Informations préliminaires d’ID-Logism
Qui a écrit le document qui est résumé ici ?
Le document a été écrit par le Contrôleur Européen de la Protection des Données (CEPD).
C’est l’autorité indépendante chargée de la protection des données au niveau de l’Union européenne (UE).
Il est ici totalement dans son rôle de « conseiller les institutions et organes de l’UE dans tous les domaines concernant le traitement de données à caractère personnel, sur demande ou de sa propre initiative »1. Il a aussi un rôle de coopération avec les autorités nationales de contrôle et les autres organes de contrôle en vue d’améliorer la cohérence en matière de protection des informations personnelles.
Il ne faut pas confondre avec le Comité Européen de la Protection des Données (EDPB) qui se compose de représentants des autorités nationales chargées de la protection des données (comme la CNIL) et du Contrôleur européen de la protection des données (CEPD).
Son rôle à lui est de garantir l’application cohérente du RGPD dans l’Union Européenne. Pour cela, il produit notamment des Lignes Directrices qui viennent clarifier la manière d’appliquer le RGPD. Il conseille aussi la Commission européenne sur les questions liées à la protection des données personnelles.
Ces deux organes vont donc travailler ensemble sur les sujets comme celui de l’invalidation du Privacy Shield.
Dans quel contexte intervient ce document ?
Ce document était attendu car il donne le ton. En effet, il fait suite à l’invalidation par la CJUE du régime de transferts de données entre l’Union européenne et les États-Unis dit « Privacy Shield », le 16 juillet dernier 2. Cette décision de la CJUE a mis la majorité des organismes dans une situation compliquée, les institutions européennes et superviseurs de la protection des données nationaux compris !
Le Contrôleur s’occupe donc de « ses petits » (les institutions, agences et organes européens) en premier. Mais, il est prudent de se dire que cette démarche devrait être assez proche de celle qui sera présentée par le Comité Européen de la protection des données. D’où l’intérêt de bien comprendre ce qui est attendu…
Où trouver le document original ?
1 Rôle du CEPD : https://edps.europa.eu/about-edps_fr
2 https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-sesconsequences
Quel est l’objectif du document du contrôleur européen ?
Objectif principal
Il s’agit de présenter les actions à mener à la fois à court et moyen termes aux organes européens de sorte que les transferts hors UE en cours et à venir respectent la réglementation européenne sur la protection des données.
Intérêt de la stratégie présentée
- Expliquer comment mettre en œuvre le principe de responsabilisation mis en avant par le RGPD (Accountability).
- Rappeler aux institutions européennes l’importance de coopérer avec le contrôleur pour atteindre cet objectif afin d’appliquer le jugement de la CJUE.
Note de l’auteur : Il est vrai que pour la crédibilité et l’image, si l’on veut que les entreprises partout en Europe appliquent la décision, il est préférable que les institutions européennes montrent l’exemple la respectant également.
Le critère de priorité
Le contrôleur européen rappelle qu’il y a eu, en quelques années, une forte augmentation du nombre de transferts vers les USA, que ce soit via le recours à des sous-traitants et ou via la sous-traitance en cascade.
ll rappelle aussi avoir exprimé son inquiétude dans plusieurs documents par rapport aux problématiques d’accès illégaux aux données et précise que ses inquiétudes ont été exprimées lors de la décision d’invalidation du Privacy Shield par la CJUE.
Note de l’auteur : On se souvient en effet de la très belle analyse de l’EDPB de juillet 2019 sur tout ce qui oppose le Cloud Act et le RGPD 3 (n’hésitez pas nous en demander la synthèse qui sera disponible sur le site www.id-logism.fr d’ici fin novembre).
Le souci est que les transferts avec les entreprises américaines s’appuyaient en premier lieu sur le Privacy Shield et en second lieu sur les Clauses Contractuelles Types.
Or le premier est « tombé » et les secondes ne sont plus suffisantes.
La stratégie présentée ici met en exergue la priorité de traiter les transferts de données par les institutions européennes ou pour leur compte dans le contexte :
– des contrats Responsable de traitement => sous-traitant
et/ou
– des contrats sous-traitant => sous-traitant ultérieur, en particulier vers les USA.
Le plan d’action pour la conformité des institutions européennes
UNE APPROCHE A 2 VOLETS A REALISER EN PARALLELE
1- Fournir des lignes directrices/conseils et rechercher la conformité à moyen terme au cas par cas et/ou les mesures de mise en exécution (« enforcement actions ») pour TOUS les transferts vers les USA et les AUTRES PAYS TIERS
2- Identifier les actions de mise en conformité urgentes et/ou des mesures de mise à exécution via une approche par les risques pour les transferts vers les USA qui présentent un RISQUE ELEVE POUR LES PERSONNES concernées
A court terme : cartographie/inventaire et priorités de conformité immédiate
CARTOGRAPHIE DES TRANSFERTS
Le 5 octobre dernier, le contrôleur a exigé des institutions européennes qu’elles réalisent un inventaire de tous les traitements et contrats impliquant un transfert vers des pays tiers.
