Alors que le Comité européen de la protection des données (EDPB) vient de publier ses recommandations sur les conditions à respecter pour légalement transférer des données en dehors de l'UE, voici les points clés à retenir, pour les fournisseurs de Cloud (Applications, Infrastructures ou Plates-formes) et Responsable de Traitement
Les responsables de traitement s'appuyant sur le mécanisme des clauses contractuelles types (CSC) sont tenus de vérifier, au cas par cas, si la législation du pays tiers assure un niveau de protection équivalent à celui garanti dans l'Espace Economique Européen (EEE).Cette procédure se déroule en 6 étapes clés
Recenser tous les transferts internationaux envisagés et s’assurer de minimiser et restreindre le transfert aux données « pertinentes »
Vérifier les mécanismes de transfert utilisables (décision d'adéquation, clauses contractuelles types…)
Evaluer le régime juridique du pays destinataire afin de s’assurer qu’il ne porte pas atteinte à l’efficacité des garanties. A ce titre l’importateur de données (pays cible) devra fournir à l’exportateur de donnée (pays source) des conseils sur la législation applicable dans son pays.
Identifier puis adopter une ou plusieurs mesures complémentaires pour amener le niveau de protection des données à un niveau équivalent de celui garanti par l'Europe.
Adopter ces mesures procédurales.
Réévaluer périodiquement le niveau de protection des données.
Les points à retenir
Le rapport de la CNIL européenne ne précise pas ce que l’on entend par "données pertinentes ".
Est considéré comme autorisé le stockage de données dans un pays tiers où il n'y a pas d'accès aux données cryptées et où les clés de chiffrement sont détenues par l'exportateur des données ou par une entité de confiance dans l'UE.
Est considéré comme autorisé : Le transfert de données pseudonymisées.
Cas spécifique des transferts de fournisseurs de Cloud vers les US
Aucune mention dans les clauses contractuelles des fournisseurs de Cloud US ne peut aujourd’hui exclure l’application du Patriot Act.
De nombreux fournisseurs de Cloud US considèrent que les clauses contractuelles types constituent un mécanisme juridique valable pour le transfert de données de l'UE, y compris vers les États-Unis. Tel n'est pas le cas en l'espèce.
Tous les responsables de traitement en France et en Europe travaillant avec des fournisseurs de Cloud US doivent donc soit minimiser le transfert de données vers les US soit procéder à la pseudonymisation de leurs données, soit demander le rapatriement de leurs données vers des datacenters européens.
Comments