Suite à la décision Schrems II selon laquelle le bouclier de protection de la vie privée américain ne constitue plus une garantie adéquate pour les transferts de données entre les Etats-Unis et l’UE, des inquiétudes ont été soulevées quant à l’efficacité des clauses contractuelles types (CCT) de la Commission européenne. La Commission européenne vient de publier une nouvelle version préliminaire des clauses contractuelles types, qui est ouverte à la consultation jusqu’au 10 décembre. Que contiennent donc ces nouvelles CCT et que doivent faire les entreprises pour s’y préparer ?

Qu’est-ce que les CCT ?

Les clauses contractuelles types sont un ensemble de clauses contractuelles modèles, à utiliser entre les parties engagées dans un transfert de données, afin de garantir qu’elles respectent les obligations qui leur incombent en vertu du RGPD et assurent un niveau de protection adéquat dans le cadre dudit règlement. Pour une analyse complète des clauses contractuelles types existantes et pour savoir quand les utiliser, consultez notre article ici !

Récap - la raison de la mise à jour.

La CJUE a récemment rejoint l’argument de Max Schrems selon lequel les principes du bouclier de la vie privée des Etats-Unis, qui visent à faire respecter les règles du règlement général sur la protection des données (RGPD), ne peuvent être respectés car, quelle que soit la conformité des entreprises américaines, les lois de surveillance à grande échelle du gouvernement américain ne peuvent être évitées et sont en fin de compte incompatibles avec le GDPR.

« Depuis cet arrêt, on craint que les CCT, telles qu’elles sont actuellement rédigées, n’aillent pas assez loin non plus, puisque les entreprises peuvent les utiliser de manière à faciliter les transferts sans vraiment examiner si les règles du GDPR seront suivies en pratique, conformément aux règles nationales qui ne peuvent être évitées ».

Cela a poussé la Commission européenne à mettre à jour les CCT - qui, jusqu’à présent, n’étaient même pas basées sur le RGPD, mais sur une précédente directive sur la protection des données !

Qu’est-ce qui a changé ?

Dans leur version initiale, il y avait deux versions de CCT à utiliser entre les contrôleurs de l’UE et les contrôleurs des pays tiers, et une option pour les contrats entre contrôleurs de l’UE et sous-traitants des pays tiers. En résumé elles s’appliquent désormais aux relations :
 Entre responsables du traitement européens et responsables du traitement étrangers ;
 Entre responsables du traitement européens et sous-traitants étrangers ;
 Entre sous-traitants européens et étrangers ;
 Et même entre sous-traitant européen et responsables du traitement étranger.

La Commission européenne a maintenant rédigé une nouvelle version de CCT à utiliser pour les transferts transfrontaliers de données à caractère personnel en remplacement des versions précédentes et, enfin, une toute nouvelle série de CCT à utiliser lorsque les responsables du traitement engagent des sous-traitants dans le cadre d’un DPA ! En effet, comme le prévoit l’article 28§4 du RGPD, les CCT prévoient également l’obligation pour le sous-traitant étranger de reporter l’ensemble des obligations des CCT dans les contrats avec ses propres sous-traitants.

Les projets de CCT transfrontalières sont les premiers à avoir été publiés dans le cadre du RGPD et reflètent donc les principes du RGPD. Leur couverture est plus large que celle des anciennes CCT et les nouvelles clauses couvrent un plus large éventail de situations de transfert de données et permettent des formes plus modernes de partage des données - par exemple, il est possible de modifier le nombre de parties au contrat.

En outre, probablement en raison de l’influence de Schrems II, les projets de CCT transfrontalières prévoient des obligations supplémentaires spécifiques pour la partie basée dans le pays tiers en ce qui concerne l’accès et la surveillance des autorités. Par exemple, le réexamen de la légalité de toute demande qui est faite et l’utilisation de tous les moyens nécessaires et disponibles pour contester la demande. Les parties basées dans l’EEE ont également l’obligation d’évaluer et de traiter les conséquences potentielles liées aux lois du pays tiers.

Les nouvelles obligations des CCT transfrontalières.

En résumé, les nouvelles obligations sont les suivantes :
 Les personnes concernées doivent recevoir, sur demande, une copie des CCT mises en place et doivent être informées de toute modification de la finalité du traitement effectué ou de toute partie à laquelle des données à caractère personnel peuvent être communiquées ;
 Les exportateurs et les importateurs doivent veiller à ce que, en cas de transferts ultérieurs vers un autre pays tiers, les importateurs secondaires concluent le même ensemble de CCT ou bien, que les personnes concernées puissent donner leur consentement explicite et éclairé pour ces transferts ultérieurs ;
 Les exportateurs et les importateurs sont tenus de décrire en détail le niveau de responsabilité accepté entre les parties et envers les personnes concernées, ainsi que le niveau d’indemnisation que chaque partie accordera ;
 Tous les responsables du traitement et les sous-traitants engagés doivent avoir les mêmes obligations que les importateurs de données, ce qui implique qu’ils doivent mettre en place des mesures techniques et organisationnelles appropriées ;
 Les sous-traitants doivent veiller à ce que les instructions des responsables du traitement et des contrôleurs soient respectées.

Consultez le nouveau projet des CCT transfrontalières via le lien ci-après [1].

Nouvelles CCT pour les responsables de traitement et les sous-traitants.

La Commission européenne a également proposé une série de CCT à utiliser entre les responsables du traitement et les contrôleurs, dans le cadre d’un accord sur le traitement des données.

La Commission a suggéré que ces CCT normalisent les droits et obligations en matière de protection des données entre les responsables du traitement et les sous-traitants. Les projets contiennent des annexes avec des modèles pour les enregistrements de traitement et le stockage des descriptions de données. Ils énoncent les garanties techniques et organisationnelles requises et suggèrent des instructions appropriées pour les responsables du traitement des données.

Quelle est la prochaine étape ?

Les deux séries de projets de CCT seront ouvertes au débat jusqu’au 10 décembre 2020.

Les parties qui ont déjà mis en place des CCT doivent suivre de près les mises à jour. Toutefois, les projets de CTT prévoient qu’à partir de la date de leur entrée en vigueur, les entreprises disposeront d’une période de grâce d’un an pour mettre à jour les contrats qu’elles ont mis en place. Toutefois, ce délai de grâce d’un an n’est pas défini - si, par exemple, le contrat est modifié au cours de cette période d’un an, l’exportateur de données doit veiller à mettre à jour les CCT.

Jusqu’à ce que les CCT soient acceptées, les contrôleurs et les sous-traitants peuvent continuer à se fier aux anciennes CCT comme garantie pour les transferts internationaux de données.

Ainsi, toutes les parties engagées dans des transferts internationaux de données sont encouragées à suivre de près la situation pour s’assurer qu’elles peuvent mettre à jour leurs pratiques le plus rapidement possible.

Charlotte Gerrish et Manon Coste du Cabinet GERRISH LEGAL Paris - Londres - Stockholm