Les nouvelles clauses contractuelles types pour les transferts de données hors UE

Le rôle des clauses contractuelles vise à offrir des garanties appropriées en matière de protection des données pour les transferts internationaux de données hors EEE. Le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

Jusqu’à ce jour, 2 types des clauses contractuelles type (« CCT ») existaient édictées par la Commission européenne - transfert entre deux responsables de traitement (décembre 2004) - Transfert entre un responsable de traitement et un sous-traitant ( févier 2010)

Ces 2 décisions étaient fondées sur la directive 95/46/CE abrogée par le RGPD. Ce dernier (article 46) avait cependant prévu la survie de telles clauses dans l’attente de nouvelles

L’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020 invalidant le Privacy Shield (arrêt « Schrems II ») avait ouvert une brèche dans le maintien de ces clauses, précisant d’ores et déjà que si l’utilisation des CCT demeurait possible, ceci dépendait cependant de mesures supplémentaires à mettre en place suite, à une analyse au cas par cas des circonstances entourant le transfert, afin de garantir que la législation du pays importateur de données personnelles ne compromette pas le niveau de protection adéquat que les clauses doivent garantir.

En outre, ces clauses dataient de 2004 et 2010, soit une éternité dans un monde technologique.

Comme le rappelle la Commission, l’économie numérique a beaucoup évolué, avec le recours généralisé à de nouvelles opérations de traitement plus complexes, qui impliquent souvent de multiples importateurs et exportateurs de données, des chaînes de traitement longues et complexes et des relations commerciales en évolution constante.

Manquait à cet effet cruellement des clauses de sous-traitants à sous-traitants, schéma très souvent usités, ne seraient ce que pour des configurations de traitement en mode cloud computing

En date du 4 juin 2021, la commission européenne a pris une décision d'exécution relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil.

A la différence des clauses préexistantes, les nouvelles clauses se présentent en un ensemble contractuel composé de 4 modules • MODULE 1: transfert de responsable du traitement à responsable du traitement • MODULE 2: transfert de responsable du traitement à sous-traitant • MODULE 3: transfert de sous-traitant à sous-traitant • MODULE 4: transfert de sous-traitant à responsable du traitement

Certaines dispositions sont transverses à l’ensemble des modules, d’autres leurs sont dédiées.

Il conviendra donc d’être attentif dans le choix des clauses et des « modules applicables à la relation envisagées.

Point notable de ce corpus contractuel,

• Ces clauses introduisent une « Clause d’adhésion » : il s’agit ici de permettre à une entité qui n’est pas partie aux dites clauses de pouvoir y adhérer, en tant qu’importateur ou exportateur de données avec l’accord des autres parties et donc suivant sa qualification, de devenir alors débitrices des obligations qui lui incombent.

• dans la droite ligne de l’arrêt « Schrems II », ces clauses envisagent la question de la législation du pays importateur de données personnelles qui pourrait compromettre le niveau de protection adéquat dudit transfert.

Enfin, l’annexe ANNEXE III de ces CCT vise des exemples de mesures techniques et organisationnelles, visant à garantir la sécurité des données, mesures qu’il conviendra d’apprécier également à l’aune des recommandations 01/2020 adoptées le 10 novembre 2020 de l’EDPB.

Il reste désormais à confronter ces nouvelles CCT à la réalité du terrain.

A cet effet, le calendrier d’application et les dispositions transitoires sont les suivantes, suite à la publication de la décision d’adéquation au Journal officiel de l’Union européenne le 7 juin 2021

• Ces nouvelles clauses entrent donc en vigueur le 27 juin 2021 • Les anciennes CCT seront abrogées le 27 septembre 2021 • Les contrats existants pourront encore faire référence aux anciennes CCT jusqu’au 27 décembre 2022 sous la réserve suivante : le traitement déjà régi par ces CCT n’est pas modifié. A défaut les nouvelles CCT devront être régularisées

Rappelons enfin que dans l’attente d’une potentielle décision d’adéquation vis-à-vis du Royaume Uni, il faudra utiliser ces clauses pour tout transfert de données vers le Royaume Uni à compter du 1er juillet 2021.

A suivre…

Mathieu MARTIN