DES TRANSFERTS NOMBREUX, UN ENCADREMENT JURIDIQUE COMPLEXE

Aujourd’hui, la majorité des organisations ont besoin de transférer des données vers d’autres pays pour exercer leurs activités de manière efficace. Si, dans de nombreux cas, ce transfert en dehors du territoire national peut se faire relativement facilement et librement, certains pays appliquent néanmoins des restrictions lorsque le transfert concerne des données à caractère personnel. C’est notamment le cas de certains pays africains.

Comment effectuer légalement des transferts transfrontaliers de données à caractère personnel ?

La plupart des lois nationales sur la protection des données (telles que la loi sur la protection des informations personnelles (POPIA) (1) en Afrique du Sud ou la loi sur la protection des données (2) au Botswana) prévoient que toute personne traitant des données à caractère personnel ne peut les transférer hors du territoire national que dans certains cas. En général, il s’agit des cas suivants :

• le pays destinataire offre une protection des données à caractère personnel similaire ou conforme à celle offerte dans le pays d’origine ;
• un instrument, par exemple une loi, des règles d’entreprise contraignantes (BCR) ou un contrat (intégrant des clauses de protection des données), assure la protection des données à caractère personnel ;
• la personne concernée consent à ce que ses données à caractère personnel soient transférées à un tiers dans un pays étranger ;
• le transfert est nécessaire à l’exécution d’un contrat (ou de mesures précontractuelles) conclu entre le responsable du traitement et la personne concernée ;
• le transfert est nécessaire à l’exécution d’un contrat (ou de mesures précontractuelles) conclu entre le responsable du traitement et un tiers dans l’intérêt de la personne concernée ; ou
• le transfert est effectué au bénéfice de la personne concernée, sous réserve de certaines restrictions.

Existe-t-il des conditions propres à chaque pays en matière de transfert de données à caractère personnel sur le continent africain ?

La plupart des pays conditionnent la licéité des transferts transfrontaliers des données à caractère personnel au respect des critères visés ci-dessus, mais il existe également d’autres critères propres à chaque pays. Par exemple, à l’instar du système de décision d’adéquation prévu dans l’Union européenne par le RGPD (3), le Botswana (4) et le Nigeria (5) ont choisi d’établir une liste de pays qu’ils considèrent comme offrant une protection adéquate des données à caractère personne et vers lesquels les transferts sont autorisés. En revanche, en Afrique du Sud, l’autorité de contrôle nationale (Information Regulator) s’est prononcée à plusieurs reprises contre l’établissement d’une telle liste blanche de pays adéquats, car elle estime qu’il incombe aux responsables du traitement d’évaluer eux-mêmes l’existence d’une protection adéquate pour les données à caractère personnel qu’ils envisagent de transférer.

De nombreux pays africains exigent également d’obtenir l’autorisation préalable des autorités nationales au transfert. Ainsi, en Ouganda, la loi de 2019 sur la protection des données et de la vie privée (DPPA) et ses règlements (6) exigent des responsables du traitement ou des sous-traitants qu’ils démontrent à l’Office de protection des données personnelles que le pays destinataire assure une protection adéquate des données personnelles équivalente à celle prévue par la DPPA ou que la personne concernée a donné son consentement au transfert. Ce type d’exigences peut être plus ou moins plus strict selon les pays.

Conclusion

Le transfert de données, en particulier de données à caractère personnel, est nécessaire aux activités commerciales, mais de nombreux pays imposent de prendre des mesures afin que les données à caractère personnel de leurs citoyens soient protégées y compris lorsqu’elles font l’objet d’un transfert transfrontalier. Pour vous assurer de la conformité de vos opérations de transfert, il recommandé de prendre les mesures suivantes :

• identifiez précisément les pays vers lesquels vous envisagez de transférer des données à caractère personnel ;
• assurez-vous de bien comprendre les exigences spécifiques prévues pour effectuer des transferts de données dans chacun de ces pays ;
• déterminez si le droit du pays destinataire offre bien une protection adéquate, en réalisant une évaluation des pays concernés et de leurs lois ;
• dans la négative, décidez de la conduite à adopter. Déterminez les mesures à mettre en place pour protéger les données à caractère personnel en fonction des exigences spécifiques en vigueur dans le pays concerné ;
• soyez conscient des conséquences et des sanctions (pénales et civiles) possibles en cas de non-respect de ces exigences.

(1) The Protection of Personal Information Act 4 of 2013

(2) The Data Protection Act Botswana 32 of 2018

(3) Règlement général sur la protection des données (UE) 2016/679)

(4) « Transfer of Personal Data Order 2022 » du 29 juillet 2022. Consultable à l’adresse : https://www.michalsons.com/wp-content/uploads/2022/10/Botswana-Transfer-of-Personal-Data-Order-2022.pdf

(5) The Nigerian Data Protection Regulation 2019: Implementation Framework, Annexure C

(6) Section 30, Data Protection and Privacy Regulations, 2021

LISA EMMA–IWUOHA

southafrica@lexing.network

En Belgique, la question des transferts de données s’est posée dans la matière spécifique des marchés publics. Le Conseil d’Etat, la plus haute juridiction administrative du pays, a en effet été amené à se prononcer sur ce sujet dans plusieurs récents arrêts.

