Internet et la numérisation des biens et services ont transformé l'économie mondiale en facilitant la circulation des données dans le monde. Les échanges commerciaux reposent de plus en plus sur les flux de données personnelles et la confidentialité, la sécurité de ces données sont devenus des facteurs centraux de la confiance des consommateurs, mais également des entreprises désireuses d’un cadre à la fois sûr et compétitif.

Le règlement européen sur la protection des données (RGPD) encadre précisément les transferts internationaux de données. Il complète la gamme des outils existants permettant l'encadrement de ces transferts, afin de répondre aux différentes situations rencontrées par les responsables de traitements de données et leurs sous-traitants.

I-Quels outils pour encadrer les transferts de données hors EEE ?

Le RGPD a élargi la gamme d’outils juridique permettant d’encadrer les transferts. Ils peuvent être utilisés tant par les responsables de traitement que par les sous-traitants.

Afin d’assurer un haut niveau de protection des données transférées du territoire européen à des Etats tiers, les organismes souhaitant transférer des données peuvent recourir aux outils suivants :

- La décision d’adéquation (art. 45 du RGPD), qui constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un Etat, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet Etat ;

- En l’absence d’une telle décision, des « garanties appropriées » (art. 46 du RGPD), constituées pour la majorité de décisions des autorités de contrôle et qui sont prises à la lumière des engagements des organismes concernés ;

En l’absence de telles garanties appropriées, le transfert peut enfin être réalisé par dérogation à ces outils globaux d’encadrement, dans des situations particulières et des conditions spécifiques.

Les mécanismes actuels d'encadrement des transferts hors UE peuvent être fondés sur une décision d'adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat ; des clauses contractuelles types (CCT) de la Commission européenne, des règles internes d'entreprises (BCR) et des clauses contractuelles spécifiques considérées comme conformes aux modèles de clauses de la Commission européenne.

Par ailleurs, avec le RGPD, les transferts peuvent également être encadrés par des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne ; un code de conduite approuvé comportant l'engagement contraignant et exécutoire pris par les destinataires hors UE d'appliquer les garanties appropriées; un mécanisme de certification approuvé comportant l'engagement contraignant et exécutoire pris par les destinataires hors UE d'appliquer les garanties appropriées et un arrangement administratif ou un texte juridique contraignant et exécutoire pris pour permettre la coopération entre autorités publiques.

II- Maintien des autorisations accordées
Les autorisations de transfert accordées avant le 25 mai 2018 sur le fondement de la précédente législation restent valables jusqu’à leur modification, remplacement ou abrogation par l’autorité de contrôle.
Concrètement, les entreprises pourront se prévaloir de ces autorisations tant que les garanties et les décisions sur lesquelles sont fondés leurs transferts sont toujours valables, par exemple, tant que les Clauses contractuelles type adoptées par la Commission européenne n’ont pas été modifiées, remplacées ou abrogées. Si tel est le cas, à défaut de dispositions spécifiques contraires, il sera nécessaire de signer de nouvelles clauses ou de prévoir de nouvelles garanties appropriées pour encadrer les flux de données hors du territoire européen.

Les décisions d’approbation des BCR restent également valables. Toutefois les groupes ayant des BCR déjà approuvées doivent adapter leurs BCR aux exigences des référentiels (WP256 et WP257, anciennement WP153 et WP195, tels qu’adoptés le 6 février 2018), de sorte que les transferts vers les pays tiers effectués sur cette base soient conformes au RGPD. Ces référentiels sont en cours de mises à jour. En effet, compte tenu de la nature des BCR, elles doivent nécessairement tenir compte de toute modification de l'environnement législatif et réglementaire dans lequel elles sont utilisées et doivent être modifiées en conséquence. Les détenteurs de BCR approuvées sous l’empire de la Directive 95/46 sont invités à mettre à jour leurs BCR aux autorités de contrôle concernées via l’autorité chef de file BCR depuis le 25 mai 2018. Cette mise à jour RGPD ne nécessite pas une nouvelle approbation européenne.

III- Quelle garantie appropriée choisir pour encadrer les transferts ?

Les outils de transfert désormais proposés par le RGPD sont complémentaires et répondent chacun à un besoin spécifique tant pour le secteur privé que pour le secteur public. Tous ne sont pas encore effectifs mais, à terme, ils présentent des avantages réels pour toutes les parties prenantes, individus, partenaires commerciaux, autorités de protection des données. Ils permettent aux organisations d’offrir une meilleure conformité et une protection plus efficace pour les individus. En outre, les CEPD a adopté une série de recommandations destinées à aider les exportateurs de données européens à se conformer aux exigences complémentaires de la CJUE depuis l’arrêt Schrems II. Certaines concernent les garanties essentielles que la législation d’un pays tiers doit respecter en matière d’accès aux données à des fins de sécurité nationales, d’autres l’évaluation des transferts concernés et la mises en place des mesures supplémentaires possibles pour garantir le plein effet des garanties appropriées de l’article 46 du RGPD. Ces dernières sont en cours de mises à jour suite à une consultation publique.