Un traitement de données à caractère personnel est défini comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou à des ensembles de données à caractère personnel » (article 4§2 du RGPD).
Le règlement a dressé une liste non limitative de traitements de données à caractère personnel : « la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction » (article 4§2 du RGPD).
Le CEPD et la CNIL encadrent le transfert de données aux sous-traitants hors UE (I) et précisent les mesures à mettre en place afin de limiter les risques de violations de données (II).
I – Les transferts de données aux sous-traitants hors UE
A) La notion de sous-traitance
L’article 4§8 du RGPD définit le sous-traitant comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ». Le règlement précise en son article 28§3 que : « le sous-traitant ne traite les données à caractère personnel que sur instruction documentée du responsable de traitement ». Le responsable de traitement est donc responsable de ses sous-traitants.
B) La distinction entre les pays adéquats et non adéquats
La CNIL a dressé une liste des « pays adéquats », qui offrent des garanties équivalentes au RGPD.
Seuls 7 pays en font partie : le Royaume-Uni, la Suisse, le Japon, la Corée du Sud, la Nouvelle-Zélande, l’Argentine et l’Uruguay.
La CNIL distingue les pays adéquats, les pays ayant un cadre législatif relatif à la protection des données personnelles et une autorité indépendante, les pays ayant une loi, et les autres pays.
II- Les transferts de données vers les pays non adéquats : les garanties à mettre en œuvre
A) La nécessité de prendre en compte la législation et l’existence d’une autorité indépendante
Des clauses contractuelles type peuvent être mises en place, afin d’encadrer le transfert de données à caractère personnel dans des pays non adéquats (considérants 108 et 109 ; article 46 du RGPD).
Le commentaire sous l’article 36 du RGPD « Transferts moyennant des garanties appropriées » précise que « la Commission européenne a mis à jour le 4 juin 2021 les modèles de clauses contractuelles, imposant à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets ». L’existence de clauses contractuelles type n’est donc pas suffisante (p.164-165 du Code de la Protection des données personnelles, 2022 éd. 4).
B) La nécessité de mettre en œuvre des garanties appropriées
Avant de choisir un pays non adéquat pour transférer des données, il faut donc prendre en compte :
- Les garanties essentielles (cadre législatif, possibilités de recours…)
- et les mesures supplémentaires, notamment techniques qui empêchent les données d’être accessibles et visibles (comme des données chiffrées)
Les données sensibles, de santé, ou hautement confidentielles
Il est impératif de mettre en place des garanties pour protéger ces données. Il faut donc chiffrer l’intégralité des données dites sensibles ou hautement confidentielles, comme les données de santé, ou les données relatives à des condamnations (voir les lignes directrices du CEPD)
En l’absence de garanties techniques et organisationnelles, le responsable de traitement s’expose à la suspension ou l’interdiction du transfert de données, mais également à des sanctions pécuniaires.