Les deux premiers arrêts analysés, tous deux prononcés avant l’adoption du nouveau data privacy framework, concernent la même procédure de passation et impliquent une procédure relative à la mise en place d’un Centre de mobilité lancée par la Communauté flamande. Le cahier spécial des charges contenait un certain nombre de garanties quant au traitement des données des usagers, et notamment – en réponse à l’arrêt « Schrems II » – une clause imposant aux soumissionnaires de démontrer le respect intégral des dispositions du RGPD en cas de transfert de données vers les Etats-Unis sous peine d’exclusion du marché.

Le pouvoir adjudicateur a attribué le marché à une société en se bornant à indiquer, au sujet de la conformité de l’offre par rapport aux dispositions du RGPD : « le traitement des données à caractère personnel conformément aux règles en vigueur est un sujet de préoccupation ». Saisi d’un recours en suspension d’extrême urgence par un des soumissionnaires évincés, le Conseil d’Etat a suspendu la décision d’attribution au motif, notamment, que la motivation de la décision d’attribution attaquée ne permettait pas de vérifier que le pouvoir adjudicateur avait réellement procédé à l’examen de la régularité des offres par rapport à leur conformité au RGPD.

A la suite de ce premier arrêt, le pouvoir adjudicateur a retiré la première décision d’attribution et pris une nouvelle décision, toujours en faveur de la même société. Le même soumissionnaire évincé a alors introduit un nouveau recours à l’encontre de cette nouvelle décision, recours finalement rejeté par le Conseil d’Etat. Ce dernier a en effet relevé le soin particulier apporté cette fois à la vérification du respect des dispositions relatives au traitement des données personnelles. Il n’a donc pas suivi le soumissionnaire évincé qui estimait que la seule possibilité pour l’adjudicataire de marché de transférer des données vers les Etats-Unis violait l’article 44 du RGPD. (1)

Le dernier arrêt analysé implique quant à lui une intercommunale hospitalière qui avait lancé un marché public de services relatif à la souscription à un outil collectif d’analyse et de feed-back relatif à l’activité hospitalière. Dans ce cas-ci, le marché avait été attribué à un soumissionnaire dont l’offre mentionnait des transferts de données à une société tierce située en Russie. Or, ni le rapport des offres ni la décision d’attribution ne comportaient d’explications relatives à une éventuelle vérification du respect du RGPD. En l’espèce, le pouvoir adjudicateur s’était borné à indiquer « régularité : oui ».

Saisi d’un recours intenté par un soumissionnaire écarté, le Conseil d’Etat a maintenu sa jurisprudence selon laquelle il incombe au pouvoir adjudicateur d’opérer les vérifications qui s’imposent et d’indiquer les raisons pour lesquelles il peut estimer que l’offre présente des garanties suffisantes permettant de considérer que les données confiées seront traitées conformément au RGPD. (2)

La jurisprudence du Conseil d’Etat belge est donc unanime sur l’importance de vérifier dans les faits et au stade de l’attribution du marché que l’offre du soumissionnaire est bien conforme au RGPD. Il ne suffit pas de réclamer des éléments justifiants à première vue une conformité au RGPD lors de la remise des offres, encore faut-il procéder à un examen réel de celles-ci.

Des arrêts susmentionnés, nous pouvons dès lors conclure que le pouvoir adjudicateur, en tant que responsable du traitement, a l’obligation d’examiner la conformité des offres qui lui sont remises au RGPD, en particulier lorsque celles-ci impliquent un transfert de données vers des Etats tiers. Pour ce faire, il veillera en particulier à soigner la rédaction des cahiers des charges ainsi que la motivation de la décision d’attribution.

(1) Le texte intégral de ces deux arrêts est disponible en néerlandais aux adresses suivantes :

http://www.conseildetat.be/Arresten/250000/500/250599.pdf ;

http://www.conseildetat.be/Arresten/251000/300/251378.pdf.

(2) Le texte intégral de cet arrêt est disponible en français à l’adresse suivante : http://www.conseildetat.be/Arrets/253000/600/253677.pdf.

JEAN-FRANCOIS HENROTTE

belgium@lexing.network

En Chine, un responsable du traitement (1) est autorisé à transférer, à des fins commerciales, des données à caractère personnel hors du territoire national à condition de remplir l’une des conditions suivantes, prévues par la loi sur la protection des données à caractère personnel (Personal Information Protection Law – PIPL) :

• a) passer avec succès une évaluation de sécurité réalisée par l’administration du cyberespace ;
• b) obtenir une certification en matière de protection des données personnelles délivrée par un organisme spécialisé conformément aux règles établies par l’administration du cyberespace ;
• c) conclure avec le destinataire des données établi à l’étranger un contrat, à l’aide du modèle élaboré par l’administration du cyberespace, qui stipule clairement les droits et obligations de chaque partie.

Ainsi, la condition c) ci-dessus permet à un responsable du traitement chinois d’exporter des données par une voie juridique équivalente aux clauses contractuelles types (CCT) prévues dans l’Union européenne par le RGPD. Un règlement spécifique régissant les CCT chinoises, auquel était annexé le modèle tant attendu de clauses, a été publié par les autorités au début de l’année 2023.

