Transferts de données : Les nouvelles CCT de la Commission Européenne

Transferts de données : Les nouvelles CCT de la Commission Européenne
⏱ Lecture 6 min

Par Stéphane Astier, Anne-Charlotte Andrieux, Marussia Samot 

Le 19 mai dernier, la Commission européenne a publié son nouveau projet de clauses contractuelles types (CCT).

Cette publication était pour ainsi dire fortement attendue de la part de nombreux acteurs européens utilisant des applications et autre solutions informatiques américaines. Elle fait en effet suite à la décision « Schrems II » de la CJUE, qui a invalidé le bouclier de protection des données, dit Privacy Shield, jetant du même coup dans l’illégalité bon nombre de transferts de données entre les pays de l’Union et les Etats-Unis.

Seule solution proposée : l’usage des CCT mais sans CCT complètes et à jour ce qui était source d’une forte insécurité juridique.

L’attente est toutefois aujourd’hui récompensée puisque les nouvelles CCT de la Commission européenne ont été rendues publiques le 4 juin 2021.

Ces nouvelles clauses actualisent les CCT prévues par la décision 2001/497/CE, encadrant les transferts de données entre responsables de traitements (CCT RT/RT), et la décision 2010/87/CE, encadrant les transferts entre responsables de traitement et sous-traitants (CCT RT/ST), qui n’offraient plus un niveau de protection adéquat, étant fondées sur la directive 95/46/CE désormais abrogée.

L’occasion de revenir plus en détail sur un système complexe à maîtriser :

Comment utiliser les nouvelles Clauses Contractuelles Types (CCT) ?

Les CCT suivent l’évolution du contexte technologique et juridique, des conditions de transfert supplémentaires devant désormais s’appliquer aux données à caractère personnel en application du Règlement général sur la protection des données (RGPD).

Pour faciliter le déploiement de ce « kit contractuel », La Commission européenne a publié un nouveau modèle de CCT sous forme d’un document unique à tiroirs.

Les CCT permettent en effet d’encadrer les transferts internationaux de données à caractère personnel en leur offrant des garanties appropriées de protection, que ce soit lorsque le responsable de traitement ou le sous-traitant d’un pays membre de l’UE se comporte en tant qu’exportateur (transfère des données) ou en tant qu’importateur (reçoit des données) de données à caractère personnel dans un pays tiers.

Grande nouveauté, les CCT encadrent désormais les transferts de données entre sous-traitants (CCT ST/ST) et entre sous-traitants et responsable de traitement situé dans un pays tiers à l’Union (CCT ST/RT).

Les nouvelles CCT ont pour finalité de simplifier les relations contractuelles entre parties puisqu’elles se déclinent en quatre approches modulaires couvrant quatre scénarios de transferts de données :

  • Module 1 : transfert de responsable de traitement à responsable de traitement (RT/RT) ;
  • Module 2 : transfert de responsable de traitement à sous-traitant (RT/ST);
  • Module 3 : transfert de sous-traitant à sous-traitant (ST/ST);
  • Module 4 : transfert de sous-traitant à responsable de traitement (ST/RT).

Pour rappel : les anciennes CCT ne couvraient que les relations contractuelles prévues par les modules 1 et 2.

Les nouvelles CCT prévoient désormais de pouvoir être utilisées dans les relations avec les sous-traitants ultérieurs, tel que le prévoit l’article 28§4 du RGPD. Ainsi, les obligations contractuelles de transfert d’un sous-traitant étranger avec ses propres sous-traitants seront inclues dans la chaîne contractuelle des CCT.

CTT (5)

Il est essentiel de procéder à une qualification des parties en cause préalablement à la conclusion des CCT selon les modules suivants.

CTT (6)

CTT (3)

Une application en différé

Les nouvelles CCT entreront en vigueur le vingtième (20e) jour après leur publication au journal officiel de l’Union européenne.

Les anciennes CCT seront abrogées dans les trois (3) mois après l’entrée en vigueur des nouvelles CCT, soit au 27 septembre 2021. Elles demeureront valables pour une période transitoire supplémentaire de quinze (15) mois, soit jusqu’au 27 décembre 2022, à condition d’avoir été conclues entre les parties avant la date d’abrogation des décisions de 2001 et 2010, qu’aucune modification substantielle du contrat n’a eu lieu et qu’elles assurent que les données transférées sont soumises à des garanties appropriées.

En cas de modification importante du contrat, les nouvelles CCT devront donc s’appliquer.

Les garanties de protection offertes par les Clauses Contractuelles Types

Les CCT doivent garantir que les données à caractère personnel transférées sur cette base bénéficient de garanties appropriées, de nature à assurer un niveau de protection substantiellement équivalent à celui garanti par le RGPD et la Charte des droits fondamentaux de l’Union européenne.

Ce point fut abordé par la CJUE lors de l’arrêt Schrems II, en reprenant l’article 46§1 du RGPD à ses points 96 et 103. Ces dispositions sont évoquées par la décision d’exécution de la Commission relative aux nouvelles CCT à son considérant 11 et son article 1§1.

Ces garanties appropriées concernent notamment la manière dont la législation du pays tiers prévoit de traiter les demandes contraignantes émanant d’autorités publiques d’un pays tiers, en vue de la divulgation de données personnelles transférées.

