Transfert des données hors Europe : toujours pas de solution en vue
Depuis l’invalidation par la Cour Européenne de Justice l’été du Privacy Shield (qui définissait le cadre légal de sortie des données de l’Europe vers les USA), considéré comme insuffisant en termes de protection des données personnelles vis à vis de la loi américaine, la sortie des données depuis le territoire européen vers les USA se fait dans un flou total. En effet, en l’absence d’une réglementation remplaçant le Privacy Shield les entreprises qui envoient les données de résidants européens vers d’autres pays s’exposent à des actions en justice puisqu’aucun support légal ne le permet, et donc au cas par cas il faut identifier si le pays destinataire (ou ceux en transit) offrent un cadre légal qui protège aussi bien que celui de l’Europe. Sachant qu’en l’état, ni les USA ni de nombreux autres pays n’offrent ces garanties…
Les avis de l’European Data Protection Board (EDPB) ou Comité Européen de Protection des Données (CEPD) sont donc attendus pour essayer d’y voir plus clair. Le CEPD est l’autorité chargée de la protection des données pour les institutions, organes et organismes de l’Union européenne, et elle a été institué dans le cadre de la mise en place du RGPD. Le 10 novembre dernier, le CEPD vient de publier ses « Recommandations 01/2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau européen de protection des données à caractère personnel« , qui définit le cadre dans lequel des données peuvent être échangées, en garantissant le respect de la loi européenne. Et ces recommandations semblent loin d’apporter les clarifications attendues pour sortir du flou. Les recommandations du CEDP portent à la fois sur les aspects contractuels, organisationnel et surtout des mesures techniques drastiques, en particulier liées au cryptage (obligatoire) et à la pseudonymisation des données. Ainsi pour certains experts (voir ici l’analyse de Theodore Christakis, professeur de droit international et européen à l’Université de Grenobl, sur son blog), les possibilités de transfert sont en l’état quasi impossibles.
En résumé, les orientations de l’EDPB indiquent clairement qu’aucun transfert de données ne doit avoir lieu vers des pays non adéquats/non équivalents, à moins que les données ne soient cryptées ou pseudonymisées de manière si complète qu’elles ne puissent être lues par personne dans le pays destinataire, même pas par le destinataire prévu.
Theodore Christakis
Bref, la sortie du tunnel ne semble pas pour tout de suite ….
Calipia : le blog 