Tout d’abord, il convient de noter que le recours aux CCT n’est possible que dans les cas suivants :

• a) le responsable du traitement n’est pas un opérateur d’infrastructures d’informations critiques ;
• b) le nombre de personnes dont les données sont traitées est inférieur à un million ;
• c) le nombre cumulé de personnes concernées par l’exportation de données depuis le 1er janvier de l’année précédente est inférieur à 100 000 ;
• d) en cas de données sensibles, le nombre cumulé de personnes concernées par l’exportation de données depuis le 1er janvier de l’année précédente est inférieur à 10 000.

Sauf indication contraire de la loi, de la réglementation ou de l’administration du cyberespace, toutes les conditions susmentionnées sont cumulatives.

En outre, les CCT conclues doivent être déposées auprès du bureau local de l’administration du cyberespace dans les 10 jours ouvrables suivant leur date d’entrée en vigueur, et être accompagnées d’un rapport sur l’analyse d’impact sur la protection des données (« AIPD ») qui doit impérativement être réalisée par le responsable du traitement avant toute exportation des données vers un destinataire étranger.

Toute clause ajoutée par les parties doit être jointe aux CCT au sein d’une annexe 2, étant précisé que ces clauses supplémentaires ne peuvent être en contradiction avec les termes des CCT.

Selon les CCT chinoises, le responsable du traitement est soumis au respect des obligations suivantes :

• a) il fournit des données à caractère personnel au destinataire étranger en s’assurant qu’elles soient limitées au strict minimum au regard de la finalité du traitement ;
• b) il informe la personne concernée de l’identité et des coordonnées du destinataire étranger, de la finalité et des modalités du traitement des données, de la catégorie de données concernées et de la durée de conservation des données, conformément aux informations relatives à la description du transfert figurant en annexe 1 des CCT, ainsi que des modalités et de la procédure selon lesquelles la personne concernée peut exercer les droits qui lui sont conférés par la loi. Lorsque des données à caractère personnel sensibles sont concernées, il informe également la personne concernée de la nécessité de fournir de ce type de données et de l’incidence sur ses intérêts personnels (2) ;
• c) il obtient le consentement de la personne concernée lorsque le transfert transfrontalier de données est fondé sur le consentement. Lorsque la personne concernée est un mineur de moins de 14 ans, il obtient le consent de ses parents ou de son tuteur légal ;
• d) il informe la personne concernée de sa qualité de tiers bénéficiaire en vertu des CCT ;
• e) Il fait tout son possible pour veiller à ce que le destinataire étranger adopte des mesures techniques et organisationnelles adaptées au risque pour assurer la sécurité des données ;
• f) il fournit, sur demande, au destinataire étranger une copie des textes législatifs et règlementaires, ainsi que des normes techniques, pertinents ;
• g) il répond aux demandes de renseignements formulées par les autorités compétentes concernant le traitement des données par le destinataire étranger ;
• h) il effectue une AIPD, et en établit un rapport qu’il conserve pendant une durée d’au moins trois ans ;
• i) il fournit, sur demande, à la personne concernée une copie des CCT, étant précisé qu’il est possible d’occulter une partie du texte dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles ;
• j) il supporte la charge de la preuve du respect des obligations découlant des CCT ;
• k) il fournit, sur demande, aux autorités compétentes, toutes informations pertinentes sur le destinataire étranger.

Le destinataire étranger est, quant à lui, tenu de respecter les obligations suivantes :

• a) il traite les données conformément aux informations relatives à la description du transfert figurant en annexe 1 des CCT et obtient, le cas échéant, le consentement de la personne concernée ou de ses parents/tuteurs lorsque le traitement est fondé sur le consentement ;
• b)  il fournit, sur demande, à la personne concernée une copie des CCT, étant précisé qu’il est possible d’occulter une partie du texte dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles ;
• c) il désigne un point de contact unique chargé de répondre rapidement aux demandes de renseignements ou aux réclamations et communique cette information au responsable du traitement, ainsi qu’aux personnes concernées, soit individuellement, soit par l’intermédiaire de son site web ;
• d) Il traite les données à caractère personnel de telle sorte que l’impact sur les intérêts personnels de la personne concernée reste minime ;
• e) il supprime toutes les données à caractère personnel à l’issue de leur période de conservation définie. En cas de résolution, d’invalidité, d’annulation ou de résiliation du contrat conclu avec le responsable du traitement, il renvoie les données à caractère personnel au responsable du traitement ou les supprime ;
• f) il met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données à caractère personnel, veille à ce que les membres de son personnel respectent strictement leur obligation de confidentialité, et met en place un contrôle d’accès aux données à caractère personnel afin de s’assurer que les données ne soient communiquées qu’aux seules personnes ayant besoin de les connaître ;
• g) il prend rapidement, en cas d’incident, des mesures correctives et d’atténuation et en informe le responsable du traitement ;
• h) il s’assure de remplir les conditions préalables prescrites avant de transférer des données à caractère personnel à un tiers situé en dehors de la République populaire de Chine ;
• i) il veille à éviter toute discrimination déraisonnable, en termes de conditions commerciales, vis-à-vis des personnes concernées, lorsque les données à caractère personnel sont utilisées dans le cadre d’une prise de décision automatisée ;
• j) il met à disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations dans le cadre des traitements qui lui ont été confiés, permet la réalisation d’audits par le responsable du traitement en lui donnant accès aux données et documents pertinents, et contribue à ces audits ;
• k) il documente ses activités de traitement dans un registre, dont il assure la conservation pendant une durée d’au moins trois ans, et met ce registre à la disposition des autorités compétentes, directement ou par l’intermédiaire du responsable du traitement ;
• l) il coopère avec les autorités compétentes en cas de contrôle.

