La publication par la Commission européenne de nouvelles clauses contractuelles types pour le transfert de données à caractère personnel en dehors de l’Union européenne représente une étape clé dans la transition vers un nouveau cadre règlementaire en la matière.
Ainsi, elle s’inscrit dans la continuité de l’invalidation du « Privacy Shield » ou « bouclier de protection des données » par la Cour de Justice de l’Union Européenne (CJUE) dans son arrêt « Schrems II »[1].
Depuis cette décision du 16 juillet 2020, les transferts transfrontaliers de données à caractère personnel sont devenus une source majeure de préoccupation pour les entreprises. En effet, les organisations qui utilisent des solutions informatiques américaines (ex. AWS, Google Analytics, Microsoft Office, DocuSign, etc.) doivent aujourd’hui contrôler la présence de transferts de données vers les États-Unis afin d’en assurer la conformité.
C’est dans ce contexte que l’adoption de nouvelles Clauses Contractuelles Types a été tant attendue par un très grand nombre d’acteurs, bien au-delà du seul secteur du numérique.
Comme le suggère leur nom, les « Clauses Contractuelles Types » ou « CCT » sont un modèle contractuel, approuvé par la Commission européenne. Lorsqu’une entreprise située en Europe souhaite transférer des données à caractère personnel vers un « pays tiers » en dehors de l’UE, elle peut, pour encadrer ce transfert, signer avec le destinataire un accord comportant les CCT. Du fait de sa signature des CCT, le destinataire dans le pays tiers s’engage à assurer un niveau adéquat de protection des données, même si les lois du pays en question sont moins protectrices que celles en vigueur en Europe.
Grâce notamment à la simplicité de leur mise en place, les CCT forment en pratique la base juridique de la plupart des transferts transfrontaliers de données personnelles. Par exemple, elles sont intégrées dans les conditions générales de nombreux grands acteurs économiques du Web.
L’arrêt Schrems II a largement fragilisé le recours aux CCT. En synthèse, la CJUE a jugé que, si les CCT sont contraignantes pour le destinataire des données établi dans un pays tiers, elles ne le sont pas pour les autorités de ce pays, « puisque ces dernières ne sont pas parties au contrat ».
Par conséquent, la signature des CCT n’est pas toujours suffisante pour garantir la protection des données transférées, notamment lorsque le pays de destination permet à ses autorités de renseignement « des ingérences dans les droits des personnes concernées relatifs à ces données ».
Ainsi, il appartient à l’entreprise d’évaluer le niveau de protection des données dans le pays tienrs en question. De plus, la mise en place de « mesures supplémentaires » pour protéger les données transférées peut être nécessaire dans certains cas.
Face à ces nouvelles obligations, les acteurs de l’économie européenne et mondiale se sont tournés vers les autorités européennes pour des précisions. Parmi leurs attentes, la modernisation des CCT n’était pas des moindres. En effet, les versions en vigueur et couramment utilisées dataient de 2001, de 2004 et de 2010 (en fonction de la nature précise du transfert) : soit bien avant l’entrée en application du RGPD en mai 2018.
Par conséquent, la publication des nouvelles CCT le 7 juin 2021, a suscité une vague d’intérêt parmi les professionnels du numérique, du droit et de l’économie plus généralement.
Les « nouvelles » CCT modernisent à plusieurs égards le mécanisme des CCT. Notamment, elles encadrent pour la première fois les transferts d’un « sous-traitant » de données à caractère personnelle (ex. un fournisseur de stockage Cloud) vers un sous-traitant ultérieur.
Par ailleurs, les nouvelles CCT prennent en compte les impacts de la décision Schrems II, en prévoyant, notamment :
Ainsi, en pratique, la signature des nouvelles CCT imposera une obligation contractuelle, à l’égard des exportateurs et aux importateurs de données à caractère personnel, de réaliser les démarches prévues par l’arrêt Schrems II, à savoir (i) l’analyse de la législation du pays tiers de destination et (ii) la mise en place de mesures complémentaires, le cas échéant.
Malgré cette apparente contractualisation stricte des exigences de l’arrêt Schrems II, les nouvelles CCT semblent pourtant laisser la possibilité d’adopter une « approche par les risques », plus souple, réclamée par certains professionnels de la protection des données.
En effet, les CCT précisent que les parties doivent prendre en compte les « circonstances particulières » du transfert de données, en ce compris « la longueur de la chaîne de traitement, le nombre d’acteurs concernés, et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées ».
Ainsi, il pourrait être soutenu que les mesures supplémentaires à appliquer dépendront notamment du risque associé avec le transfert. Par exemple, des données sensibles ou hautement personnelles (des données de santé, des données financières, des données concernant la vie de famille, etc.) nécessiteront un degré plus élevé de vigilance par rapport aux mesures de sécurité complémentaires et à la vérification des lois du pays de destination.
Toutefois, la question demeure de l’attitude des autorités de contrôle européennes (en France, la CNIL) et des tribunaux dans l’interprétation de ce nouveau texte.
La décision de la Commission européenne adoptant les nouvelles CCT entre en vigueur 20 jours après sa publication au journal officiel de l’Union européenne, soit le 27 juin prochain. Les anciennes CCT de 2001, 2004 et 2010 seront abrogées le 27 septembre 2021 mais resteront en vigueur 15 mois supplémentaires pour les contrats conclus antérieurement à condition que les traitements faisant l’objet du contrat restent inchangés. En pratique, ce calendrier implique que les acteurs économiques ont jusqu’au 27 décembre 2022 pour modifier leurs contrats existants afin d’intégrer les nouvelles versions des clauses, le cas échéant.
LE PÔLE DATA
Pour en savoir plus sur les nouvelles clauses contractuelles types et leur mise en place, les avocats experts de notre équipe Data sont à votre disposition via notre formulaire de contact.
[1] CJUE, 16 juillet 2020, DPC c. Facebook Ireland Ltd et Schrems (dit Schrems II), affaire C-311/18.