Le 10 novembre 2020, le Comité européen de la protection des données (CEPD) qui réunit les CNIL européennes, a publié une recommandation sur les « mesures supplémentaires » à mettre en place par les entreprises et donc les cabinets d’expertise comptable, afin de s’assurer que les transferts de données personnelles vers des pays situés en dehors de l’Espace économique européen (EEE) soient conformes au RGPD.
Pour rappel, les transferts de données personnelles vers les Etats-Unis étaient autrefois encadrés par le « Privacy Shield », un cadre d’auto-certification permettant aux entités américaines de s’engager à respecter divers principes de protection des données, et dès lors, les autorisant à recevoir des données personnelles en conformité avec le RGPD. Après l’arrêt de la CJUE invalidant le « Privacy Shield », les responsables du traitement doivent vérifier au cas par cas si le prestataire américain avec qui ils travaillent (logiciel, cloud, CRM, visio, etc.) assure un niveau de protection des données personnelles essentiellement équivalent à celui garanti en Europe. Si ce n’est pas le cas, il faut adopter des mesures techniques, contractuelles et organisationnelles supplémentaires.
Le CEPD donne des exemples de ce que peuvent être ces mesures supplémentaires de protection :
- le chiffrement au repos et en transit à condition notamment que les données personnelles bénéficient d’un chiffrement fort avant leur transmission, que l’algorithme de chiffrement et son paramétrage puissent être considérés comme robustes par rapport à la cryptanalyse effectuée par les autorités publiques du pays destinataire compte tenu des ressources et des capacités techniques (par exemple, puissance de calcul pour les attaques par force brute) disponibles, que l’algorithme de chiffrement soit parfaitement mis en œuvre par un logiciel bénéficiant par exemple d’une certification et que les clés de chiffrement soient conservées uniquement sous le contrôle de l’exportateur de données ou d’autres entités chargées de cette tâche qui résident en Europe ou dans un pays tiers pour lequel la Commission européenne a établi, conformément à l’article 45 du RGPD, qu’il bénéficiait d’un niveau de protection adéquat ;
- la pseudonymisation, à condition notamment que les données transférées aient été pseudonymisées de façon à ce qu’elles ne puissent plus être attribuées à une personne spécifique, ni être utilisées pour isoler la personne concernée dans un groupe plus large sans l’utilisation d’informations supplémentaires, que ces informations supplémentaires soient exclusivement détenues par l’exportateur de données et conservées séparément dans un État européen ou dans un pays tiers bénéficiant d’un niveau de protection adéquat d’après la Commission européenne et que la divulgation ou l’utilisation non autorisée de ces informations supplémentaires soit empêchée par des mesures de protection techniques et organisationnelles appropriées ;
- ajout dans le contrat avec le prestataire d’obligations de transparence (information de l’entreprise sur l’accès aux données par les autorités publiques du pays destinataire y compris dans le domaine du renseignement) ;
- ajout dans le contrat d’obligations pour le prestataire de prendre des mesures spécifiques en cas d’ordonnances de divulgation prises par les autorités publiques du pays destinataire ;
- ajout dans le contrat de l’engagement par le prestataire d’aider les personnes physiques concernées à exercer leurs droits dans la juridiction du pays tiers par le biais de mécanismes de recours ad hoc et de conseils juridiques.