Le responsable du traitement et le destinataire étranger s’engagent à prendre les mesures raisonnables nécessaires aux fins de s’assurer qu’il n’existe aucune exigence législative ou réglementaire susceptible de les empêcher de s’acquitter des obligations qui leur incombent en vertu des CCT. En outre, le destinataire étranger s’engage à informer le responsable du traitement rapidement, après en avoir pris connaissance, de toute modification législative ou réglementaire susceptible de rendre impossible l’exécution des CCT ou de toute demande reçue d’une autorité publique ou judiciaire en vue de la divulgation de données à caractère personnel objets des CCT.

Les parties se tiennent mutuellement informées de tout litige avec une personne concernée et s’engagent à coopérer en vue de le résoudre.

Le responsable du traitement peut suspendre l’exécution des CCT en cas de non-respect par le destinataire des données de ses obligations ou lorsque des modifications législatives ou réglementaires dans le pays étranger concerné rendent impossible l’exécution des CCT par le destinataire des données.

Le responsable du traitement a également le droit de mettre fin aux CCT et d’en informer, le cas échéant, l’autorité de régulation, lorsque :

• a) les CCT ont fait l’objet d’une suspension et le respect des CCT n’est pas rétabli dans un délai d’un mois à compter de la suspension ;
• b) l’exécution des CCT par le destinataire étranger enfreint des dispositions législatives ou réglementaires en vigueur dans ce pays ;
• c) le destinataire étranger enfreint gravement ou de manière persistante les CCT ;
• d) le responsable du traitement ou le destinataire étranger a été reconnu coupable d’avoir enfreint les obligations qui lui incombent au titre des CCT dans le cadre d’une décision passée en force de chose jugée d’une juridiction ou d’une autorité compétente dans le pays du destinataire étranger.

Le destinataire étranger a, pour sa part, la possibilité de résilier aux CCT dans les cas a), b) et d) visés ci-dessus.

Par ailleurs, la personne concernée a le droit d’intenter une action en justice contre le responsable du traitement ou le destinataire étranger, ou contre ces deux parties dans le cas où ils seraient responsables conjointement et solidairement.

Enfin, il convient de relever que les CCT chinoises doivent être utilisées depuis le 1er juin 2023 et que tout transfert effectué avant cette date devait être régularisé au plus tard le 1er décembre 2023.

(1) Terminologie. Il convient de bien maîtriser la terminologie de la PIPL, qui peut inclure un certain nombre de faux amis. En effet, dans la version anglaise de la PIPL, le « data processor » (PIPL, article 73) désigne « toute organisation ou personne qui détermine, de manière indépendante, la finalité et les moyens du traitement lors du traitement des informations personnelles ». Ainsi, le « processor » chinois correspond au « controller » européen (responsable du traitement), défini dans le RGPD (RGPD, article 4) comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement », tandis le « processor » européen (sous-traitant ») correspond dans la version anglaise de la PIPL, à une « entrusted party for data processing » (c’est-à-dire à la partie en charge du traitement des données) (PIPL, article 21). (Cf. Lexing Insights #34 , « Etude comparée des dispositions de la PIPL et du RGPD », Jun Yang, oct. 2022).

(2) A noter que, lorsque ses données à caractère personnel ont déjà été transférées à l’étranger, la personne concernée peut exercer ses droits auprès tant du responsable du traitement que du destinataire étranger. S’il n’est pas en mesure de satisfaire la demande de la personne concernée, le responsable du traitement peut solliciter l’assistance du destinataire étranger.

JUN YANG

china@lexing.network

L’approche adoptée par l’autorité grecque de protection des données (HDPA) en matière de transferts transfrontaliers de données peut être illustrée par sa décision emblématique de 2021 à l’encontre du ministère grec de l’éducation concernant sa plateforme d’enseignement à distance à destination des élèves d’écoles primaires et secondaires fournie par un tiers établi aux Etats-Unis.

En septembre 2020, la HDPA a rendu un avis 4/2020 (1), dans lequel elle donnait au ministère de l’éducation des conseils sur la manière d’assurer la conformité au RGPD de sa plateforme d’apprentissage en ligne. Dans cet avis, la HDPA fait part de ses préoccupations concernant un certain nombre de risques pour les données à caractère personnel soulevés par les dispositions du contrat conclu avec le tiers fournisseur américain, tels que l’utilisation des adresses électroniques personnelles des enseignants et leur transmission électronique à ce tiers, même dans le cas où un enseignant n’aurait pas activé son compte, ou encore le transfert de données en dehors de l’UE.

