Tout employeur luxembourgeois amené à transférer des données personnelles vers un pays tiers à l’Espace Economique Européen [1] (EEE) doit obligatoirement se conformer aux exigences et conditions fixées par le RGPD[2].
Notamment, tout transfert de données personnelles hors EEE doit obligatoirement :
- être couvert par une décision d’adéquation (cf. art. 45 du RGPD), ou
- en l’absence de décision d’adéquation, faire l’objet de garanties appropriées parmi lesquelles figurent notamment les clauses contractuelles types (« standard contractual clauses » ou « SCCs ») (cf. art. 46 du RGPD), ou
- en l’absence de décision d’adéquation ou de garanties appropriées, être fondé sur l’une des dérogations limitativement autorisées (cf. art. 49 du RGPD).
· Décisions d’adéquation du niveau de protection des données et ajout du Royaume-Uni
La Commission européenne a établi une liste des pays tiers reconnus comme offrant un niveau de protection adéquat des données à caractère personnel, et vers lesquels les données personnelles peuvent être librement transférées.
Dans un communiqué du 28 juin 2021, la Commission européenne a précisé avoir adopté, le même jour, deux décisions d’adéquation vis-à-vis du Royaume-Uni : « les données à caractère personnel peuvent désormais circuler librement depuis l'Union européenne vers le Royaume-Uni, où elles bénéficient d'un niveau de protection substantiellement équivalent à celui garanti en vertu de la législation de l'Union. ».
· Nouvelles clauses contractuelles types
Les clauses contractuelles types adoptées par la Commission européenne figurent parmi les garanties appropriées que tout exportateur doit mettre en place lorsqu’il envisage de transférer des données personnelles hors de l’EEE, vers un pays qui ne dispose pas de décision d’adéquation (cf. ci-dessus).
Par une décision du 4 juin 2021[3], la Commission européenne a publié de nouvelles clauses contractuelles types destinées à encadrer les transferts de données des responsables de traitement ou des sous-traitants de l’EEE (soumis au RGPD) à des responsables de traitement ou des sous-traitants établis en dehors de l’EEE (non soumis au RGPD).
Dans un communiqué du 28 juin 2021, la CNPD a précisé que les nouvelles clauses contractuelles types sont entrées en vigueur le 27 juin 2021 et peuvent être utilisées dès à présent par les entreprises.
Par ailleurs, les anciennes clauses contractuelles types qui sont actuellement en cours ou qui sont conclues avant le 27 septembre 2021 peuvent continuer à être invoquées jusqu’au 27 décembre 2022 (période transitoire), pour autant que les opérations de traitement demeurent inchangées et que lesdites clauses offrent des garanties appropriées, au sens du RGPD, au transfert réalisé sur leur base.
· Recommandations finales de l’EDPB[4] sur les mesures supplémentaires à coupler aux garanties appropriées
Suite à l’arrêt de la CJUE du 16 juillet 2020 dit « Schrems II », l’EDPB a publié des recommandations sur les mesures supplémentaires à mettre en place en cas de transfert de données hors EEE sur base des garanties appropriées (i.e. SCCs, règles contraignantes d’entreprises, codes de conduite ou certifications approuvés, etc.).
Un communiqué de la CNPD en date du 21 juin 2021 présente les principales modifications apportées, et rappelle que ces recommandations visent à aider les responsables du traitement et les sous-traitants agissant en tant qu’exportateurs de données à définir et à mettre en œuvre des mesures supplémentaires appropriées, le cas échéant.
_________________________________________________
1 L’EEE regroupe les 27 Etats membres de l’Union Européenne ainsi que l’Islande, la Norvège et le Liechtenstein.
2 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données).
3Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE)publiée au JO L 199/31 du 7 juin 2021.
4 European Data Protection Board, ou Comité européen de la Protection des données.