Par Charlotte Galichet, Avocat.
 
Guide de lecture.
 

Nouvelles clauses contractuelles types relatives au transfert de données : quels changements ?

La décision d’exécution de la Commission Européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers comporte en annexe les nouvelles CCT tant attendues.

Rappelons que le Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) encadre strictement le transfert de données personnelles vers des pays en dehors de l’Espace économique européen (EEE).

Ainsi, le RGPD admet la possibilité de réaliser un transfert international de données soit s’il existe une décision d’adéquation par laquelle l’Union européenne reconnaît qu’un territoire présente un niveau de protection équivalent au sien, soit par des garanties appropriées listées par le RGPD.

Dès 2001, la Commission européenne avait élaboré des Clauses Contractuelles Types (ci-après CCT), c’est-à-dire un ensemble de clauses modèles devant être utilisées par les parties lors d’un transfert de données personnelles vers un pays tiers à l’Union européenne.

Il existait deux catégories de CCT :
- celles encadrant les transferts entre deux responsables de traitement (RT) résultant des décisions prises le 15 juin 2001 et le 24 décembre 2004 par la Commission européenne, laquelle avait adopté deux ensembles de CCT RT-RT ;
- celles encadrant les transferts opérés par un responsable de traitement vers un sous-traitant (ST) résultant d’une décision rendue par la Commission européenne le 5 février 2010.

I. Bref rappel du contexte menant à une actualisation des CCT.

Rappelons que par arrêt remarqué dit arrêt « Schrems II » rendu le 16 juillet 2020, la Cour de justice de l’Union européenne a :
- invalidé la décision d’adéquation « Privacy Shield » dont bénéficiait les USA, en raison de la réglementation américaine permettant aux services de renseignements de collecter des données à caractère personnel de façon « non conforme » au regard des standards de protection de la réglementation européenne ;
- validé le recours aux CCT de la Commission européenne pour le transfert de données vers des pays situés en dehors de l’EEE sous réserve que ces clauses garantissent un niveau de protection adéquat et que les transferts soient assorties de mesures complémentaires de protection.

Il était donc nécessaire de repenser les CCT existantes, celles-ci devant être adaptées à la nouvelle réglementation relative à la protection des données (RGPD) mais surtout à la Jurisprudence « Schrems II ».

Entre temps, le Comité Européen pour la Protection des données a adopté, le 11 novembre 2020, des recommandations concernant les mesures supplémentaires pour les transferts internationaux de données .

Le 4 juin 2021, la Commission européenne a adopté ces nouvelles CCT portant sur les transferts de données personnelles vers un pays tiers, en remplacement des versions existantes. Ces nouvelles CCT ont été publiées au JO le 7 juin 2021. Ces clauses figurent en Annexe de la décision d’exécution de la Commission du 04 juin 2021.

Un délai non négligeable est laissé aux organismes pour utiliser ces nouveaux outils contractuels.

II. Les principaux apports des nouvelles CCT.

A. Le champ d’application.

Ces nouvelles CCT encadrent dans un document unique les transferts :
- de responsable de traitement à responsable de traitement (module 1) ;
- de responsable de traitement à sous-traitant (module 2) ;
- de sous-traitant à sous-traitant (module 3) ;
- de sous-traitant à responsable de traitement (module 4).

Ces nouvelles CCT vont donc permettre aux praticiens de rédiger 4 jeux de CCT distincts en fonction de la qualification des organismes.

B. Une mise à jour des CCT à la lumière du RGPD.

Les nouvelles CCT intègrent et détaillent les grands principes à respecter en matière de protection des données personnelles tels que le prévoit le RGPD et les adaptent pour chaque type de transferts.

Par ailleurs, une nouvelle clause dite « facultative » (Clause 7) permet une adhésion aux CCT par une partie tierce sous réserve de l’accord des parties initiales et d’une formalisation par écrit (ce tiers en tant qu’exportateur ou importateur de données devant figurer à l’appendice et signer l’Annexe I.A relatif à la liste des parties).

Les droits des personnes concernées.

Bien que les droits des personnes concernées étaient déjà énoncés dans les anciennes CCT (droit d’accès, de rectification, de suppression, d’opposition au traitement de données), les nouvelles CCT, à la lumière du RGPD précisent davantage ces droits notamment s’agissant des transferts de responsable de traitement à responsable de traitement (droit d’opposition en cas de traitement de données à des fins de prospection directe, droit de ne pas faire l’objet d’un traitement automatisée).

Les modalités d’exercice de ces droits sont encadrées de manière à ce que toute personne concernée puisse obtenir facilement satisfaction à sa demande.

La transparence à l’égard des personnes concernées.

Les nouvelles CCT ont vocation à garantir une plus grande transparence vis-à-vis des personnes concernées.

Il est prévu que les parties au transfert de données devront sur demande, mettre gratuitement à la disposition de la personne concernée une copie des clauses, notamment de l’appendice tel que rempli par l’exportateur et l’importateur.