Un an plus tard, en 2021, la HDPA a passé en revue les mesures prises par le ministère pour se conformer aux points soulevés dans son avis 4/2020 et procédé à l’évaluation de l’analyse d’impact sur la protection des données (AIPD). Au terme de cet examen, la HDPA a identifié une série de violations et rappelé à l’ordre le ministère, dans une décision 50/2021 (2).

S’agissant plus particulièrement du transfert de données à caractère personnel en dehors de l’UE, la HDPA avait initialement relevé, dans son avis 4/2020, que la possibilité d’utiliser un centre de données en dehors de l’UE, du moins en cas de « défaillance » technique, n’était pas exclue. Elle avait donc recommandé au responsable du traitement d’étudier l’arrêt C-311/18 de la CJUE, de bien s’assurer de l’absence de possibilité de transfert de données à caractère personnel en dehors de l’UE, et de vérifier le régime juridique applicable dans le pays de l’importateur, afin de garantir, en tout état de cause, l’application des droits des personnes concernées. Enfin, la HDPA attirait l’attention sur les risques existants en cas de recours, pour des opérations de traitement de données, à une société soumise à la législation américaine (notamment, la section 702 de la loi FISA et le décret présidentiel n°12333), et ce quel que soit le lieu où les données sont localisées.

Or, dans sa décision postérieure n°50/2021, la HDPA identifie la persistance de plusieurs problèmes majeurs. Premièrement, elle relève une absence notable d’étude approfondie concernant le respect par la société tierce de son engagement à s’interdire de transférer des données à caractère personnel en dehors de l’UE/l’EEE sans notification préalable. Deuxièmement, la HDPA rejette l’argument mettant en avant la réalisation d’une évaluation par la société tierce, soulignant que cette évaluation ne lui avait pas été fournie, et remet en question l’applicabilité de règles d’entreprise contraignantes de ladite société en l’espèce. Troisièmement, la HDPA affirme que la société tierce soumise au droit américain n’offrait pas, de ce fait, d’un niveau adéquat de protection des données. L’autorité demande par conséquent la fourniture de preuves détaillées démontrant que la législation américaine ne sera appliquée ni aux données transférées ni à l’importateur de données.

Enfin, la HDPA rappelle la nécessité d’évaluer les transferts de données en dehors de l’EEE au regard de la décision (UE) 2021/914 de la Commission européenne relative aux clauses contractuelles types, dont l’entrée en vigueur était prévue à l’époque pour le 27 septembre 2021.

En conclusion, cette affaire importante de l’autorité grecque, prononçant un rappel à l’ordre à l’encontre du ministère de l’éducation pour ne pas avoir garanti un niveau adéquat de protection de données à caractère personnel lors de leur transfert en dehors de l’UE, constitue une bonne illustration des écueils rencontrer lors des flux transfrontières et que les législateurs des deux côtés de l’océan Atlantique aspirent à éviter avec le nouveau cadre de protection des données UE – États-Unis (Data Privacy Framework).

(1) Avis 4/2020 sur l’enseignement moderne à distance dans les écoles primaires et secondaires

(2) Décision 5/2021 sur le processus moderne d’enseignement à distance par le ministère de l’éducation

GEORGE BALLAS & NIKOLAOS PAPADOPOULOS

greece@lexing.network

La législation en matière de protection des données à caractère personnel en vigueur à Hong Kong ne restreint pas le transfert de données à caractère personnel hors du territoire hongkongais Cela ne signifie pas pour autant qu’il n’existe aucune règle encadrant les transferts transfrontaliers de données à caractère personnel en vue d’assurer leur protection. Cette protection peut se faire par différents moyens, et notamment par voie contractuelle.

Qu’est-ce qu’un utilisateur de données dans le droit hongkongais ?

Dans le droit hongkongais, un « utilisateur de données » (data user) désigne une personne qui, seule ou conjointement avec d’autres personnes, contrôle la collecte, la détention, le traitement ou l’utilisation des données à caractère personnel. La notion de contrôle est un ici essentiel. N’est pas un utilisateur de données toute personne qui ne détient, ne traite ou n’utilise pas de données à caractère personnel pour son propre compte. Un utilisateur de données est donc assimilable à un « responsable du traitement » en vertu du RGPD européen.

Un utilisateur de données se voit imposer certaines obligations en vertu de l’ordonnance sur les données personnelles (Personal Data (Privacy) Ordinance, « PDPO »), et notamment celle d’assurer la protection des données à caractère personnel lors des transferts transfrontaliers, que ce transfert ait lieu vers un autre utilisateur de données ou vers un sous-traitant.

Qu’est-ce qu’un sous-traitant dans le droit hongkongais ?

Un sous-traitant (data processor) est une personne qui traite des données à caractère personnel pour le compte d’une autre personne (un utilisateur de données), et non pour ses propres besoins. Un accord de traitement des données est généralement conclu entre l’utilisateur de données et le sous-traitant pour la réalisation de finalités fins spécifiques. Dans le droit hongkongais, le terme « traitement » désigne toute opération de modification, d’augmentation, de suppression ou de réorganisation des données, effectuée ou non à l’aide de moyens automatisés.

