Transferts de données hors UE : cadre légal et solutions pratiques

Le transfert de données personnelles hors de l'Union Européenne est l'un des sujets les plus complexes du RGPD. Encadre par les articles 44 à 49 du règlement, il a fait l'objet de bouleversements majeurs avec les arrets Schrems I (2015) et Schrems II (2020) de la CJUE, puis l'adoption du EU-US Data Privacy Framework en 2023.

Qu'est-ce qu'un transfert de données hors UE ?

Un transfert de données hors UE se produit chaque fois que des données personnelles sont envoyees, rendues accessibles ou stockées dans un pays situé en dehors de l'Espace Économique Européen (EEE). Cela inclut les cas ou vous utilisez un service cloud dont les serveurs sont situés hors UE, ou lorsqu'un sous-traitant étranger accede à vos données à distance.

Les mécanismes de transfert autorises

1. Décisions d'adéquation (Article 45) : La Commission européenne peut reconnaître qu'un pays tiers offre un niveau de protection adéquat. Les pays bénéficiant d'une décision d'adéquation incluent le Royaume-Uni, le Japon, la Corée du Sud, la Suisse, le Canada (secteur commercial), Israel, la Nouvelle-Zélande et, depuis 2023, les Etats-Unis via le Data Privacy Framework.

2. Clauses contractuelles types - CCT (Article 46) : En l'absence de décision d'adéquation, les CCT adoptees par la Commission européenne sont le mécanisme le plus utilise. Les nouvelles CCT de juin 2021 sont modulaires (4 scenarios) et exigent une évaluation d'impact du transfert (TIA - Transfer Impact Assessment).

3. Regles d'entreprise contraignantes - BCR (Article 47) : Les BCR sont des politiques internes de protection des données approuvees par les autorités de contrôle. Elles permettent les transferts au sein d'un groupe multinational. La procédure d'approbation est longue et coûteuse, réservée aux grands groupes.

4. Derogations (Article 49) : En l'absence d'autre mécanisme, des derogations ponctuelles sont possibles : consentement explicite de la personne (après information sur les risques), nécessité pour l'exécution d'un contrat, motifs importants d'intérêt public, protection des intérêts vitaux. Ces derogations sont d'interpretation stricte et ne peuvent pas couvrir des transferts répétitifs et massifs.

Le EU-US Data Privacy Framework (DPF)

Adopté le 10 juillet 2023 par la Commission européenne, le DPF est la 3ème tentative de cadre juridique pour les transferts UE-USA (après le Safe Harbor invalide en 2015 et le Privacy Shield invalide en 2020). Il repose sur un décret présidentiel américain limitant l'accès des services de renseignement aux données des européens et créant un mécanisme de recours.

Transferts vers les USA : que faire concrètement ?

• Vérifiez si votre prestataire américain est certifié DPF (liste officielle : dataprivacyframework.gov)
• Si oui : le transfert est autorisé tant que le DPF est valide, mais prévoyez un plan B (CCT)
• Si non : utilisez les CCT (nouvelles version 2021) avec une évaluation d'impact du transfert (TIA)
• Documentez votre analyse dans votre registre des traitements
• Informez les personnes concernées de l'existence du transfert
• Privilégiez quand c'est possible des alternatives européennes (OVH, Scaleway, Infomaniak...)

Les mesures supplémentaires recommandées

• Chiffrement de bout en bout avec clés détenues en Europe
• Pseudonymisation des données avant transfert
• Minimisation des données transferees au strict nécessaire
• Audit régulier des sous-traitants sur la localisation effective des données
• Clauses contractuelles renforcées (notification en cas de demande d'accès gouvernemental)
• Évaluation régulière de la legislation du pays de destination