Romain Perray, associé au sein du département Tech & Data du cabinet McDermott Will & Emery, revient sur les différents niveaux de protection des données des pays dans le monde, la portée du caractère extraterritorial du RGPD, les règles de transfert de données Hors Union Européenne et explique comment gérer la gouvernance multijuridictionnelle des données.
Quels sont les différents niveaux de protection des données des pays dans le monde ?
À partir des années 1970, plusieurs pays (Allemagne, Suède, France, États-Unis, etc.) ont adopté des règles relatives à la protection des données personnelles, afin de lutter contre le fichage public. Par la suite, et à l’exception notable des États-Unis, d’autres pays (Suisse, Russie, Canada, Australie, Argentine, Nouvelle Zélande, Afrique du Sud, Maroc, Égypte ou Île Maurice) ont préféré se concentrer sur les risques du fichage privé. Pour autant, ce mouvement s’est surtout accéléré avec le RGPD, conduisant de nombreux pays à eux aussi adopter des textes (Chine, Brésil, Inde, Vietnam et Arabie Saoudite). Mais plus que de niveaux de protection, ces règlementations varient surtout selon la portée de la protection apportée aux individus. Beaucoup de lois visent principalement à réguler le fichage privé (exemple des lois étatiques adoptées une à une aux États-Unis), tandis que d’autres - pourtant plus larges - ne couvrent pas pour autant les risques de fichage public (Chine, Vietnam, Arabie Saoudite) qui font alors l’objet souvent de textes distincts. C’est en cela qu’il y a un décalage entre l’Union européenne offrant une protection complète, et d’autres juridictions plus centrées sur certains secteurs économiques.
Quelle est la portée du caractère extraterritorial du RGPD ?
Le RGPD a un champ d’application territorial très large. Il s’applique à tous les organismes bien qu’implantés hors UE, ciblant des résidents européens pour leur vendre des biens ou services. C’est l’exemple d’une société indienne qui vend des chaussures via son site Internet rédigé notamment en français, où le paiement en euros et la livraison en France sont possibles. Le RGPD s’applique encore lorsque ces organismes suivent le comportement en ligne des résidents européens (sur Internet, mais aussi par exemple à des fins de prédiction). Au-delà, le RGPD a pour effet d’étendre son champ d’application par le biais de ses règles en matière de transferts internationaux. Il exige en effet que lorsque des données personnelles sont envoyées hors UE, le destinataire – par exemple la société indienne – qui les reçoit et les envoie à son tour ensuite vers un autre pays non européen, par exemple le Vietnam. Dans un tel cas, les données « européennes » doivent être protégées conformément au RGPD tout au long de leur cycle de vie.
Quelles sont les règles de transfert de données Hors Union Européenne ?
Comme les règles antérieures, le RGPD interdit par principe le transfert des données hors UE, mais prévoit 3 catégories d’exceptions. La première s’applique lorsque la réglementation du pays tiers, assurant un niveau de protection équivalent à celui du RGPD, est reconnue adéquate par la Commission européenne. Elle ne l’a reconnu jusque-là que pour quelques pays (Argentine, Nouvelle-Zélande, Israël, Japon ou Corée du Sud notamment) et les États-Unis, mais que pour certaines sociétés ayant adhéré au programme Data Privacy Framework. A défaut d’une telle décision qui s’applique à l’échelle d’un pays, d’une région ou d’un secteur d’activité, il est encore possible – deuxième exception – de transférer des données hors UE sur la base de garanties appropriées, applicables à l’échelle d’une organisation. Il y en a 4 : les règles internes contraignantes (grand règlement interne s’appliquant en intra-groupe), les clauses contractuelles types reposant sur un modèle de contrat adopté par la Commission européenne (en pratique le mécanisme le plus courant), les codes de conduite (principalement un à ce jour en matière de cloud) et la certification (encore peu usitée). La Cour de Justice exige par ailleurs, s’il existe un programme de surveillance de masse dans le pays tiers destinataire, que l’organisme qui exporte les données effectue une analyse de compatibilité entre la réglementation locale et les principes européens essentiels de protection des données personnelles, pour s’assurer qu’il n’y ait pas d’accès non autorisé par les services de renseignements de l’État tiers aux données personnelles en provenance d’Europe. Enfin, à défaut de garanties appropriées, il est possible de transférer des données hors UE à un niveau individuel, par exemple avec le consentement de la personne concernée ou en raison du contrat qu’elle a conclu avec le responsable de traitement. De telles opérations s’interprètent strictement et doivent donc être limitées en termes de fréquence et de volume.
Comment gérer la gouvernance multijuridictionnelle des données ?
Compte tenu de la fragmentation et de la disparité des textes applicables, le sujet est très délicat. Plusieurs solutions sont envisageables, nécessitant un examen au cas par cas en fonction de l'implantation géographique (essentiellement en Europe et aux États-Unis versus une multinationale présente en Chine) et de l'activité (en ligne, conseils, industrie). On peut opter pour des architectures de flux de données en silos par région (Europe, Amériques, Asie, parfois Chine seule). Une autre possibilité est de se fonder sur un dénominateur commun élevé en construisant sa gouvernance sur la base du RGPD, mais cela comporte le risque de s'écarter des règles non-européennes. Une solution hybride consiste à s'appuyer sur des notions clés communes (données personnelles, responsable de traitement), rarement éloignées des réglementations des États tiers. Dans cette configuration, reposer sur une plus grande flexibilité en termes de mécanismes de transferts est recommandé, car tous les pays n’ont pas les mêmes règles et les transferts s'effectuent souvent dans les deux sens.
Propos recueillis par Arnaud Dumourier (@adumourier)