Les règles applicables aux sous-traitants

Le Commissaire à la protection de la vie privée pour les données personnelles à Hong Kong (« PCPD ») n’encadre pas directement les sous-traitants. Il fait peser cette responsabilité aux utilisateurs de données en leur imposant de s’assurer que leurs sous-traitants satisfont à certaines exigences, notamment prévues par les principes de protection des données (« PPD »). Ainsi, les utilisateurs de données sont tenus d’adopter des mesures, contractuelles ou non, pour :

• (a) empêcher le sous-traitant de conserver les données à caractère personnel plus longtemps que nécessaire (PPD 2) ; et
• (b) empêcher l’accès, le traitement, l’effacement, la perte ou l’utilisation non autorisés ou accidentels des données à caractère personnel (PPD 4).

Par ailleurs, un utilisateur de données est légalement responsable des actes de ses agents, en ce y compris les personnes chargées du traitement des données, que ce traitement soit réalisé à l’intérieur ou à l’extérieur de Hong Kong (article 65, PDPO).

Réglementation des transferts de données

A titre liminaire, il convient de noter que le terme « utilisation » au sens de la PDPO, comprend expressément la divulgation et le transfert. Cela signifie que les opérations de divulgation et le transfert entrent bien dans le champ des obligations de l’utilisateur de données. Un utilisateur de données doit informer explicitement (en termes généraux ou spécifiques) les personnes concernées des finalités pour lesquelles les données à caractère personnel seront utilisées et des catégories de personnes auxquelles les données sont susceptibles d’être transférées (PDD 1(3)). En conséquence, un utilisateur de données doit informer la personne concernée, au moment de la collecte des données à caractère personnel ou préalablement à celle-ci, de son intention de transférer les données à caractère personnel à d’autres utilisateurs de données ou de faire appel à des sous-traitants pour réaliser certaines des finalités pour lesquelles les données à caractère personnel ont été collectées. Si l’utilisateur de données souhaite utiliser les données pour d’autres finalités, il doit obtenir le consentement préalable des personnes concernées (PPD 3).

Mesures contractuelles

La solution la plus courante pour un utilisateur de données de s’acquitter de son obligation de protection des données à caractère personnel transférées dans le cadre d’un transfert transfrontalier de données est de conclure un contrat écrit. Il peut s’agir d’un contrat qui couvre la protection des données dans le cadre d’un ensemble contractuel global ou d’un contrat axé spécifiquement sur la protection des données. Le recours à la voie contractuelle est une bonne pratique pour plusieurs raisons. Elle permet à l’utilisateur de données prouver son respect des obligations légales qui lui incombent. Elle offre également à l’utilisateur des données la possibilité de se retourner contre l’importateur des données (il peut s’agit d’un autre utilisateur de données ou un sous-traitant) en cas de violation par celui-ci de ses obligations en matière de protection des données.

Clauses contractuelles types recommandées

Le PCPD a publié deux types de modèles de clauses contractuelles types (CCT) recommandées : l’une pour le transfert de données à caractère personnel d’un utilisateur de données vers un autre utilisateur de données, l’autre pour le transfert de données à caractère personnel d’un utilisateur de données vers un sous-traitant. Les CCT peuvent concerner le transfert de données à caractère personnel d’une entité établie à Hong Kong vers une autre entité située en dehors de Hong Kong, ou encore entre deux entités situées toutes deux en dehors de Hong Kong lorsque le transfert est contrôlé par un utilisateur de données établi à Hong Kong. L’objectif est de garantir aux données à caractère personnel transférées une protection équivalente à celle garantie sur le territoire hongkongais en vertu de la PDPO et des PPD.

Il n’est pas obligatoire de reprendre strictement et in extenso le texte des CCT hongkongaises. Selon le PCPD, les exportateurs de données sont en effet libres d’utiliser une autre formulation à condition qu’elle soit, en substance, conforme aux exigences contenues dans la PDPO. A cet égard, l’approche du PCPD diffère de celle adoptée dans l’Union européenne en ce qui concerne les clauses contractuelles types. D’ailleurs, le PCPD a expressément souligné que ses clauses types ne sont pas destinées à satisfaire aux exigences du RGPD européen ou à être considérées comme des alternatives aux clauses contractuelles types de la Commission européenne en vertu du RGPD.

Clauses contractuelles types recommandées à Hong Kong – Option « Transfert d’un utilisateur de données vers un utilisateur de données »

Lors d’un transfert de données à caractère personnel d’un utilisateur de données vers un autre utilisateur de données, l’exportateur et l’importateur de données utilisent tous deux les données à caractère personnel à des fins commerciales distinctes. C’est le cas, par exemple, dans le cadre d’une collaboration en matière de partage de données pour leurs activités professionnelles respectives. Les CCT hongkongaises n’opèrent pas de distinction entre utilisateurs de données selon qu’ils soient disjoints (c’est-à-dire qu’ils agissent de manière indépendante l’un envers l’autre en ce qui concerne les données à caractère personnel) ou conjoints (c’est-à-dire qu’ils prennent des décisions conjointes en ce qui concerne les données à caractère personnel).

