaires technologiques permettant de transmettre de la donnée d'un point A à un point B ou encore de la stocker, de l'archiver, de l'analyser, etc.

A. Lorsqu'il s'agit de partenaires/cocontractants dont la relation commerciale a été conclue en amont de la mise en application du RGPD, il convient de procéder à une mise à jour de la relation contractuelle et de signer ou cosigner un Avenant à la protection des données (ou DPA - Data Processing Agreement) permettant de détailler le type de données personnelles, les traitements, les conditions de traitements, les conditions de la relation commerciale, et ainsi d'encadrer la présence de transfert hors UE/ EEE le cas échéant. Pour cela, l'organisme doit poser à son cocontractant les questions suivantes :

  • Les transferts que nous réalisons ensemble se font-ils hors UE et/ou EEE ?

Si oui, quels transferts ?
- Dans quels pays ?
- Quel est le cadre légal envisagé et/ou envisageable ?

B. Lorsqu'il s'agit de partenariats initiés post mise en application du RGPD, les organismes ont généralement recours à de nouveaux contrats intégrant l'ensemble des clauses et articles relatifs à l'encadrement des traitements de données personnelles. Les questions auxquelles, les 2 parties devront répondre sont identiques au cas précédent :

  • Les transferts que nous allons opérer auront-ils lieu hors de l'UE et/ou de l'EEE ?

Si oui, quels transferts ?
- Dans quels pays ?
- Quel est le cadre légal envisagé et/ou envisageable ?

Quels sont les outils juridiques définis au Chapitre V du RGPD

Quels sont les mécanismes d'encadrement valides ?

  • La décision d'adéquation de la Commission européenne : Les pays ayant été reconnus comme bénéficiant d'un niveau de protection adéquate

- Afin d'identifier les pays répondant positivement à une décision d'adéquation, la CNIL met à disposition une carte du monde.
- Le Privacy Shield est le fruit d'une décision d'adéquation (art. 45 du RGPD)


Mais aussi :

  • Les Clauses Contractuelles Types (CCT) adoptées par une autorité de contrôle et approuvées par la Commission européenne ;
  • Le code de conduite approuvé (comportant l'engagement contraignant et exécutoire pris par les destinataires hors UE d'appliquer les garanties appropriées) ;
  • La certification approuvée (comportant l'engagement contraignant et exécutoire pris par les destinataires hors UE d'appliquer les garanties appropriées) ;
  • L'arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale...).


Certains mécanismes ne nécessitent pas l'autorisation préalable de la CNIL :

  • Les BCR approuvées (art. 47 du RGPD), Binding Corporate Rules autrement dit les Règles Internes d'Entreprises Contraignantes ;
  • La Certification approuvée (art. 42 et 46-2(f) du RGPD) ;
  • Le Code de conduite approuvé (art.40 et 46-2 (e) du RGPD) ;
  • Les décisions d'adéquation ;
  • Les Clauses Contractuelles types adoptées par la Commission européenne (art 46-2 (c) du RGPD) ;
  • Les Clauses Contractuelles types adoptées par les autorités (art 46-2 (d) du RGPD) ;
  • Les instruments juridiquement contraignants et exécutoires entre autorités et organismes publics (art 46.2 (a) du RGPD) ;
  • Les dérogations (art. 49 du RGPD).

Certains mécanismes nécessitent une autorisation préalable de la CNIL :

  • Les clauses contractuelles adhoc (art 46.3.a du RGPD) ;
  • Les dispositions intégrées dans les arrangements administratifs entre autorités/organismes publics (art 46.3.b du RGPD).

Des mécanismes en « work in progress »

Les mécanismes mis en place et validés avant l'entrée en application du RGPD sont généralement toujours valables mais il est important de se référer aux recommandations de la CNIL et aux nouveaux référentiels du Contrôleur européen de la protection des données (« CEPD ») pour s'en assurer.

De nombreux états et pays possédaient déjà ou étaient en réflexion pour la mise en place de projet de lois sur la protection des données personnelles.

Avec la mise en application du RGPD, et la nécessité commerciale de justifier de niveaux de protections appropriés afin de maintenir leur niveau de compétitivité, certains états et pays prennent exemple sur l'Union européenne et tendent à mettre en place des règlements de protection des Données Personnelles plus ou moins ressemblants au RGPD. La Corée du Sud, le Japon, l'Inde, ou encore le Brésil, le Canada et la Californie se sont déjà dotés de leurs propres règlements de protection des données de leurs citoyens.

Le monde entier réagit et se pare de niveaux de protections des données personnelles afin de protéger leurs citoyens mais aussi afin d'assurer une continuité économique et ainsi une haute compétitivité commerciale (le Cloud Act). La carte du monde de la protection des données évoluera avec les changements politiques et économiques mondiaux. A suivre...

Auteur

Cette réponse vous a été proposée par Naïma Conton, DPO Sirdata, membre du Turing Club

Références