Transfert de données personnelles hors UE / Chine : mode d’emploi

A l’instar du RGPD européen, la Chine vient d’adopter une loi, afin de durcir le cadre législatif de l’utilisation des données personnelles sur son territoire. Elle prend effet à compter du 1^er novembre 2021.

Cette loi, intitulée Personal Information Protection Law (PIPL), établit le cadre dans lequel les entreprises privées présentes sur le territoire chinois pourront effectuer des traitements de données personnelles. Dès lors, certains traitements pourront nécessiter le recueil de consentement des personnes concernées pour la collecte de données médicales, financières ou de localisation. Tout comme le RGPD, la PIPL prévoit également la nomination d’un responsable rendant comptes aux autorités compétentes en matière de protection des données. Il est néanmoins à noter que l’administration chinoise ne sera pas dans le périmètre de cette loi et que l’Etat chinois gardera un contrôle sur l’exploitation des données personnelles par les entreprises privées. Les entreprises étrangères, en particulier européennes, devront ainsi porter une attention particulière à cette réglementation pour transférer et héberger leurs données en Chine puisque la PIPL n’assure pas un niveau de protection équivalent au RGPD.

Au-delà de cette nouvelle réglementation chinoise, que doivent faire les entreprises européennes qui souhaitent transférer leurs données à l’étranger, en particulier en Chine ? Quelle articulation avec le RGPD ?

Transferts de données : de quoi parle-t-on ?

Selon la CNIL, il s’agit de « toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées tiers à l’Union européenne ».

A noter que le transfert de données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) est possible, à condition d’assurer un niveau de protection des données suffisant et approprié. Ces transferts doivent être encadrés en utilisant différents outils juridiques.

Panorama des pays où l'on peut héberger des données de manière conforme au RGPD

A l’heure actuelle, le transfert de données personnelles est possible vers des pays tiers (hors de l’Union européenne (UE) et hors de l’Espace Economique Européen (EEE)) possédant des niveaux de protection adéquats des données personnelles transférées, selon l’European Data Protection Board (EDPB).

Par zone géographique, nous pouvons relever :

• Pour l’Amérique du Nord : seul le Canada, à travers la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), possède une réglementation jugée équivalent au RGPD permettant le transfert de données
• Concernant l’Amérique du Sud : L’Argentine (Ley de Acceso a la Información Pública, Protección de Datos Personales y el Registro Nacional "No Llame") et l’Uruguay (Ley N° 18.331 de Protección de Datos Personales y Acción de Habeas Data - LPDP) possèdent des législations en adéquation avec le RGPD sans restriction.
• Pour l’Afrique : Aucun pays ne possède une réglementation en adéquation avec le RGPD
• Enfin pour la zone Asie / Océanie : Israël (Privacy Protection Law),la Nouvelle Zélande (Privacy Act 2020) et le Japon (Protection of Personal Information Act) possèdent des législations en adéquation avec le RGPD.

En savoir plus sur la gestion des données personnelles au Royaume-Uni depuis le Brexit.

A défaut, si une entreprise souhaite transférer des données dans un autre Etat, elle doit mettre en place des mécanismes qui assureront l’équivalence de la protection des données personnelles.

Transférer des données dans les pays dont la protection n’est pas considérée comme « équivalente »

Plusieurs options peuvent être envisagées par les entreprises :

• Règles d’entreprises contraignantes

Depuis août 2020 et l’invalidation, par la Cour de Justice de l’Union Européenne, de l’adéquation du Privacy Shield (USA) au RGPD, un nouveau processus d’équivalence a été mis en place : les Règles d’entreprise contraignantes (ou Binding Corporate Rules (BCR) en anglais) afin de permettre aux entreprises qui ne sont plus couvertes par le Privacy Shield de traiter des données en provenance de l’UE et d’encadrer ces transferts de données personnelles.

Les BCR correspondent à des règles internes applicables à l’ensemble des entités d’un groupe qui contiennent des principes clés permettant d’encadrer les transferts.

La mise en place de ces accords peut permettre de justifier d’un niveau de protection des données suffisant pour le transfert de données personnelles, en dehors des zones possédant une réglementation en adéquation avec le RGPD.

Ces BCR doivent suivre une procédure d’approbation de la part des autorités compétentes en matière de protection des données personnelles : autorités nationales et avis du comité européen de la protection des données.

Toutefois, les BCR ne sont pas les seuls mécanismes à mettre en place afin de s’assurer de la sécurité du stockage des données personnelles par un hébergeur.

• Clauses contractuelles types

Une autre possibilité est de mettre en place des clauses contractuelles types (CCT) fournies par la Commission européenne. La Cour de justice de l’Union européenne (CJUE) confirme en effet, dans son arrêt du 16 juillet 2020 la validité des clauses contractuelles types (CCT) afin de transférer des données vers un pays tiers.

Le mécanisme des CCT permet d’encadrer les transferts de données personnelles effectués par des responsables de traitement vers des destinataires situés hors UE sans autorisation préalable de la CNIL (à l’exception des clauses contractuelles types qui ont fait l’objet de modifications par les parties).

Néanmoins, il est important de souligner qu’il incombe aux parties d’évaluer si les réglementations locales permettent de garantir les niveaux de protections définis dans les CCT.

Enjeux de la sous-traitance des données personnelles

Sous-traiter ne permet pas de s’exonérer de la responsabilité des traitements de données personnelles : l’entreprise demeure co-responsable du traitement, la responsabilité est conjointe (i.e. si le sous-traitant de l’entreprise ne respecte pas ses obligations, celle-ci sera pleinement responsable de l’inexécution des obligations du sous-traitant). C’est pourquoi, le RGPD impose l’obligation de mettre en place un cadre de contrôle des sous-traitants.

Les bonnes pratiques en la matière dispensées par la CNIL sont :

• d’exiger la communication par le prestataire de sa politique de sécurité des systèmes d’information - Sécurité de l’information et RGPD, deux piliers inséparables.
• d’assurer et de documenter l’effectivité des garanties offertes par le sous-traitant en matière de protection des données. Par exemple, les parties peuvent mettre en œuvre les moyens suivants (en les encadrant contractuellement si nécessaire) : audits de sécurité, visite des installations, certifications de l’organisme, certification des compétences du DPO.
• Il est également recommandé au responsable de traitement et au sous-traitant d’imposer à leurs employés une obligation contractuelle de confidentialité et de s’assurer que ceux-ci sont sensibilisés aux grands principes de la protection des données.
• Il est nécessaire, enfin, de limiter les accès aux seules personnes habilitées en raison de leurs fonctions, et en distinguant les différentes opérations qui peuvent être effectuées sur les données (consultation, modification, suppression, export, etc.).

En conclusion, il est essentiel de rester vigilant quant au transfert des données de l’UE en Chine comme dans tous les pays hors UE. En effet, bien que des mécanismes existent (BCR et Clauses contractuelles types) ceux-ci présentent d’importantes limites puisque qu’ils entrent dans un contexte légal extrêmement hétérogène selon les pays. De fait, il s’avère périlleux d’assurer un niveau de protection équivalent au RGPD et donc d’encadrer, en toute sécurité, les transferts de données à caractère personnel vers ces pays tiers.

Dès lors, pour tout transfert de données à caractère personnel vers ces pays, il conviendra d’étudier avec attention les mécanismes mis en place afin de garantir et justifier la sécurité des données et, le cas échéant, de mettre en place des mesures adéquates afin de se conformer aux dispositions du RGPD.