A compter du 27 décembre 2022, les clauses contractuelles types encadrant les transferts hors UE concluent avant le 27 septembre 2021 sur la base des décisions antérieures de la Commission européenne ne seront plus réputées offrir des garanties appropriées au sens du règlement général sur la protection des données (RGPD, article 46).
Seules les nouvelles clauses publiées par la Commission européenne en juin 2021 produiront des effets juridiques (Commission européenne, Décision d’exécution 2021/914 du 4 juin 2021).
Cette date buttoir est donc inscrite dans le calendrier de nombreux délégués à la protection des données.
Rappelons que les précédentes versions de CCT avaient aussi été adoptées par la Commission européenne en 2001 (puis amendées en 2004) et en 2010. Elles consistaient en deux jeux de clauses, régissant d’une part, les transferts entre responsables de traitements et, d’autre part, entre responsable de traitement européen et sous-traitant de pays tiers.
L’entrée en application du RGPD, conjuguée aux deux arrêts Schrems rendus par la Cour de justice de l’Union européenne, ont renforcé l’usage de ces clauses par les responsables de traitement tout en mettant en lumière la nécessité de leur mise à jour.
Dans son arrêt Schrems II du 16 juillet 2020, la Cour de Luxembourg a ainsi confirmé la validité de ces clauses et de leur usage pour un transfert vers un pays tiers. La Cour a toutefois indiqué qu’il appartenait aux acteurs d’évaluer si elles étaient suffisantes à garantir un niveau de protection des données équivalent au RGPD à elles seules, notamment au regard de la législation du pays de destination des données à caractère personnel. Dans cette même décision, la CJUE invalidait en outre la décision d’adéquation qui consacrait la présence d’un tel niveau de protection aux Etats-Unis, jugeant justement que la législation américaine, en permettant aux services de renseignement un accès trop libéral aux données traitées sur le territoire américain, ne garantissait pas une telle protection.
Afin de répondre à la nécessité de mettre à jour cet outil, la Commission européenne a donc publié une nouvelle version de CCT.
Quelles sont les nouveautés apportées par les nouvelles CCT
- Une structure modulable
La première nouveauté de ces CCT est d’ordre structurel : plus flexibles que les précédentes, elles adopte un socle commun de mesures qui sont complétées par quatre modules, choisis par les parties contractantes en fonction de la nature de leur qualification juridique, et couvrant les situations suivantes :
- Module 1 : transfert de responsable de traitement à responsable de traitement (controller to controller, ou « C2C ») ;
- Module 2 : transfert du responsable de traitement à son sous-traitant (controller to processor, ou « C2P ») ;
- Module 3 : transfert entre sous-traitants (processor to processor, ou « P2P ») ;
- Module 4 : transfert d’un sous-traitant au responsable de traitement (processor to controller ou « P2C »).
Cette version de CCT innove en outre par l’ajout des modules P2P et P2C, dont l’absence pouvait créer des incertitudes quant à l’encadrement des flux de données à caractère personnel. L’existence du module 4 confirme par ailleurs que la Commission considère comme un transfert le renvoi de données par un sous-traitant soumis au RGPD à un responsable de traitement qui ne l’est pas. Il devrait en résulter des situations où des données se retrouvent soumises au RGPD lors de leur renvoi par le prestataire, alors qu’elles ne l’étaient pas à l’origine ; les entreprises devront donc veiller à assurer la conformité de ces transferts.
- Une meilleure intégration des CCT dans les relations contractuelles
Cette nouvelle version, outre les questions relatives aux transferts de données, reprend en outre l’intégralité des critères de l’article 28 du RGPD nécessaire à l’exécution de tout ou partie du traitement par un sous-traitant (modules 2 et 3). Comme l’indique explicitement le considérant 9 de la décision d’exécution de la Commission, ces clauses seules constituent dès lors un accord contractuel satisfaisant permettant de satisfaire aux exigences de l’article 28 du RGPD.
Il convient par ailleurs de noter la présence, à l’article 7 des nouvelles CCT, d’un mécanisme permettant à une entité tierce d’y adhérer à tout moment durant la vie du contrat, lui conférant les droits et obligations issus de ces mêmes clauses. Cette clause d’adhésion présente un moyen bienvenu pour les entreprises, et notamment les groupes constitués de plusieurs sociétés, d’encadrer leurs transferts internes ou externes sans recourir à une multitude d’accords bipartites.
