Juridique

RGPD : les règles européennes après l'annulation du Privacy Schield

Concernant la protection des données personnelles transférées, l’EDPB considère que « les clés de chiffrement doivent être seulement conservées sous le contrôle de l’exportateur de données, ou d’autres entités à qui elles ont été confiées ».

Le comité européen de la protection des données, ou EDPB, a émis ce mois-ci des recommandations sur la marche à suivre après l'invalidation de l'accord Privacy Shield intervenu en juillet dernier. Parmi les mesures supplémentaires à mettre en oeuvre pour protéger les transferts vers des pays tiers, l'EDPB donne en exemple le chiffrement des données stockées pour sauvegarder en recommandant une conservation des clés de chiffrement dans la zone économique européenne.

PublicitéFaisant suite à l'arrêt « Schrems II » de la CJUE le 16 juillet qui a invalidé l'accord Privacy Shield, le Comité européen de la protection des données (EDPB en anglais) a adopté le 10 novembre une série de recommandations pour garantir que le transfert des données personnelles conserve le niveau de protection exigé par l'Union européenne. En juillet, la CJUE a stipulé que ceux qui agissent en tant qu'exportateurs de données devaient vérifier, au cas par cas, le cas échéant avec l'importateur du pays tiers, si la législation du pays tiers empiète sur l'efficacité des garanties des outils de transfert prévu à l'article 46 du RGPD.

La Cour laisse la possibilité aux exportateurs de données de mettre en oeuvre des mesures complémentaires pour combler les manques. C'est notamment l'objet des recommandations publiées le 11 novembre par l'EDPB. Celles-ci consistent en une approche en six étapes pour aider les exportateurs de données dans « la tâche complexe d'évaluation des pays tiers et l'identification des mesures supplémentaires appropriées ». Quelques exemples de cas d'usage sont fournis en annexe, incluant notamment les conditions du recours au chiffrement lors du stockage pour sauvegarde de données personnelles dans un pays tiers.

Le premier conseil donné par l'EDPB est de connaître ses transferts. Il faut savoir où les données sont transférées pour s'assurer qu'elles bénéficieront d'un niveau de protection équivalent. La 2ème étape porte sur l'identification des outils de transfert sur lesquels on s'appuie, parmi ceux qui sont listés au chapitre V du RGPD. La troisième étape consiste à évaluer si l'outil de transfert choisi (à partir de l'article 46 du RGPD) sera véritablement efficace, en pratique, dans les conditions du transfert, ou bien s'il y a dans la loi ou les pratiques du pays tiers quelque chose qui pourrait nuire à l'efficacité des garanties de protection de cet outil. S'il s'avère que l'outil ne présente pas l'efficacité requise, à la quatrième étape, il faut identifier et adopter les mesures supplémentaires qui sont nécessaires pour apporter le niveau de protection des données conforme à la norme européenne. Le chiffrement, la pseudonymisation, le traitement multipartite figurent parmi les mesures supplémentaires qui peuvent être prises.

La 5ème étape consiste à établir les procédures requises par les mesures complémentaires, selon l'outil de transfert de l'article 46 du RGPD qui sera utilisé. La 6ème et dernière étape consiste à ré-évaluer à intervalles appropriés le niveau de protection accordé aux données qui sont transférées vers des pays tiers et à surveiller s'il y a eu des modifications qui pourraient les affecter. « Le principe de responsabilité exige une vigilance continue du niveau de protection des données personnelles », pointe le Comité européen de la protection des données.

Publicité Le chiffrement de données stockées pour le backup

Dans son document, l'EDPB fournit en annexe différents cas d'usage possible dont certains peuvent remettre en cause l'utilisation de services de chiffrement fournis par des opérateurs clouds non européens, ainsi que l'a récemment souligné Etienne Papin, avocat associé chez Next Avocats, dans une tribune. Par exemple, le stockage de données pour sauvegarde ne requérant pas d'accès en clair aux données. Dans ce cas-là, l'exportateur de données utilise le service d'un hébergeur situé dans un pays tiers à des fins de backup. La marche à suivre suggérée est la suivante. Les données personnelles sont traitées au moyen d'un chiffrement fort, avant la transmission. L'algorithme de chiffrement et son paramétrage (longueur de la clé, mode opératoire) doivent être à l'état de l'art et considérés comme robustes face à la cryptanalyse que pourraient exercer les pouvoirs publics du pays d'accueil, en tenant compte des capacités techniques et des ressources dont ceux-ci disposent (par exemple, puissance de calcul pour des attaques en force brute). La force du chiffrement doit prendre en compte le délai pendant lequel la confidentialité des données personnelles chiffrées doit être préservée.

L'algorithme de chiffrement doit être parfaitement mis en oeuvre par un logiciel maintenu dont la conformité a été vérifiée. Les clés de chiffrement doivent être gérées de façon fiables (générées, administrées, stockées, si nécessaire, associées à l'identité d'un destinataire désigné et révoquées). Et, enfin, les clés de chiffrement doivent être seulement conservées sous le contrôle de l'exportateur de données, ou d'autres entités à qui elles ont été confiées résidant dans l'espace économique européen ou un pays tiers, ou une organisation internationale pour laquelle la Commission a établi, conformément à l'article 45 du RGPD, qu'un niveau de protection adéquat est assuré. C'est à ces conditions que, dans ce cas de figure, l'EDPB considérera que le chiffrement effectué fournit une mesure supplémentaire efficace, expose dans son document l'organe européen indépendant chargé de contribuer à l'application de règles cohérentes sur la protection des données.

Projet de l'UE sur les SCC, ouvert jusqu'au 10 décembre

Le 12 novembre, la Commission européenne a proposé un projet de décision pour la mise à jour des clauses contractuelles types (SCC, Standard contractual clauses), qui sont le mécanisme principal reconnu par le RGPD pour assurer la protection des données personnelles de l'UE transférées dans un pays tiers. Ce projet est ouvert aux commentaires jusqu'au 10 décembre 2020. Lorsque la décision sera adoptée et les nouvelles clauses effectives, les entreprises auront 12 mois pour les mettre en place.