La Commission européenne a publié le vendredi 13 novembre deux projets de décision d'exécution qui doivent venir renforcer le Règlement général sur la protection des données de 2016, qui apportait déjà à l'UE l'une des règlementations les plus strictes au monde pour les données personnelles. Deux consultations sont ouvertes pour ces projets qui portent sur :
- le traitement de données personnelles par un sous-traitant.
- les clauses contractuelles liées au transfert de données personnelles vers des pays tiers.
Cette mise à jour doit aider les entreprises à se conformer au RGPD et permettre à terme une meilleure mise en oeuvre de la législation européenne sur les données.
La modernisation des outils pour les transferts internationaux de données et des clauses types du RGPD était déjà en cours sous l'impulsion du Commissaire à la justice Didier Reynders, mais l'arrêt Schrems II de la Cour de justice de l'UE de juillet dernier a accéléré la tendance. La Cour avait bloqué le Privacy shield (bouclier de protection) entre l'UE et les États-Unis dans la mesure où il n'offrait pas une protection suffisante aux données échangées. Cela a été l'occasion d'affirmer que le transfert de données vers un pays tiers n'est pas autorisé si celui-ci ne respecte pas les clauses contractuelles types, c'est-à-dire les modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.
Dans son projet, la Commission propose pour la première fois de mettre en place ces clause entre traitants et sous-traitants de données situés au sein même de l'UE. Les nouvelles modalités pour les transferts internationaux de données, selon les projets de décision visent à "couvrir les différents scénarii de transfert (entre autorités de contrôle et de traitement, NDLR) et la complexité de la chaîne de traitement moderne". Ces projets intègrent le jugement Schems II avec l'obligation pour l'importateur de données de notifier rapidement l'exportateur s'il est soumis à une demande d'accès par son gouvernement. Il doit dans cette logique fournir un maximum d'informations et faire en sorte de lever l'interdiction si les lois de son pays ne l'y autorisent pas.
Comme le souligne la vice-présidente chargée des valeurs et de la transparence Věra Jourová, l'objectif est de "garantir un niveau élevé de protection de nos données personnelles, où qu'elles se trouvent et quand elles voyagent". Les projets de clauses sont maintenant entre les mains du Conseil européen de la protection des données et du Contrôleur européen de la protection des données pour avis. Après cela et le résultat de la consultation publique de quatre semaines, les clauses finales seront adoptées par la Commission, après feu vert des représentants des États membres.