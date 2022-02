Depuis l’arrêt Schrems II[1], les délégués à la protection des données (DPO) ne se seront jamais autant penchés sur les questions relatives aux transferts internationaux de données personnelles et à leur encadrement. En effet, cet arrêt de la Cour de justice de l’Union européenne avait non seulement invalidé le Privacy Shield permettant de transférer des données personnelles de l’Union européenne vers les États-Unis mais aussi listé une série de garanties complémentaires à mettre en place dans le cadre de transferts internationaux, notamment lors du recours à des clauses contractuelles types.

Il doit aussi être signalé qu’à la suite de l’entrée en application du RGPD, la Commission européenne a proposé le 4 juin 2021 de nouvelles clauses contractuelles types, adaptées[2] et scindées en quatre modules correspondants aux hypothèses de transfert selon la qualité des acteurs, responsables de traitements ou sous-traitants. Ces clauses doivent ainsi être déployées progressivement pendant la période de transition prévue, processus qui implique de déterminer au cas par cas les relations entre acteurs concernés et de revoir le cas échéant les modalités de gouvernance. Par ailleurs, le Comité européen des données personnelles (CEPD) a, à son tour, publié le 18 juin 2021 de nouvelles recommandations[3] sur les transferts de données personnelles, en élaborant une liste des étapes à suivre avant de transférer des données en dehors de l’Union européenne (cartographie des transferts, identification et évaluation des outils de transferts, évaluation périodique des garanties mises en place…).

Si les critères mis en avant par la CJUE doivent constituer la "boussole stratégique" des DPO lors de leur association aux prises de décisions en matière de transferts, conformément à leurs missions d’information, de conseil ou de contrôle du respect du règlement, le cadre applicable aux transferts internationaux n’en reste pas moins particulièrement mouvant. En témoigne la décision de l’autorité de contrôle autrichienne du 13 janvier dernier[4] qui a estimé que la collecte de données personnelles via Google Analytics était contraire au droit européen. Décision qui a été suivie notamment par une première mise en demeure de la Cnil envers un gestionnaire de site web, cette dernière autorité soulignant que d’autres procédures avaient été engagées. Ces décisions témoignent des effets multiples de l’arrêt Shrems II et de ses nombreuses conséquences à venir. Autant de signaux qui doivent alerter les DPO sur l’importance de placer le sujet des transferts internationaux de données personnelles en tête de leurs priorités pour 2022.

À ce titre, il importe aussi de mettre en place des outils efficaces de suivi et de pilotage des transferts internationaux pour déterminer le cadre juridique qui leur est applicable et les garanties devant être mises en œuvre. Une piste de solution pourrait résider dans le recours à des questionnaires dédiés, inspirés des analyses d’impact et qui permettrait d’interroger et d’évaluer les destinataires des données ou les sous-traitants en charge de ces transferts. De tels outils existent déjà, notamment sous la forme de Transfer Impact Assessment Questionnaire (Tiaq) et qui reprennent en partie les recommandations du CEPD.

En résumé, le rôle du DPO est central, pour assurer le respect du RGPD en la matière (article 39) en identifiant les outils et les transferts concernés puis en évaluant les garanties proposées. Le sujet devrait continuer à connaître de nouvelles évolutions : en témoigne le programme de contrôles de la Cnil pour 2022 qui mentionne explicitement le recours au cloud et évoque une approche coordonnée européenne du fait de ces transferts massifs de données.