CE QUE LA CARTOGRAPHIE DEVAIT PRESENTER
- activités de traitement
- pays destinataire (importateur)
- destinataires des données
- outils de transferts utilisés
- catégories de données transférées
- catégories de personnes concernées
- informations sur les transferts à venir
Le contrôleur a développé une APPROCHE PAR LES RISQUES, tout en tenant compte du critère de priorité (transferts en direction des entités privées, en particulier vers les USA), en s’appuyant sur des benchmarks de conformité à court terme et un renforcement du suivi de l’utilisation (erronée) des dérogations4
L’approche par les risques a pour but d’identifier les mesures d’application/d’exécution prioritaires lorsque le niveau de protection des données n’est pas assuré, en se concentrant sur les transferts vers les sous-traitants et sous-traitants ultérieurs qui sont des entités privées, en particulier les entités US.
4 https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-derogations-pour-des-situations-particulieres
REPORTING
Les institutions européennes ont jusqu’au 15 novembre 2020 pour renvoyer les éléments au contrôleur par rapport aux risques et aux écarts identifiés pendant la cartographie.
Elles doivent fournir des informations précises par rapport aux traitements qui représentent un risque élevé pour les droits et libertés des personnes pour les 3 catégories de traitements présentées ci-dessous.
LES TYPES DE TRANSFERTS POUR LESQUELS LE CONTROLEURS VEUT OBTENIR DES INFORMATIONS PRECISES
- Les transferts illégaux qui ne sont basés sur aucun outil de transfert *
- Les transferts basés sur des dérogations
- Les transferts « à hauts risques » vers des entités US soumises à la section 702 du FISA ou à l’Executive Order
12333 ET qui impliquent des traitements de données à large échelle, des traitements complexes, des traitements de données sensibles ou hautement personnelles.
* en référence aux articles 45 et 46 du RGPD.
Sur la base du premier exercice de reporting, le contrôleur va prendre des mesures d’exécution (« enforcement actions ») pour rendre ces transferts conformes ou les suspendre lorsque cela sera pertinent.
PRUDENCE POUR LES FUTURS SERVICES ET LES NOUVELLES ACTIVITES DE TRAITEMENT
Pour les futurs nouveaux traitements, le contrôleur demande aux institutions d’avoir une approche très précautionneuse.
Il les encourage à s’assurer qu’aucun nouveau traitement ou contrat n’implique de transfert de données vers les USA.
A moyen terme : conseils/lignes directrices et analyse d’impact des transferts (« Transfert Impact Assessment »)
ANALYSE D’IMPACT DES TRANSFERTS (TIA)
Il est demandé aux institutions européennes de mener une analyse d’impact du transfert au cas par cas pour voir si un niveau de protection des données équivalent à celui de l’Europe est assuré par le pays tiers de destination.
Lorsque le Comité Européen de la Protection des Données aura publié ses conseils sur les mesures complémentaires adéquates, le contrôleur fournira une liste de questions préliminaires pour les responsables de traitements des institutions européennes pour lancer les TIAS avec les importateurs de données. Cela permettra de déterminer si le transfert identifié pourra être poursuivi.
Il sera nécessaire, pour poursuivre certains transferts, de mettre en place des mesures complémentaires ou des protections additionnelles pour atteindre un bon niveau de protection.
REPORTING
En fonction du résultat des TIA, les institutions européennes devront reporter au Contrôleur
pendant le printemps 2021 par rapport à 3 catégories de traitements
- Les transferts vers les pays tiers ne fournissant pas un niveau de protection sensiblement équivalent
- Les transferts suspendus ou terminés (ils devront être notifiés dans certains cas)
- Les transferts qui s’appuient sur des dérogations
Après analyse des cartographies et des TIA, le contrôleur communiquera le moment venu des priorités long terme pour 2021.
EVALUATIONS CONJOINTES
Le contrôleur va commencer à explorer la voie des évaluations conjointes du niveau de protection des données offert par les pays tiers et voir comment ces évaluations pourraient être réalisées en coordination avec les autorités de protection, les responsables de traitement et autres parties prenantes afin d’offrir des conseils/lignes directrices.
Note de l’auteur : la demande d’une présentation homogène des niveaux de protection offerts par les différents pays hors UE a été faite en France par de nombreuses associations professionnelles (notamment de l’Asic, du Syntec Numérique et de Tech in)5. Ce serait déjà une avancée que de disposer de cette liste.
Coopération avec le Comité Européen de la Protection des Données
Avec le contrôleur, le Comité travaille avec les autres autorités de contrôle européennes afin de construire des lignes directrices et recommandations pour accompagner les responsables de traitement et sous-traitants dans leurs obligations d’identification et de mise en œuvre des mesures complémentaires pour assurer un bon niveau de protection des données transférés hors UE.
Cette stratégie de conformité sortira peu de temps après les conseils/ lignes directrices du Comité et elle sera affinée, le cas échéant, afin de fournir une interprétation et une mise en œuvre de la décision de la CJUE cohérente au sein de l’UE.