Les CCT hongkongaises sont simplement recommandées et donc ne sont pas obligatoires. Elles sont cohérentes et bien rédigées. Néanmoins, le PCPD a confirmé qu’il était possible de s’en écarter pour afin de prendre en compte certaines considérations commerciales (sous réserve que l’effet substantiel des CCT soit préservé). Les parties peuvent donc être amenées à modifier les CCT.

Aux termes des CTT, afin d’assurer le respect des droits des personnes concernées, l’exportateur de données aide l’importateur de données à s’acquitter de ses obligations qui nécessitent une communication directe avec les personnes concernées.

Sur le plan pratique, lors de négociations commerciales, il peut être délicat de conserver des références expresses à la PDPO lorsque le droit applicable à l’ensemble des accords commerciaux n’est pas le droit hongkongais. Cette question se pose avec encore plus d’acuité dans le cadre d’accords de transfert ultérieur de données. Un compromis rédactionnel consiste à reprendre en substance le contenu des obligations prévues par la PDPO mais sans faire directement référence à celle-ci.

Enfin, il convient de souligner que, paradoxalement, les CCT recommandées restreignent le transfert de données à caractère personnel aux pays expressément autorisés. Si cette approche reflète les meilleures pratiques recommandées et contribue à garantir des niveaux de protection adéquats pour les données à caractère personnel transférées, il faut rappeler que le régime législatif hongkongais actuel ne restreint pas expressément ou directement le transfert transfrontalier de données à caractère personnel vers d’autres pays.

Clauses contractuelles types recommandées à Hong Kong- Option « Transfert d’un utilisateur de données vers un sous-traitant »

Lors d’un transfert de données à caractère personnel d’un utilisateur de données vers son sous-traitant, ce dernier doit utiliser les données à caractère personnel transférées uniquement pour le compte de l’utilisateur de données, et non à pour son propre compte.

Nombre de nos observations concernant les CCT d’utilisateur de données à utilisateur de données s’appliquent aux CCT d’utilisateur de données vers un sous-traitant. Notamment, les CCT recommandées d’utilisateur de données vers un sous-traitant prévoient que le sous-traitant s’engage à ce que les données à caractère personnel transférées soient adéquates et non excessives au regard des finalités de traitement. Or, cette obligation incombe généralement à l’utilisateur des données.

De fait, le sous-traitant qui reçoit les données n’est souvent pas en contact direct avec la personne concernée, puisqu’il n’est pas la partie qui a collecté les données à caractère personnel transférées et n’est donc pas être en mesure de d’en vérifier l’exactitude.

Ces CCT peuvent ainsi être aménagées afin de prévoir que le sous-traitant fournisse des informations et des conseils à l’utilisateur des données sur les besoins du sous-traitant en ce qui concerne les activités de traitement des données. Attention toutefois dans ce cas à ne pas modifier l’obligation essentielle de l’utilisateur des données.

Mesures contractuelles supplémentaires

Le PCPD admet que les CCT recommandées ne constituent pas une solution complète à tous les problèmes soulevés par les transferts transfrontaliers de données. Des dispositions contractuelles supplémentaires peuvent ainsi être nécessaires afin de compléter les CCT. Les CCT sont avant tout destinées à faciliter leur adoption par les petites et moyennes entreprises, et peuvent donc ne pas être adaptées aux grandes entreprises multinationales qui ont des besoins plus complexes et des exigences plus sophistiquées.

A titre d’exemple, le PCPD a communiqué des clauses contractuelles supplémentaires relatives aux :

• (a) droits de reporting, d’audit et d’inspection ;
• (b) obligations de notification des violations de données ; et
• (c) obligations d’assistance et coopération en matière de conformité.

Le PCPD préconise également de prévoir des dispositions relatives au partage des données dans les transferts entre utilisateurs de données afin de clarifier les rôles et responsabilités respectifs des utilisateurs de données ainsi que leurs obligations respectives en matière de coopération et de coordination.

Par ailleurs, il est d’usage d’inclure de dispositions en matière de obligations de responsabilité et de garantie dans le cadre de transferts de données, même si ces dispositions doivent être soigneusement négociées au cas par cas.

Conclusion

Les utilisateurs de données ont des obligations importantes et onéreuses en ce qui concerne les transferts transfrontaliers de données au départ de Hong Kong. Il existe des orientations détaillées sur la manière de remplir ces obligations. Ces orientations ont été préparées en vue de leur adoption par les entreprises de taille moyenne, avec une certaine souplesse d’adaptation (sans diminution de la protection substantielle) pour tenir compte des accords commerciaux globaux. Les lignes directrices prévoient que les utilisateurs de données veilleront à ce que des contrats soient mis en place en ce qui concerne le partage de données à caractère personnel avec d’autres utilisateurs de données et les accords de traitement avec les sous-traitants de données. Ces contrats peuvent, au choix, faire l’objet d’accords distincts, d’annexes à l’accord commercial principal ou de dispositions contractuelles dans le cadre de l’accord commercial principal. En fin de compte, ce n’est pas la forme qui importe, mais le fond et le contenu.

