Pour gérer vos consentements :
Categories: Data-stockage

RGPD : comment transférer des données hors de l’UE

Transférer des données personnelles vers un pays tiers alors que celui-ci n’offre pas un niveau de protection « substantiellement équivalent » à celui garanti dans l’Espace économique européen. Toute entité soumise au RGPD peut faire face à cette situation, en qualité d’exportateur. Et à la question qui va avec : quelles mesures prendre en conséquence ?

C’est l’Union européenne qui juge du niveau de protection qu’offrent ces pays tiers. Si elle détermine que les garanties sont appropriées, elle met en place une « décision d’adéquation ». Le Royaume-Uni est le dernier à avoir rejoint la liste.

Pour transférer des données vers d’autres pays que les dix qui figurent sur cette liste, il faut recourir à un mécanisme alternatif. L’UE en liste cinq, essentiellement de nature contractuelle. Le plus répandu étant celui des clauses types.

Qui dit « contractuel » dit que la législation des pays en question s’applique en priorité. Ainsi, en fonction de cette législation et/ou des pratiques en vigueur, il pourra être nécessaire de prendre des mesures « complémentaires » pour assurer un niveau de protection adéquat.

Chiffrement et « pseudonymisation »

En novembre dernier, le CEPD (Comité européen de la protection des données) avait publié des recommandations de mesures complémentaires. Et les avait soumises à consultation publique. Il vient d’en adopter la version finale (document PDF).

Avant d’en arriver éventuellement à de telles mesures, les exportateurs (ceux qui envoient des données hors de l’EEA pour traitement) cartographieront l’ensemble de leurs transferts. Avec, comme principale question : où vont les données ? Cela implique, en particulier, d’identifier les cascades de sous-traitance.

On vérifiera ensuite, au cas par cas, les mécanismes sur lesquels se basent les transferts. Puis on examinera les garanties qu’offre le pays de destination. Principalement à la lumière de la Charte des droits fondamentaux de l’UE. En tête de liste, les risques d’accès aux données par des autorités publiques. Et les voies de recours effectivement mises à disposition des personnes sujettes aux traitements.

S’il s’avère nécessaire de prendre des mesures complémentaires, que choisir ? On peut opter pour des mesures contractuelles (pages 36 à 42 du document) et/ou organisationnelles (pages 43 à 46). Parmi les premières, des obligations techniques ou de transparence pour l’importateur. Parmi les secondes, des politiques internes de gouvernance ou des bonnes pratiques.

Mais ce sont bien les mesures techniques (pages 28 à 36) qui apparaissent comme la meilleure parade. En tout cas pour les pays dans lesquels la législation (ou les pratiques) pose des problèmes. Les recommandations du CEPD tiennent en cinq exemples. Avec deux maîtres mots : chiffrement et « pseudonymisation ».

Ne pas tout donner, surtout les clés

Premier cas évoqué : le stockage de données chez un hébergeur dans un pays tiers. Le CEPD considère que le chiffrement peut constituer une protection adéquate si :

Les données sont chiffrées avant transfert et on vérifie l’identité de l’importateur
L’algorithme de chiffrement et son paramétrage sont « conformes à l’état de l’art » et peuvent être considérés comme robustes face aux démarches des autorités publiques
La puissance du chiffrement et la longueur de la clé tiennent compte de la période pendant laquelle la confidentialité des données doit être préservée
L’algorithme est correctement implémenté, avec un logiciel maintenu et sans failles connues
Les clés sont gérées de manière fiable et sont sous le contrôle exclusif de l’exportateur ou d’une entité de confiance (située dans une juridiction qui offre un niveau de protection adéquat)

Le deuxième cas qu’évoque le CEPD couvre la question de la « pseudonymisation ». Il considère la démarche comme acceptable si :

Les traitements ne permettent pas d’identifier un individu ; ou de le différencier au sein d’un groupe, sauf à exploiter des informations supplémentaires
Ces informations supplémentaires sont sous le contrôle exclusif de l’exportateur et sont conservées de façon séparée par une entité de confiance (cf. premier cas)
Des garde-fous techniques et organisationnels empêchent les accès et les utilisations indésirables de ces informations
L’exportateur est le seul à contrôler le mécanisme qui permet la réidentification
Le responsable du traitement a tenu compte des informations dont pourraient déjà disposer les autorités publiques et qui faciliteraient une identification des personnes concernées
Données en clair : le CEPD ne fait pas d’exception

Le troisième cas aborde la protection des données lors du transit. Le CEPD l’estime adéquate si :

Le chiffrement se fait « dans l’état de l’art » (voir cas précédents)
Les parties impliquées s’accordent sur une autorité de certification ou une infrastructure à clés publiques de confiance
Des mesures spécifiques sont en place pour les systèmes qui émettent et réceptionnent les données
En cas de protection insuffisante, un chiffrement de bout en bout sur la couche applicative est mis en place
L’algorithme est « à l’état de l’art » et correctement implémenté (cas précédents)
Il est pris en compte le délai de protection attendu (idem)

Les deux autres cas englobent respectivement les destinataires « protégés » par leur législation nationale (généralement pour des questions de secret professionnel) et les traitements multipartites. En l’occurrence, ceux qui impliquent plusieurs sous-traitants dans différentes juridictions.

Le CEPD mentionne aussi deux cas « non admissibles ». Sur l’un et l’autre, le problème se trouve dans le traitement des données en clair. L’un des deux concerne plus particulièrement les groupes d’entreprises, pour des finalités internes telles que les RH.

Recent Posts

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

2 jours ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

6 jours ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

2 semaines ago

GenAI : comment choisir une solution « prête à l’emploi »

Les offres d'intelligence artificielle générative (GenAI) "prêtes à l'emploi" sont nombreuses et proposent une variété…

3 semaines ago

Sora : comment fonctionne le nouveau modèle text-to-vidéo

OpenAI, l'inventeur de ChatGPT, lance un nouveau modèle text-to-vidéo qui impressionne par sa qualité. Appelé…

1 mois ago

GenAI : qui peut accéder à Gemini (ex Bard) ?

Google a officialisé le lancement de Gemini, le nouveau nom de son outil de GenAI.…

1 mois ago