RGPD : comment assurer la conformité des transferts internationaux ?

CEPD mesures complémentaires RGPD

Pour effectuer légalement des transferts de données personnelles vers des pays hors EEA, le RGPD propose plusieurs mécanismes. Mais des mesures complémentaires peuvent s’avérer nécessaires. Que recommande l’UE ?

Je souhaite transférer des données personnelles vers un pays tiers. Mais celui-ci n’offre pas un niveau de protection « substantiellement équivalent » à celui garanti dans l’Espace économique européen. Quelles mesures prendre en conséquence ? Toute entité soumise au RGPD peut faire face à cette situation, en qualité d’exportateur. Et au questionnement qui va avec.

C’est l’Union européenne qui juge du niveau de protection qu’offrent ces pays tiers. Si elle détermine que les garanties sont appropriées, elle met en place une « décision d’adéquation ». Le Royaume-Uni est le dernier à avoir rejoint la liste.

Pour transférer des données vers d’autres pays que les dix qui figurent sur cette liste, il faut recourir à un mécanisme alternatif. L’UE en liste cinq, essentiellement de nature contractuelle. Le plus répandu étant celui des clauses types.

Qui dit « contractuel » dit que la législation des pays en question s’applique en priorité. Ainsi, en fonction de cette législation et/ou des pratiques en vigueur, il pourra être nécessaire de prendre des mesures « complémentaires » pour assurer un niveau de protection adéquat.

Chiffrement et « pseudonymisation »

En novembre dernier, le CEPD (Comité européen de la protection des données) avait publié des recommandations de mesures complémentaires. Et les avait soumises à consultation publique. Il vient d’en adopter la version finale (document PDF).

Avant d’en arriver éventuellement à de telles mesures, les exportateurs (ceux qui envoient des données hors de l’EEA pour traitement) cartographieront l’ensemble de leurs transferts. Avec, comme principale question : où vont les données ? Cela implique, en particulier, d’identifier les cascades de sous-traitance.

On vérifiera ensuite, au cas par cas, les mécanismes sur lesquels se basent les transferts. Puis on examinera les garanties qu’offre le pays de destination. Principalement à la lumière de la Charte des droits fondamentaux de l’UE. En tête de liste, les risques d’accès aux données par des autorités publiques. Et les voies de recours effectivement mises à disposition des personnes sujettes aux traitements.

S’il s’avère nécessaire de prendre des mesures complémentaires, que choisir ? On peut opter pour des mesures contractuelles (pages 36 à 42 du document) et/ou organisationnelles (pages 43 à 46). Parmi les premières, des obligations techniques ou de transparence pour l’importateur. Parmi les secondes, des politiques internes de gouvernance ou des bonnes pratiques.

Mais ce sont bien les mesures techniques (pages 28 à 36) qui apparaissent comme la meilleure parade. En tout cas pour les pays dans lesquels la législation (ou les pratiques) pose des problèmes. Les recommandations du CEPD tiennent en cinq exemples. Avec deux maîtres mots : chiffrement et « pseudonymisation ».

Ne pas tout donner, surtout les clés

Premier cas évoqué : le stockage de données chez un hébergeur dans un pays tiers. Le CEPD considère que le chiffrement peut constituer une protection adéquate si :

  • Les données sont chiffrées avant transfert et on vérifie l’identité de l’importateur
  • L’algorithme de chiffrement et son paramétrage sont « conformes à l’état de l’art » et peuvent être considérés comme robustes face aux démarches des autorités publiques
  • La puissance du chiffrement et la longueur de la clé tiennent compte de la période pendant laquelle la confidentialité des données doit être préservée
  • L’algorithme est correctement implémenté, avec un logiciel maintenu et sans failles connues
  • Les clés sont gérées de manière fiable et sont sous le contrôle exclusif de l’exportateur ou d’une entité de confiance (située dans une juridiction qui offre un niveau de protection adéquat)

Le deuxième cas qu’évoque le CEPD couvre la question de la « pseudonymisation ». Il considère la démarche comme acceptable si :

  • Les traitements ne permettent pas d’identifier un individu ; ou de le différencier au sein d’un groupe, sauf à exploiter des informations supplémentaires
  • Ces informations supplémentaires sont sous le contrôle exclusif de l’exportateur et sont conservées de façon séparée par une entité de confiance (cf. premier cas)
  • Des garde-fous techniques et organisationnels empêchent les accès et les utilisations indésirables de ces informations
  • L’exportateur est le seul à contrôler le mécanisme qui permet la réidentification
  • Le responsable du traitement a tenu compte des informations dont pourraient déjà disposer les autorités publiques et qui faciliteraient une identification des personnes concernées

Données en clair : le CEPD ne fait pas d’exception

Le troisième cas aborde la protection des données lors du transit. Le CEPD l’estime adéquate si :

  • Le chiffrement se fait « dans l’état de l’art » (voir cas précédents)
  • Les parties impliquées s’accordent sur une autorité de certification ou une infrastructure à clés publiques de confiance
  • Des mesures spécifiques sont en place pour les systèmes qui émettent et réceptionnent les données
  • En cas de protection insuffisante, un chiffrement de bout en bout sur la couche applicative est mis en place
  • L’algorithme est « à l’état de l’art » et correctement implémenté (cas précédents)
  • Il est pris en compte le délai de protection attendu (idem)

Les deux autres cas englobent respectivement les destinataires « protégés » par leur législation nationale (généralement pour des questions de secret professionnel) et les traitements multipartites. En l’occurrence, ceux qui impliquent plusieurs sous-traitants dans différentes juridictions.

Le CEPD mentionne aussi deux cas « non admissibles ». Sur l’un et l’autre, le problème se trouve dans le traitement des données en clair. L’un des deux concerne plus particulièrement les groupes d’entreprises, pour des finalités internes telles que les RH.

Photo d’illustration ©