Le RGPD a créé une sphère de sécurité pour le traitement des données à caractère personnel. Même lorsque des entreprises européennes effectuent (ou font effectuer) ces traitements en dehors du champ d’application du RGPD, la protection des données doit pouvoir être garantie. L’EDPB a donc élaboré un plan en cinq étapes pour le traitement des données à caractère personnel impliquant un transfert international. Cependant, ces 5 étapes, même simplement présentées, demeurent un défi pour toute organisation.
Défi 1 : Les données à caractère personnel ne nécessitent pas de visa
En tant que DPD, il n’est pas facile de déceler s’il est question d’un transfert international. Un bon point de départ est un registre des activités de traitement correctement rempli dans lequel vous indiquez pour chaque traitement s’il est question d’un transfert.
Défi 2 : La taille compte
L’ampleur et la nature du traitement influent sur l’évaluation des risques liés au transfert. Les autorités publiques qui exposent les données à caractère personnel aux risques d’un transfert international ou les hôpitaux qui transfèrent des données de santé voient généralement le tableau de bord des risques se colorer en rouge. L’enquête de l’EDPB sur l’utilisation du cloud par le secteur public n’y est pas étrangère.
Défi 3 : Retour à la case départ
Pour chaque transfert, vous devez vérifier si toutes les conditions contractuelles sont remplies. En pratique, cela signifie généralement qu’il faut rédiger des clauses contractuelles types (CCT). Quiconque a dû établir un tel contrat ces dernières années risque de devoir retourner à la case départ : l’année dernière, l’Europe a publié (plutôt tardivement) de nouvelles CCT ou clauses contractuelles types. L’ancienne version ne sera plus valable à partir de décembre 2022.
Défi 4 : Le respect de la vie privée dès après la conception
En général, les CCT ne seront pas en mesure d’absorber seules les risques d’un transfert. Par conséquent, il y a de fortes chances que vous deviez examiner d’un œil critique l’application TIC elle-même et vérifier comment prendre des mesures techniques supplémentaires pour mieux protéger les données à caractère personnel. Les entreprises auront souvent recours au cryptage et/ou à la pseudonymisation des données. Dans une application existante, cela constitue souvent une source d’embarras supplémentaire.
Défi 5 : Sleepless … in Russia
Quoi qu’il en soit, une fois que vous aurez rempli toutes les obligations, le transfert ne pourra plus échapper à l’œil vigilant du DPD. Les modifications réglementaires dans le pays de destination, par exemple, peuvent avoir un impact sur le transfert. Mais la géopolitique peut elle aussi jouer un rôle. 3M a ainsi par exemple récemment annoncé que le transfert de données de santé vers la Russie est interrompu en raison de la guerre en Ukraine.