Enfin, dans le cadre des anciennes CCT, l’exportateur de données devait être basé dans l’Union européenne. Cet outil était donc indisponible aux exportateurs établis hors de l’Union mais restant soumis au RGPD en vertu de son article 3 qui prévoit l’application du règlement aux entités non établies sur le territoire de l’UE mais qui offrent des biens ou des services, ou qui procèdent au suivi du comportement, de personnes sur le territoire de l’Union, indépendamment de la situation géographique du responsable de traitement. Les nouvelles CCT corrigent cette difficulté en supprimant toute limitation basée sur la localisation de l’exportateur de données.
- De nouvelles obligations fondées sur l’évaluation de la sécurité du traitement
Conséquence directe de l’arrêt Schrems II, la clause 14 prévoit également de nouvelles obligations pour les parties, à savoir :
- Pour l’exportateur de données, l’obligation de considérer le niveau de protection des données personnelles résultant de la législation du pays destinataire ;
- Pour l’importateur, l’obligation de notifier à l’exportateur toute impossibilité de se conformer aux CCT (notamment en raison de la législation nationale a laquelle il est soumis), une telle impossibilité résultant en l’obligation pour l’exportateur de suspendre les transferts ou de mettre fin à l’accord conclu avec l’importateur.
Ainsi, par la signature des CCT, les parties garantissent qu’elles n’ont pas raison de croire que la législation applicable à l’importateur, incluant toute obligation de divulgation ou d’accès à la demande d’une autorité publique, empêchent ce dernier de se conformer aux clauses.
Cette garantie est basée sur l’analyse des éléments suivants :
- Les circonstances particulières du transfert (finalité, personnes concernées, secteur économique, canaux de transmission des données…) ;
- La législation et les pratiques du pays tiers de destination, notamment celles exigeant la divulgation ou l’accès aux données par des autorités publiques ;
- Les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place par les parties pour compléter les CCT afin d’assurer un niveau de protection équivalent à celui de l’UE.
Il résulte de cette obligation la nécessité de réaliser un réel travail d’analyse du cadre législatif des pays tiers vers lesquelles les données sont transférées : la vie privée y est-elle consacrée comme droit fondamental ? De quelles prérogatives disposent les autorités publiques, et notamment les agences de renseignement ou les services régaliens ? L’autorité judiciaire exerce t-elle un contrôle sur d’éventuelles injonctions de divulgation des données personnelles ?
Enfin, et dans cette même optique, la partie recevant les données se voit imposer de nouvelles obligations visant à encadrer ces exigences d’accès ou de divulgation de la part d’une autorité publique ou judiciaire. Elle doit ainsi tenir informée l’exportateur des données de telles requêtes, en documenter chaque étape (cette documentation devant être fournie à l’exportateur ou l’autorité de contrôle compétente à sa demande), et surtout la contester si elle estime qu’elle est illicite au regard de la législation nationale, notamment « en épuisant les possibilités d’appel » (considérant 22 de la décision d’implémentation).
Quelles actions entreprendre ?
Il convient d’abord de rappeler que les CCT ne sauraient être modifiées ou les obligations qui en découlent atténuées par les parties. Ces dernières restent, comme le rappelle le considérant 3 de la décision d’exécution, « libres d’inclure ces clauses contractuelles types dans un contrat plus large et d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. »
Dès lors, l’usage par toute organisation de CCT pour assurer la légalité de ses transferts de données, et ainsi sa conformité avec le RGPD, implique la stricte conformité avec les nouvelles obligations précitées.
Cela implique certaines actions à mettre en œuvre par les entreprises qui doivent s’assurer de la conclusion de nouvelles CCT afin que tout transfert de données reposant sur ce mécanisme demeure conforme au RGPD.
Ainsi, les travaux suivants doivent être entrepris :
- Identifier, pour chaque transfert soumis à des CCT, le module applicable et les obligations qui en découlent ;
- Identifier lesquels de ces transferts sont encore soumis aux précédentes CCT, et organiser leur substitution à la nouvelle version avant le 27 décembre ;
- Effectuer les études de la sécurité de ces transferts au regard des nouveaux critères imposés par les CCT, et notamment des législations des pays tiers vers lesquels les données sont transférées ;
- Prendre, lorsque cela apparaît nécessaire, les mesures de protection additionnelles pour garantir un niveau de protection équivalent à celui existant au sein de l’UE ;
- Prévoir les moyens nécessaires à l’explication de ces nouvelles obligations aux sous-traitants et partenaires hors de l’Union européenne.
Mathias Avocats peut vous accompagner dans ce processus de mise en conformité.