Actualité
4 min de lecture
27 mars 2023
Le CEPD clarifie l’utilisation du mécanisme de certification qui permet d’encadrer des transferts de données hors de l’UE.

Le Comité européen de la protection des données (CEPD) a publié la version finale de ses lignes directrices en matière de certification comme outil de transfert de données. Il vient ainsi expliciter comment utiliser ce nouvel outil de transfert instauré par le règlement général sur la protection des données (RGPD).

Conformément à l’article 46, § 2, point f) de ce texte, un mécanisme de certification approuvé peut apporter les garanties appropriées permettant d’atteindre un niveau de protection substantiellement équivalent à celui assuré dans l’Union européenne. Pour cela, il doit être accompagné d’engagements contraignants et exécutoires de l’importateur des données situé à l’étranger d’appliquer ces garanties. Il en ressort que le demandeur à la certification est le partenaire étranger et que l’exportateur situé dans l’Union peut décider de s’appuyer sur la certification obtenue pour transférer les données.

Procédure de certification

Avant de le faire, l’exportateur doit vérifier que la certification sur laquelle il entend s’appuyer est efficace à la lumière des caractéristiques du traitement envisagé. Notamment, il doit s’assurer de la validité de la certification et du fait qu’elle couvre le transfert spécifique à effectuer. Une attention particulière doit également être portée à l’existence de transferts ultérieurs, le cas échéant. En outre, l’exportateur doit vérifier que l’organisme qui délivre la certification est accrédité par un organisme national d’accréditation ou une autorité de contrôle compétente. L’exportateur est encore tenu de mentionner l’utilisation de la certification comme outil de transfert dans le contrat de traitement des données conformément à l’article 28 du RGPD en cas de transferts vers un sous-traitant ou dans un contrat de partage des données en cas de transferts vers un responsable du traitement (point 20). Enfin, l’exportateur doit « évaluer si la certification qu’il entend utiliser comme outil de transfert est efficace à la lumière du droit et des pratiques en vigueur dans le pays tiers qui sont pertinents pour le transfert en question » (point 21). Pour ce faire, il peut se référer à la vérification effectuée par l’organisme de certification, de l’évaluation documentée par l’importateur, des lois et pratiques du pays tiers.

L’obtention d’une certification impliquera l’intervention de plusieurs acteurs, notamment d’un organisme de certification accrédité. Ce dernier doit avoir un établissement dans l’Espace économique européen, sachant qu’il peut sous-traiter des missions à des experts locaux ou à des établissements situés en dehors de cet espace. Pour être accrédité, un organisme doit respecter une liste d’exigences fixées dans la norme ISO 17065 ainsi que dans le RGPD (voir Lignes directrices n° 4/2018 du CEPD relatives à l'accréditation des organismes de certification en vertu de l'article 43 du RGPD et son annexe dans le contexte du chapitre V, 4 juin 2019). Le CEPD apporte ici des précisions en ce qui concerne les exigences en matière de ressources détenues par l’organisme de certification, les exigences relatives au processus de certification et celles relatives aux changements affectant la certification avec l’obligation, pour l’organisme de certification, de surveiller les changements dans la législation et/ou la jurisprudence des pays tiers susceptibles d’avoir une incidence sur les traitements opérés.

Quant à la certification délivrée, elle repose sur l’évaluation du respect des critères énumérés dans les lignes directrices 1/2018 du 4 juin 2019 relatives à la certification et à la définition des critères de certification conformément aux articles 42 et 43 du règlement et de critères spécifiques supplémentaires. Ces derniers couvrent l’évaluation de la législation du pays tiers, les obligations générales des exportateurs et des importateurs, les règles relatives aux transferts ultérieurs, les voies de recours et l’exécution, le processus et les actions pour les situations dans lesquelles la législation et les pratiques nationales empêchent le respect des engagements pris dans le cadre de la certification et les demandes d’accès aux données par les autorités du pays tiers.

Engagement « contraignant et exécutoire » de l’importateur de données

Le mécanisme de certification n’est pas suffisant à lui seul. L’importateur des donnés non soumis au RGPD doit encore prendre l’engagement contraignant et exécutoire de respecter les garanties appropriées prévues par le mécanisme. A cette fin, il peut utiliser tout instrument contraignant, tel qu’un contrat déjà existant ou un contrat distinct.

Le contenu de ce contrat est décrit dans les lignes directrices aux points 53 et suivants. L’importateur doit notamment garantir qu’il n’a aucune raison de penser que les lois et pratiques du pays dans lequel il est situé seraient de nature à l’empêcher de respecter les garanties liées au transfert de données. Plus précisément, le contrat doit porter :

  • sur l’existence d’un droit pour les personnes concernées de faire respecter les engagements pris par l’importateur de données certifié ;
  • sur la question de la responsabilité en cas de non-respect des règles de la certification par un importateur de données situé à l’étranger et détenant une certification ;
  • sur l’existence d’un droit pour l’exportateur de faire appliquer à l’importateur de données les règles prévues par la certification ;
  • sur l’existence d’une obligation pour l’importateur de données de notifier à l’exportateur et à l’autorité de contrôle de l’exportateur de données toute mesure prise par l’organisme de certification en réponse à un non-respect détecté des règles de certification par l’importateur des données lui-même.

Pour conclure, le mécanisme de certification ainsi décrit peut sembler bien contraignant, avec l’obligation de se soumettre à une procédure de certification à laquelle s’ajoute l’obligation de prendre des engagements contraignants et exécutoires. L’avenir dira si cet outil fait l’objet d’une large adoption.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica EYNARD, Maître de conférences HDR en droit à l’Université de Toulouse Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
Aller plus loin
Mémento Concurrence Consommation
Ce Mémento vous donne les armes pour vous défendre contre vos concurrents, mais aussi pour promouvoir votre activité en respectant la loi
185,00 € TTC
Mémento Concurrence Consommation