Les nouveaux modèles de CCT tiennent compte des conclusions de l’arrêts Schrems II, révélant que les autorités américaines peuvent avoir accès sur demande aux données personnelles de personnes situées au sein de l’Union européenne. Les parties doivent donc s’assurer que la législation étrangère et les pratiques applicables à l’importateur des données soient conformes à la réglementation européenne, en particulier à la lumière de la jurisprudence de l’Union.

Des mesures de protection supplémentaires doivent s’ajouter aux CCT car elles ne peuvent suffire à elles seules à encadrer le transfert de données personnelles, soit des mesures contractuelles, techniques et organisationnelles visant à assurer la sécurité et/ou la confidentialité des données.

Il appartient au responsable de traitement et au sous-traitant de prendre les mesures complémentaires nécessaires pour compenser l’insuffisance de garanties de protection du pays destinataire qui risquerait de compromettre l’efficacité des garanties appropriées contenues dans les instruments de transfert visés à l’article 46 du RGPD

Le CEPD, dans ses recommandations du 18 juin 2021 (actualisant celles du 10 novembre 2020), préconise à cet effet un certain nombre de mesures complémentaires, à l’instar de mesures de chiffrement renforcé et/ou de mesures de pseudonymisation des données, la documentation et l’enregistrement des demandes d’accès des autorités publiques, etc.

La Commission encourage cette double précaution, à condition que ces garanties supplémentaires ne contredisent pas directement ou indirectement les CCT et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

 

Les obligations générales applicables aux parties

L’exportateur des données doit s’acquitter de ses responsabilités, qu’il soit responsable de traitement ou sous-traitant, en informant les personnes concernées du traitement de leurs données.

Cette obligation d’information regroupe :

  • L’identité et les coordonnées de l’exportateur ;
  • Les catégories de données personnelles traitées ;
  • Le transfert de ces données vers un pays tiers à l’Union européenne ;
  • L’endroit où elles sont mises à disposition ;
  • La conclusion de CCT offrant des garanties appropriées ;
  • Le droit d’obtenir une copie des CCT sur demande, notamment de l’appendice, et les moyens d’exercice du droit d’accès.

L’exportateur peut occulter une partie de l’appendice des CCT avant d’en communiquer une copie, mais doit fournir un résumé valable permettant à la personne concernée d’en comprendre le contenu et d’exercer ses droits. Les motifs des occultations peuvent être fournis à la demande.

En pratique, l’exportateur doit fournir ces mêmes informations à l’importateur des données.

L’exportateur des données s’assure que l’importateur est à même de satisfaire aux obligations qui lui incombent, par la mise en œuvre de mesures techniques et organisationnelles appropriées.

Il sera tenu de suspendre le transfert s’il estime qu’aucune garantie appropriée ne peut être fournie, ou si l’autorité de contrôle compétente (en France : la CNIL) lui en donne l’instruction.

L’importateur des données s’assure du respect de la finalité des traitements. Si ces données devaient être transférées ultérieurement à un tiers, l’importateur informerait l’exportateur et les personnes concernées de ce transfert ainsi que de sa finalité.

Si l’importateur est confronté à toute demande juridiquement contraignante émanant d’une autorité publique de son Etat, ou a connaissance d’un accès des autorités publiques aux données transférées, il doit en informer l’exportateur.

De même, l’importateur de données devra contester la demande des autorités publiques si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer que ladite demande est illégale.

 

Nos conclusions

Avec l’invalidation du Privacy Shield, rendant plus complexes les transferts de données personnelles vers les Etats-Unis, ces nouvelles CCT offrent de nouvelles garanties contractuelles source de sécurité juridique.

L’analyse du niveau de protection offert par la législation locale ne doit toutefois pas être négligée. Il appartient en effet aux responsables de traitement d’évaluer ce niveau de protection au cas par cas, d’adopter au besoin des mesures complémentaires, voire de renoncer au transfert lorsqu’aucune mesure ne permet d’obtenir un niveau de protection substantiellement équivalent à celui prévu par la règlementation européenne.

Le rôle du Délégué à la protection des Données est ici important pour effectuer un tel contrôle et apprécier, pour chaque flux transfrontière, les garanties proposées.

L’entrée en vigueur des présentes CCT de la Commission européenne prendra effet le 27 juin 2021. Les professionnels auront jusqu’à décembre 2022 pour appliquer les nouvelles CCT, sauf modification substantielle des traitements de données.

Compte tenu des enjeux juridiques, techniques et financier attachés à l’encadrement contractuel de solutions informatiques permettant des flux transfrontières, nul doute qu’une vague d’audits et de contrôles devrait intervenir entre responsables de Traitement et sous-traitants pour vérifier l’application de ces nouvelles CCT et des principes associés.

***

Fort d’une expérience de plus de 20 ans dans le domaine du droit des nouvelles technologies, le cabinet Haas Avocats dispose de départements entièrement dédiés à la protection des données.

Le Cabinet est naturellement à votre entière écoute pour toutes problématiques que vous pourriez rencontrer. Pour plus d’informations ou toute demande de rendez-vous, contactez-nous ici.

Stéphane ASTIER

Auteur Stéphane ASTIER

Suivez-nous sur Linkedin