PÁDRAIG WALSH

ngkong@lexing.network

Introduction

À l’heure d’une économie mondiale interconnectée, les transactions commerciales impliquent nécessairement l’échange de données au-delà des frontières nationales. L’avènement de l’informatique en nuage et des plateformes numériques ains que la prolifération rapide des technologies de l’information et de la communication, accentuent le besoin de disposer d’un cadre juridique solide régissant les mouvemnts de données à destination ou au départ du territoire national. Dans ce contexte, l’Inde, dont l’économie numérique est en pleine croissance, est amenée à trouver un équilibre entre innovation et réglementation.

Le cadre juridique actuel en Inde

La législation principale encadrant le transfert de données en dehors du territoire indien se compose des règles sur les technologies de l’information (pratiques et procédures de sécurité raisonnables et données ou informations personnelles sensibles) de 2011 (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011) dites « règles SPDI ». Ces règles SPDI disposent que le transfert de données vers l’étranger est possible si les deux conditions suivantes sont remplies : (i) la personne concernée a donné son consentement au transfert ou le transfert est nécessaire à l’exécution d’un contrat conclu légalement entre l’organisation qui transfère les données (ou son représentante) et la personne concernée ; et (ii) le pays destinataire fournit le même niveau de protection des données que celui garantit par les règles SPDI. Par conséquent, si le consentement de la personne concernée est obtenu et si le pays destinataire offre un niveau de protection des données suffisant, le transfert peut avoir lieu sans autre formalité. Attention toutefois, dans certains cas, des exigences sectorielles spécifiques plus strictes peuvent s’appliquer, comme précisé ci-dessous.

Le futur cadre juridique en Inde

La loi sur la protection des données personnelles numériques de 2023 (The Digital Personal Data Protection Act, 2023), récemment promulguée, actualise la cadre juridique de l’Inde en matière de gouvernance des données. Elle met à jour, clarifie et consolide les textes existants sur la protection des données et marque une étape cruciale vers l’harmonisation du paysage réglementaire indien avec les normes mondiales contemporaines. La loi sur la protection des données personnelles numériques reconnaît, d’une part, le droit des individus à protéger leurs données personnelles et, d’autre part, le besoin légitime de traiter ces données. Aux termes de cette loi, le gouvernement central indien peut dresser une liste de pays vers lesquels les transferts effectués par un responsable du traitement sont soumis à des restrictions (1). Autrement dit, a contrario, cela signifie que le transfert de données est autorisé vers tous les pays, à l’exception de ceux expressément interdits par le gouvernement central. A l’heure actuelle, aucune liste de pays interdits n’a été diffusée. Des réglementations plus détaillées sur le transfert transfrontalier de données sont attendues très prochainement.

Les restrictions sectorielles

Certaines restrictions sectorielles, limitant les transferts transfrontaliers de données, peuvent s’appliquer. Sont notamment concernés :

• le secteur bancaire : la Banque de réserve de l’Inde (RBI), par le biais d’une circulaire portant sur le stockage des données de paiement intitulée « Storage of Payment System Data » (RBI/2017-18/153, DPSS.CO.OD No.2785/06.08.005/2017-2018), impose à toutes les sociétés de paiement de stocker les données des systèmes de paiement exclusivement sur des serveurs situés en Inde. Les données traitées en dehors de l’Inde doivent doivent être rapidement rapatriées des systèmes étrangers sur lesquelles elles se trouvent pour être exclusivement stockées sur le territoire national. Cette mesure e localisation des données par la RBI vise à protéger les données personnelles des citoyens en confinant leurs données aux serveurs situés à l’intérieur des frontières géographiques de l’Inde ;
• le secteur des assurances : les administrateurs tiers, les « TPA » au sens du règlement de 2016 (Insurance Regulatory and Development Authority of India (Third Party Administrators – Health Services) Regulations, 2016), ne sont pas autorisés à de communiquer les données des clients et les informations personnelles obtenues pour les polices d’assurance ou du service des réclamations en dehors du territoire indien.

Conclusion

Le paysage juridique indien concernant le transfert transfrontalier de données a récemment connu un changement important avec la promulgation de la loi sur la protection des données personnelles numériques de 2023. Cette loi dispose que le gouvernement central peut, par le biais d’une notification au journal officiel, imposer des restrictions au transfert de données à caractère personnel vers certains pays. La loi n’est pas encore entrée en vigueur, mais cela devrait être le cas très prochainement, et il faut donc s’y préparer activement.

Si pour le moment les transferts de données ne sont pas soumis à des restrictions strictes, cela pourrait par conséquent bientôt changer. Il convient également de noter que les lois indiennes imposent certaines restrictions sectorielles et que les régulateurs des différents secteurs ont le pouvoir d’appliquer des mesures de protection supplémentaires en fonction de la nature des données transférées.

(1) Aux termes de la section 2(i) de la loi un responsable du traitement (Data Fiduciary) désigne « la personne qui, seule ou conjointement avec d’autres, détermine la finalité et les moyens du traitement de données à caractère personnel ».

SIDDHARTHA GEORGE, BILAL LATEEFI & STUTI AGARWAL

india@lexing.network