Il est précisé que dans le cadre de la protection des secrets d’affaires ou d’autres informations confidentielles, une partie du texte de l’appendice peut être occulté avant la communication de la copie à la partie concernée, cependant, un résumé valable de ces clauses doit être fourni à cette dernière.

Par ailleurs, sur demande de la personne concernée, les motifs des occultations devront lui être exposés sans toutefois révéler les informations occultées.

La sécurité du traitement.

Nous savons que l’importateur de données et l’exportateur de données doivent, mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données.

Les nouvelles CCT apportent des précisions concernant ces mesures, notamment quant à l’évaluation du niveau de sécurité approprié. Il est énoncé que les parties doivent tenir compte de

« l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées ».

Par ailleurs ces CCT précisent que les parties devront envisager de recourir à la pseudonymisation ou au chiffrement sous réserve de ne pas contrevenir à la finalité du traitement de données en cause.

Il convient de préciser que ces mesures techniques et organisationnelles sont documentées dans l’annexe II et sont beaucoup plus détaillées que dans les précédentes CCT (de nombreux exemples de mesures possibles sont énoncés - elles correspondent peu ou prou aux mesures devant être détaillées dans une analyse d’impact).

Documentation et conformité.

Les nouvelles CCT précisent, selon la logique d’accountability, que chaque partie au transfert devra être en mesure de démontrer le respect des obligations qui lui incombent.

En ce sens, les parties devront conserver une trace documentaire de leurs activités de traitement, ces documents pouvant être mis à la disposition de l’autorité de contrôle compétence afin de contrôler la conformité des traitements mis en œuvre.

Par ailleurs, il est précisé que l’importateur de données devra mettre à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les CCT.

Il convient de souligner que le niveau d’exigence imposé en matière de conformité variera en fonction du transfert de données envisagé. A ce titre, lors d’un transfert de RT à ST ou de ST à ST, les nouvelles CCT énoncent que l’importateur de données devra mettre sur demande de l’exportateur de données, les informations nécessaires à la réalisation d’audits des activités de traitement et devra contribuer à celles-ci « à intervalles raisonnables ou s’il existe des indications de non-respect ».

Classiquement il est indiqué que l’exportateur de données pourra choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant, et que ces audits pouvant comprendre « des inspections dans les locaux ou les installations physiques de l’importateur de données ». Il est ajouté que ces opérations sont « le cas échéant, effectuées avec un préavis raisonnable ».

Les transferts ultérieurs.

Il est prévu que l’importateur de données ne pourra divulguer des données personnelles à un tiers situé hors de l’Union européenne que si le tiers est lié par ces CCT.

Dans le cas contraire, l’importateur de données ne pourra opérer un tel transfert qu’en se fondant sur les autres exceptions du RGPD (s’il est effectué vers un pays bénéficiant d’une décision d’adéquation, si le tiers offre d’une autre manière des garanties appropriées, si le tiers conclut un acte contraignant avec l’importateur de données garantissant le même niveau de protection des données que les CCT, si ce transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique).

Lorsqu’aucune de ces conditions ne s’applique, l’importateur de données devra obtenir le consentement explicite de la personne concernée pour le transfert ultérieur après l’avoir informé des caractéristiques du traitement (conformément à l’article 13 du RGPD, sur la finalité du traitement, l’identité du destinataire, les risques éventuels en l’absence de garanties appropriées…). Dans un pareil cas, l’importateur de données devra informer l’exportateur de données et à sa demande, lui transmettre une copie des informations fournies à la personne concernée.

On notera par ailleurs que les nouvelles CCT comportent pour les transferts de RT à ST et de ST à ST des modèles de clauses pour le recours à des sous-traitants ultérieurs (clause 9). A ce titre, ces CCT prévoient deux options : 1/ une autorisation préalable spécifique de l’exportateur de données/ du responsable de traitement et 2/ une autorisation écrite générale de l’exportateur de données/ du responsable de traitement de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord.

Conformément à l’article 28.2 du RGPD, le sous-traitant devra informer « le responsable de traitement de tout changement prévu concernant l ’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements ».

La responsabilité des acteurs au transfert.

Les nouvelles CCT déterminent et organisent la responsabilité des acteurs pour chaque type de transfert de données (clause 12).

Ces CCT prévoient et détaillent un premier régime de responsabilité applicable pour un transfert RT-RT ou ST-RT et un second régime de responsabilité applicable pour les transfert RT-ST ou entre deux sous-traitants.

C. Une mise des à jour des CCT faisant suite à l’arrêt « Shrems II ».

Ce sont surtout les clauses 14 et 15 qui attirent notre curiosité puisque leur titre rappelle bien les problématiques de la décision « Shrems II ».

a) Une évaluation du niveau de protection de la législation des pays tiers.

Les parties devront garantir que la législation du pays de l’importateur de données ne contrevient pas aux respect des CCT (Clause 14).

En ce sens est prévu que

« Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur des données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses (..) ».

Il appartient donc à l’une des parties de se renseigner non seulement sur la législation mais aussi sur les pratiques du pays de destination des données personnelles !

Cette évaluation de la conformité de la législation du pays tiers devra être réalisée au regard de certains critères (Clause 14,b).

Par ailleurs l’importateur devra garantir avoir déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur et conviendra de coopérer avec ce dernier pour garantir le respect des CCT.

Il est précisé que cette évaluation devra être documentée par les parties et mise à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.

Dans cette même logique, l’importateur de données devra, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou sera soumis à une législation/pratique non conforme, notifier l’exportateur de données. Suite à cette notification ou si cet exportateur a des raisons de croire que l’importateur ne peut plus s’acquitter de ses obligations, l’exportateur devra définir des mesures appropriées en vue de remédier à la situation.

Dans le cas où aucune garantie appropriée ne peut être fournie pour le transfert, l’exportateur de données pourra suspendre le transfert de données, étant précisé que si le contrat concerne plus de deux parties, cet exportateur ne pourra exercer ce droit de résiliation qu’à l’égard de la partie concernée sauf dispositions contractuelles contraires.

b) Des obligations particulières incombant aux importateurs de données en cas d’accès des autorités publiques.

Les nouvelles CCT formulent, au terme d’un clause spécifique (Clause 15), de nouvelles obligations à la charge de l’importateur de données en cas d’accès par les autorités publiques aux données provenant d’un Etat membre de l’Union européenne.

Une obligation d’information.

En cas de requête des autorités du pays de l’importateur de données, obligeant ce dernier à fournir un accès aux données personnelles transférées, ces nouvelles CCT obligent l’importateur à (i) informer l’exportateur de données, (ii) à fournir aux autorités de contrôle européennes, un maximum d’informations sur cette demande (le nombres de demandes, le types de données demandées, la ou les autorités requérantes etc..) et (iii) à déployer ses meilleurs efforts pour limiter cet accès ou en obtenir la levée.

Au regard du (iii), nous pouvons nous demander quel partenaire acceptera d’engager autant de coûts procéduraux !

Une obligation de contrôle.

L’importateur de données devra contrôler la légalité de la demande d’accès aux données formulées par ces autorités, notamment vérifier si celle-ci « s’inscrit dans les limites des pouvoirs » qui sont conférés à cette autorité publique.

Les nouvelles CCT prévoient notamment que l’importateur de données devra procéder à une « évaluation minutieuse » et devra contester cette demande s’il en conclut qu’il existe

« des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale ».

L’importateur de données devra documenter cette évaluation ainsi que toute contestation de la demande et, si la législation du pays tiers le permet, ce dernier devra mettre ces documents à la disposition de l’exportateur de données et de l’autorité compétente si celle-ci en fait la demande.

Il doit autant que possible user des possibilités procédurales à sa disposition pour faire appel, demander la suspension des mesures.

Il est également précisé que l’importateur de données ne doit pas divulguer les données personnelles demandées tant qu’il n’est pas dans l’obligation légale de le faire.

Dans le même sens, l’importateur de données ne devra fournir qu’ un minimum d’informations lors de sa réponse à une demande de divulgation et ce, « sur la base d’une interprétation raisonnable de la demande ».

III. Délais d’application des nouvelles CCT.

Selon le considérant 24 de la décision d’exécution (UE) 2021/914 relative aux nouvelles CCT, les anciennes décisions 2001/497/CE et 2010/87/UE relatives aux précédentes CCT seront abrogées en septembre 2021.

Durant cette période, les exportateurs et les importateurs de données devraient pouvoir continuer à utiliser les précédentes CCT réputées offrir des garanties appropriées au sens de l’article 46, paragraphe 1, du RGPD.

Par ailleurs, il est énoncé que pendant une période supplémentaire de 15 mois, les exportateurs et les importateurs de données peuvent continuer à invoquer les précédentes CCT pour l’exécution des contrats conclus entre eux avant la date d’abrogation de ces décisions, à condition que

« les opérations de traitement faisant l’objet du contrat demeurent inchangées et que l’invocation de ces clauses garantisse que le transfert de données à caractère personnel est soumis à des garanties appropriées au sens de l’article 46, paragraphe 1 ».

Enfin, il est énoncé qu’en cas de modifications importantes du contrat, l’exportateur de données devra fonder les transferts de données faisant l’objet du contrat sur de nouvelles bases, notamment en remplaçant les précédentes CCT par les nouvelles CCT.

Charlotte Galichet
Avocat au Barreau de Paris
c.galichet chez avocatspi.com
www.avocatspi.com

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

2 votes
Commenter cet article

Vos commentaires

  • par AKPONIKPE OLOGNIDE , Le 23 juin à 17:48

    Travail impeccable.
    toutefois, j’ai une question. j’ai lu que toute modification des clauses contenues dans la nouvelle version des CCT devrait faire l’objet d’une soumission à l’autorité de contrôle compétente. est-ce à dire que ce sont les annexes seules qui sont modifiables et à adapter au(x) contrat et traitements visés ? les clauses sont-elles à remettre in-extenso dans la rédaction des CCT pour notre entreprise ?

A lire aussi dans la même rubrique :

LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs