default-exper
Parole d'expert
02 décembre 2020

Vers une nouvelle stratégie de localisation des données personnelles en Europe ?

L’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne en juillet dernier est-elle en train de dessiner en filigrane une nouvelle stratégie européenne sur la localisation des données ? Les dernières documentations en consultation publique respectivement publiées par le Comité Européen de la Protection des Données (CEPD) et la Commission Européenne peuvent tendre vers cette hypothèse.

Cela faisait plus de trois mois qu’une incertitude planait quant aux « mesures supplémentaires » évoquées par le CEPD qui doivent être implémentées en complément des clauses contractuelles types de la Commission Européenne. Le Comité apporte de premiers éléments dans ce document préparatoire afin de résoudre en particulier la crise des transferts de données vers les Etats-Unis. Il propose à cet effet une méthodologie dans l’objectif de maîtriser lesdits transferts.

Ainsi, préconise t-il six étapes successives :

  1. Un audit des traitements impliquant un transfert de données à des pays tiers à l’Union Européenne ;
  2. L’identification de l’outil juridique de transfert approprié (décision d’adéquation, garanties appropriées ou dérogations pour situations particulières) ;
  3. L’effectivité et l’efficacité en pratique de l’outil juridique retenu ;
  4. L’adoption de mesures supplémentaires si l’outil juridique retenu n’est manifestement pas effectif et efficace ;
  5. Les démarches procédurales si des mesures supplémentaires efficaces sont identifiées ;
  6. La réévaluation des mesures à intervalles réguliers.

Pour en revenir spécifiquement sur les mesures supplémentaires, le Comité indique qu’il peut s’agir d’une combinaison de mesures techniques, organisationnelles et contractuelles, qu’il convient d’adopter au cas par cas en fonction des situations de traitement des données. Il donne en exemple quelques solutions circonstanciées dans une annexe relativement exhaustive.

L’enjeu n’est finalement pas tant l’adoption de ce type de mesures que de véritablement obtenir l’effectivité de celles-ci. Ainsi, le CEPD détaille t-il les conditions pour s’en assurer dans la même annexe, ce qui peut s’avérer coûteux et chronophage.

De son côté, la Commission Européenne a entamé un travail de révision des clauses contractuelles types (CCT), qui autorisent le transfert entre deux signataires : un exportateur de données situé sur le territoire de l’Union Européenne, et un importateur de données situé dans un pays tiers.

Parmi d’autres considérations, le projet de révision tente également de régler par des mesures contractuelles la problématique d’accès aux données par les autorités publiques du pays tiers où elles sont transférées. Outre des propositions de garanties disséminées dans l’ensemble du document, ce nouveau projet consacre deux articles spécifiques : l’un intitulé « lois locales affectant la conformité aux Clauses », l’autre intitulé « Obligations de l’importateur de données en cas de demandes d’accès par le gouvernement ». Parmi certaines obligations à la charge de l’importateur de données, figurent la garantie de conformité des lois locales aux règles de protection des données, de prompte notification à l’exportateur de données en cas de demandes des autorités, la revue de la légalité de la demande et de sa contestation, de leur documentation, ou encore l’obligation de minimisation des données transmises aux autorités.

Toute aussi légitime qu’elles soient, l’ensemble de ces solutions telles que proposées par les institutions européennes interroge tant sur leur faisabilité pratique que sur le coût humain, matériel et financier. En effet, le niveau de conformité exigé par les règles de protection des données au sein de l’Union européenne représente souvent un véritable défi en soi. Celui-ci n’est d’ailleurs d’ordinaire pas entièrement relevé, faute justement de ces moyens humains ou financiers alloués à la protection des données insuffisants dans les entreprises, notamment les PME. De plus, l’ajout de conditions contractuelles implique la renégociation, qui sera épineuse, et l’accord de transfert, surtout dans un contexte de rapport de force déséquilibré. A tel point que la localisation en Europe chez des prestataires européens pourrait probablement s’avérer la solution la moins risquée et finalement la moins coûteuse, pour autant que les offres techniques soient équivalentes. N‘est-ce pas le but recherché in fine par les autorités européennes ?

Dans ce contexte et cette perspective d’incertitude, il est alors légitime de se demander quelles sont les solutions qui s’ouvrent aux entreprises désireuses de poursuivre paisiblement leurs activités internationales hors le territoire de l’UE tout en minimisant les risques juridiques et financiers qui découlent de la réglementation locale. Ceci fera l’objet d’un autre article qui tentera de détailler les méthodes et outils envisageables.