Jérôme Deroulez revient, pour Décideurs Juridiques, sur les enjeux que représente le sujet des transferts internationaux de données personnelles pour le DPO.

Depuis l’arrêt Schrems II[1], les délégués à la protection des données (DPO) ne se seront jamais autant penchés sur les questions relatives aux transferts internationaux de données personnelles et à leur encadrement. En effet, cet arrêt de la Cour de justice de l’Union européenne avait non seulement invalidé le Privacy Shield permettant de transférer des données personnelles de l’Union européenne vers les États-Unis mais aussi listé une série de garanties complémentaires à mettre en place dans le cadre de transferts internationaux, notamment lors du recours à des clauses contractuelles types.

Il doit aussi être signalé qu’à la suite de l’entrée en application du RGPD, la Commission européenne a proposé le 4 juin 2021 de nouvelles clauses contractuelles types, adaptées[2] et scindées en quatre modules correspondants aux hypothèses de transfert selon la qualité des acteurs, responsables de traitements ou sous-traitants. Ces clauses doivent ainsi être déployées progressivement pendant la période de transition prévue, processus qui implique de déterminer au cas par cas les relations entre acteurs concernés et de revoir le cas échéant les modalités de gouvernance. Par ailleurs, le Comité européen des données personnelles (CEPD) a, à son tour, publié le 18 juin 2021 de nouvelles recommandations[3] sur les transferts de données personnelles, en élaborant une liste des étapes à suivre avant de transférer des données en dehors de l’Union européenne (cartographie des transferts, identification et évaluation des outils de transferts, évaluation périodique des garanties mises en place…).

Si les critères mis en avant par la CJUE doivent constituer la "boussole stratégique" des DPO lors de leur association aux prises de décisions en matière de transferts, conformément à leurs missions d’information, de conseil ou de contrôle du respect du règlement, le cadre applicable aux transferts internationaux n’en reste pas moins particulièrement mouvant. En témoigne la décision de l’autorité de contrôle autrichienne du 13 janvier dernier[4] qui a estimé que la collecte de données personnelles via Google Analytics était contraire au droit européen. Décision qui a été suivie notamment par une première mise en demeure de la Cnil envers un gestionnaire de site web, cette dernière autorité soulignant que d’autres procédures avaient été engagées. Ces décisions témoignent des effets multiples de l’arrêt Shrems II et de ses nombreuses conséquences à venir. Autant de signaux qui doivent alerter les DPO sur l’importance de placer le sujet des transferts internationaux de données personnelles en tête de leurs priorités pour 2022.

À ce titre, il importe aussi de mettre en place des outils efficaces de suivi et de pilotage des transferts internationaux pour déterminer le cadre juridique qui leur est applicable et les garanties devant être mises en œuvre. Une piste de solution pourrait résider dans le recours à des questionnaires dédiés, inspirés des analyses d’impact et qui permettrait d’interroger et d’évaluer les destinataires des données ou les sous-traitants en charge de ces transferts. De tels outils existent déjà, notamment sous la forme de Transfer Impact Assessment Questionnaire (Tiaq) et qui reprennent en partie les recommandations du CEPD.

En résumé, le rôle du DPO est central, pour assurer le respect du RGPD en la matière (article 39) en identifiant les outils et les transferts concernés puis en évaluant les garanties proposées. Le sujet devrait continuer à connaître de nouvelles évolutions : en témoigne le programme de contrôles de la Cnil pour 2022 qui mentionne explicitement le recours au cloud et évoque une approche coordonnée européenne du fait de ces transferts massifs de données.

Des questions à ce sujet ? Contactez-nous : www.cabinetderoulez.com

[1] CJUE, 16 juillet 2020, Schrems II, C- 311/18

[3] Recommendations01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data .

[4] https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal

Pourquoi des paroles de DPO ?

Chaque mois, Jérôme Deroulez présente une tribune à travers laquelle il relate son expérience. À la lumière de ses missions, qu’il exerce en tant que DPO externalisé ou en soutien des DPO, il donne de l’écho aux délégués à la protection des données, à leurs pratiques ainsi qu’à leurs équipes ou à tous ceux qui travaillent au quotidien avec eux. Ce sont ces acteurs et leurs questionnements que vous retrouverez tous les mois dans ces prochaines Paroles de DPO, afin de contribuer à enrichir la place et le rôle joués par les DPO. L’objectif est de réfléchir et d’approfondir les pratiques existantes, de souligner les bonnes pratiques et d’identifier tout ce qui permet aujourd’hui de construire une gouvernance RGPD pérenne et efficace, en pleine association avec le DPO.

Classements

Trouver les acteurs & informations qui vous aideront

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail