Pays compatibles au RGPD & transfert de données

29/3/2023

L’internationalisation fait partie du quotidien des entreprises : achat d’un logiciel, commande de fournitures, sous-traitance, etc. Il est désormais devenu presque impossible de ne pas avoir recours aux services d’une entreprise étrangère.

Pour autant, les prescriptions du RGPD ne disparaissent pas en franchissant les frontières de l’Union européenne (UE) et plus largement de l’Espace Economique Européen (c’est-à-dire l’Union européenne élargie à l’Islande, la Norvège et Liechtenstein).

Si le RGPD vient à s’appliquer en dehors des frontières, il s’arrête à la frontière de certains pays non-européen (ou appelés “pays tiers”) qui ne prévoient pas une législation aussi protectrice. Et l’utilisation de données personnelles de personnes européenne par ces pays pose de sérieux problèmes juridiques. C’est tout le sujet des transferts de données hors UE.

Quels sont les pays compatibles avec le RGPD ? Quels sont ceux qui ne le sont pas et dans quel cas redoubler de vigilance ?

Avant toute chose, il faut distinguer deux questions bien distinctes : l’application du RGPD et les transferts de données.

L’application du RGPD à des organismes hors UE

Votre entreprise est immatriculée en Europe et son activité s’exerce hors UE : le RGPD s’applique

L’article 3 RGPD prévoit que le RGPD s’applique au traitement des données personnelles effectué par des organismes européens “que le traitement ait lieu ou non dans l’Union”.

Cela signifie que dès lors l’entité ou l’entreprise est immatriculée dans un des pays membre de l’UE, toutes les opérations effectuées sur des données personnelles doivent respecter le RGPD, même votre activité s’exerce en dehors des frontières de l’Union européenne concernant des données de personne non européenne.

Par exemple, si votre entreprise est immatriculée en France et que vous ne vendez votre marchandise qu’en Inde, vous êtes quand même soumis aux prescriptions du règlement européen sur la protection des données personnelle.

Votre entreprise est immatriculée hors UE et son activité concerne des personnes qui se trouvent en Europe : le RGPD s’applique

À l’inverse, si l’entité ou l’entreprise est immatriculée en dehors de tout pays membre de l’Union européenne mais qu’elle est amenée à traiter des données personnelles de personnes qui se trouvent sur le territoire de l’UE, le RGPD s’applique lorsqu’il s’agit d’activité d’offre de bien ou de service (qu’un paiement soit exigé ou non) et au suivi du comportement de ces personnes.

Par exemple, si à l’inverse, votre entreprise est immatriculée au Vietnam et que vous vendez des biens à une personne en Espagne, le RGPD s’applique aux données personnelles de cette personne.

L’hypothèse d’un suivi de comportement des personnes concerne par exemple les réseaux sociaux qui aujourd’hui mettent en œuvre des technologies qui ciblent le comportement des utilisateurs pour leur suggérer des contenus adaptés.

Cette question de l’application du RGPD est distincte des transferts hors UE. Cette question ne pose pas de difficulté : si vous êtes établi en Europe ou utilisez des données des européens, vous devez vous conformer au RGPD.

Il convient de s’interroger sur la seconde question : une fois que vous savez être obligé de respecter les exigences du RGPD, vous devez être vigilant dans la manipulation des données, notamment lorsque vous les transférez à une entreprise immatriculée en dehors de l’UE.

Transfert des données hors UE : de quoi parle-t-on ?

Cette question se pose beaucoup plus fréquemment qu’on ne peut l’imaginer. Dès lors que vous utilisez les services d’une entreprise américaine, canadienne, chinoise ou autre, vous transférez un certain nombre d’informations à cette entreprise. Et ce transfert doit s’opérer dans certaines conditions voir, est prohibé.

Qualification du transfert des données hors UE

Il n’y a pas de définition stricto sensu du transfert mais, le Comité européen de protection des données donne quelques indices.

Vous transférez des données hors UE lorsque ces trois éléments sont réunis :

  • Vous (l’exportateur) êtes soumis au RGPD (que vous ayez le statut de responsable de traitement ou de sous-traitant).
  • Vous mettez à disposition ou transmettez des données personnelles à l’importateur de données.
  • L’importateur est immatriculé dans un pays tiers, c’est à dire un pays non membre de l’Union européenne.

Si votre activité correspond à ces trois critères, vous êtes dans une situation où vous transférez des données en dehors de l’UE. Dans ce cas, il faut se poser une troisième question : à quel pays.

RGPD et transfert des données hors UE : les règles applicables

Par principe, il est interdit de transférer des données en dehors de l’UE. Fort heureusement des exceptions sont prévues pour les pays disposant d’une législation aussi protectrice des données. Reste à avoir quelles sont les règles pour les pays ne disposant pas d’une adéquation de législation.

La décision d’adéquation : signification et pays concernés

Une décision d’adéquation est une décision prise par la Commission Européenne qui prévoit que l’Etat tiers offre un niveau de protection approprié après examen global de la législation en vigueur dans ledit Etat.

À ce jour, on compte 14 pays bénéficiant d’une décision d’adéquation ou adéquation partielle :

  • Andorre ;
  • Argentine ;
  • Canada uniquement pour autrement dit les traitements “commerciaux”.
  • les îles Féroé ;
  • Guernesey ;
  • Israël ;
  • l’île de Man ;
  • Japon
  • Jersey ;
  • Nouvelle-Zélande ;
  • Suisse ;
  • Uruguay ;
  • Corée du Sud ;
  • Royaume-Uni.

Si cette décision existe, plus de problème ! Dans ce cas de figure, les transferts vers un pays tiers « adéquat » seront assimilés à un transfert de données au sein de l’UE.

En dehors de ces pays, en principe tout transfert de données personnelles est prohibé.

Absence de décision d’adéquation : les garanties appropriées prennent le relais

Les pays qui ne bénéficient pas d’une décision d’adéquation sont nombreux : Etats-Unis, Australie, Amérique du sud en dehors de l’Argentine, l’ensemble des pays d’Afrique et des pays d’Asie en dehors du japon.

Il s’agit des pays en violet :

Pour les pays là, tout transfert de données personnelles est interdit en vertu de la réglementation européenne. Ce qui est d’autant plus problématique concernant les Etats-Unis car les entreprises et les particuliers utilisent de nombreux outils US au quotidien : Google, Microsoft, Salesforce, Hubspot, Dropbox, AWS, Azure, Slack, Zoom, Bubble etc.

Pour la petite histoire, il existait avant 2020 une sorte de décision d’adéquation concernant les Etats-Unis mais celle-ci a été annulée par la Cour de justice de l’Union européenne. En effet, la législation américaine autorise les services de renseignements à avoir accès à toutes les données conservées par une entreprise, même lorsque les données sont stockées sur des serveurs localisés en Europe.

Depuis 2020, un accord est toujours en cours de négociation entre l’Europe et les Etats-Unis. Dans l’intervalle, les juridictions françaises se sont prononcées sur l’utilisation de certains outils US.

En tout état de cause, le transfert de données personnelles vers des pays tiers non adéquates, plusieurs mécanismes peuvent être de nature à compenser ce déséquilibre :

1 - Les clauses contractuelles types (CCT) ou Standard Contractual Clauses(SCC)

Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.

Toutefois, il incombe à l'exportateur et à l'importateur de données d'évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT. À défaut, des mesures additionnelles devront être mises en place.

2 - Règles internes d’entreprises (REC) ou Binding Corporate Rules (BCR)

Les règles d’entreprise contraignantes (communément appelées BCR) permettent à des groupes d’entreprises d’encadrer juridiquement leurs transferts de données hors de l’Union européenne (UE) tout en leur offrant la possibilité d’engager une démarche de mise en conformité globale à l’échelle de tout le groupe.

3 - Code de conduite

Il s’agit d’un outil de conformité sectoriel juridiquement contraignant : il s’impose à ceux qui y adhèrent. L’élaboration d’un code de conduite repose sur une démarche sectorielle qui doit être initiée par une association, une fédération, ou un organisme représentant des catégories de responsables de traitement ou de sous-traitants.

4 - Mécanisme de certification

La certification permet d’établir qu’un produit, un service, un processus ou un système de données ont été évalués conformes aux critères d’un référentiel préalablement approuvé par la CNIL ou par le Comité européen de la protection des données.

La certification est un outil juridiquement contraignant pour ceux qui choisissent de s’engager dans cette démarche.

5 - Des mesures de protection supplémentaires nécessaires

Souvent, l’importateur, donc l’entreprise qui est destinataire du transfert de données hors UE, a le statut de sous-traitant au sein de l’opération. Cela signifie qu’un contrat obligatoirement lie l’exportateur et l’importateur.

Ce contrat est souvent appelé data processing agreement (DPA), c’est le contrat avec le sous-traitant (article 28 RGPD). C’est ce contrat qui doit contenir des mesures de protection renforcée des données personnelles : par la reprise des clauses contractuelles types (CCT) ainsi qu’un certain nombre de garantis supplémentaires.

Par exemple, le contrat peut prévoir les mesures suivantes :

  • le format des données à transférer : les données sont anonymisées ou pseudonymisée, chiffrées ou cryptées avant l’exportation.
  • la durée de conservation des données : les données sont conservées peu de temps par l’exportateur (par exemple 3 mois).
  • les données ne font pas l’objet d’un transfert ultérieur ou vers un pays de l’UE ou bénéficiant d’une décision d’adéquation.
  • l’exportateur s’engage à prévoir des mesures techniques et organisationnelles renforcées pour protéger les données contre toute violation de données.

Cette liste n’est pas exhaustive mais rassemble les principales mesures supplémentaires.

Cas rares : des exceptions prévues par le RGPD

Que se passe-t-il si un Etat tiers est dépourvu de décision d’adéquation ou de garanties appropriées ? A priori, la situation est mal engagée. Pourtant certaines dérogations existent mais leur utilisation n’est possible que dans des situations très rares prévues à l’article 49 du RGPD.

Le RGPD va encore plus loin. Lorsqu'aucune de ces dérogations n’est applicable, il est possible de procéder au transfert si ce dernier :

  • ne revêt pas de caractère répétitif,
  • ne touche qu'un nombre limité de personnes concernées,
  • est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée,
  • et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.

Transfert des données hors-UE : nos meilleurs conseils pour faire le point

La vraie solution ? Vous concentrer sur des partenaires européens.

Mais, la vie économique n’est pas si simple que cela alors, voici les étapes à suivre pour protéger vos transferts vers des pays tiers :

  • Auditer vous sous-traitants,
  • Analyser les risques de chaque transfert,
  • Ajouter des garantis de protection supplémentaires.

Pour en savoir plus, n'hésitez pas à consultez notre Livre Blanc Comment Transférer des données hors UE 🌎.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser