En l’absence de décision d’adéquation (c’est-à-dire lorsqu’un pays, un territoire, un ou plusieurs secteurs spécifiques au sein de ce pays tiers ou une organisation internationale en dehors de l’EEE n’est pas reconnu par la Commission européenne comme offrant un niveau de protection adéquat), des transferts vers un pays tiers peuvent avoir lieu si l’exportateur de données a mis en place des « garanties appropriées ».
L’article 46 du RGPD prévoit les garanties appropriées (ou « outils de transfert ») suivantes :
- les clauses contractuelles types,
- des règles d'entreprise contraignantes,
- les codes de conduite,
- les mécanismes de certification et
- des garanties spécifiques pour les transferts entre autorités ou organismes publics.
Ce n’est qu’en l’absence de telles garanties appropriées que les exportateurs de données pourraient faire usage des dérogations prévues à l’article 49 du RGPD.[1]
Conformément au principe de responsabilité[2], le responsable du traitement doit être en mesure de présenter, à la demande de la CNPD (par exemple, en cas de contrôle ou d’audit), l’une des garanties appropriées énumérées ci-dessus sur laquelle il s’appuie pour le transfert de données vers un pays situé en dehors de l’EEE ou vers une organisation internationale.
Dans ce contexte, il est important de mentionner que la Cour de justice de l’Union européenne (CJUE) a précisé dans son arrêt dit « Schrems II »[3] qu’il ne suffit pas de démontrer la mise en œuvre des garanties appropriées énumérées à l’article 46 du RGPD. Les exportateurs de données (responsables du traitement et sous-traitants) qui s’appuient sur des garanties appropriées pour effectuer des transferts de données à caractère personnel vers des pays tiers doivent évaluer si des mesures supplémentaires à celles requises par les garanties appropriées sont nécessaires pour assurer une protection effective des données dans le cas d’espèce.
L’exportateur de données doit donc vérifier, avant tout transfert, au cas par cas, si l’outil de transfert sélectionné ou la garantie appropriée est efficace pour garantir que le niveau de protection accordé par le RGPD n’est pas compromis par le transfert en question. En particulier, l’exportateur de données doit évaluer si la législation et/ou la pratique du pays tiers vers lequel les données sont transférées peuvent affecter dans la pratique l’efficacité de l’outil de transfert sélectionné dans son cas spécifique, c’est-à-dire si cela empêche l’importateur de données de se conformer aux obligations qui lui incombent en vertu de l’outil de transfert. Si cette analyse d’impact du transfert révèle que l’outil de transfert sélectionné ne garantit pas, dans la pratique, que la personne concernée bénéficie d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’Union européenne, l’exportateur de données doit vérifier, le cas échéant avec l’aide de l’importateur de données, s’il existe des mesures supplémentaires (de nature technique, organisationnelle ou contractuelle) qui pourraient permettre à l’outil de transfert d’être efficace pour assurer un niveau de protection essentiellement équivalent aux données transférées vers des pays tiers. Si de telles mesures supplémentaires existent, elles doivent être mises en œuvre ou, à défaut, le transfert doit être suspendu et/ou interrompu.
Le CEPD a adopté ses recommandations 01/2020 sur les mesures qui complètent les outils de transfert visant à garantir le respect du niveau de protection des données à caractère personnel de l’UE[4] afin d’aider les responsables du traitement et les sous-traitants agissant en tant qu’exportateurs de données à s’acquitter de leur devoir d’identifier et de mettre en œuvre des mesures supplémentaires appropriées. Ces recommandations contiennent une approche en six étapes de l’analyse d’impact des transferts, qui sont illustrées dans la feuille de route suivante pour l’évaluation de la conformité des transferts avec les dispositions de l’article chapitre V du RGPD.
[1] Voir section 3.5 ci-dessous.
[2] Article 5, paragraphe 2, du RGPD.
[3] Cour de Justice de l’Union européenne, 16 juillet 2020, Data Protection Commissioner v. Facebook Ireland Ltd and Maximilian Schrems, affaire C-311/18.
[4] Comité européen de la protection des données, recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, 18 juin 2021 (version 2.0).
