Nous avons précédemment publié un article rappelant que les entreprises françaises employant au moins 50 salariés doivent ajuster leur procédure de signalements en conformité avec le décret 2022-1284 du 3 octobre 2022 pris en application de la loi Waserman du 21 mars 2022 modifiant la loi Sapin II, afin d’améliorer la protection des lanceurs d’alerte. Cette mise à jour de la procédure de signalements doit être aussi l’occasion de mettre à jour les garanties de conformité mises en place par les entreprises en matière de protection des données pour leur programme de conformité anticorruption, en particulier en cas de transfert de données en dehors de l’UE.

En effet, rappelons que, quel que soit le canal choisi, l’alerte professionnelle est de nos jours un dispositif informatisé permettant des flux transfrontières d’informations (adresse électronique dédiée, site en ligne, plateforme spécifique, logiciel interne de gestion des alertes, hotline, appel téléphonique, etc.) traitant des données à caractère personnel sensibles en lien avec des infractions pénales. Les données récoltées à partir de l’alerte sont protégées par une exigence de confidentialité qui doit être observée d’autant plus strictement que ces données peuvent s’avérer en lien avec des infractions pénales. Ainsi, la CNIL a déjà pu contrôler des dispositifs d’alertes incluant un transfert de données en dehors de l’UE.

Par exemple, dans sa délibération 2016-356 du 1er déc. 2016, elle a vérifié si un contrat de sous-traitance de réception des alertes impliquant un transfert vers un prestataire aux USA comprenait l’intégralité des clauses conformes à la réglementation européenne. Or, la Commission européenne a publié en juin 2021 de nouvelles clauses contractuelles modernisées pour le transfert de données et les entreprises françaises ont jusqu’au 27 décembre 2022 pour les insérer dans leurs contrats en cours en remplaçant les précédentes clauses par les nouvelles.

Revenons ici plus en détail sur un système complexe à maîtriser.

Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. Les modèles de clauses contractuelles types sont toujours d’actualité et ont été mis à jour par la Commission européenne le 4 juin 2021. Les nouvelles clauses contractuelles pour le transfert de données à caractère personnel en dehors de l’UE tiennent compte notamment de l’arrêt Schrems II rendu le 16 juillet 2020 par la Cour de justice de l’Union européenne (CJUE) invalidant le Privacy Shield, dispositif qui permettait un encadrement des transferts de données entre l’UE et les USA. Les anciennes clauses contenues dans les contrats en cours demeurent certes valables pour une période transitoire jusqu’au 27 décembre 2022, mais il est recommandé aux parties de s’assurer aujourd’hui que leurs contrats en cours contiennent bien les nouvelles clauses contractuelles conformes à la réglementation européenne. A compter du 28 décembre 2022, toutes les anciennes clauses contractuelles de transfert de données seront abrogées et devront être remplacées.

Nous présentons ci-dessous quelques recommandations pratiques destinées à aider les entreprises à atteindre ces objectifs.

1. Réaliser une cartographie des flux de données internes entre les filiales et la société mère participant au programme anticorruption.

2. Analyser les contrats des sous-traitants ayant accès à des données personnelles (par exemple une plateforme externe de recueil des signalements). Les entreprises doivent veiller à la sélection de leurs sous-traitants, qui doivent présenter des garanties suffisantes en termes de protection des données, ainsi qu’au contrôle de leurs prestations en matière d’alerte professionnelle comme en toute autre matière. Concrètement, les contrats de prestations de services doivent contenir toutes les instructions nécessaires à la protection de la sécurité des données et définir la finalité et la durée du traitement, le type de données traitées, les catégories de personnes concernées, la répartition des droits et obligations des cocontractants.

3. Réviser les différents contrats. Grande nouveauté, les clauses contractuelles encadrent désormais les transferts de données entre sous-traitants (ST/ST) et entre sous-traitants et responsable de traitement situé en dehors de l’UE (ST/RT). Pour rappel, les anciennes clauses ne couvraient que les relations contractuelles entre RT/RT ou entre RT/ST. Des clauses contractuelles différentes s’appliquent aux transferts entre sociétés mères et filiales ou entre sociétés et leurs sous-traitants, avec la possibilité pour les cocontractants d’insérer les clauses dans d’autres contrats, tel qu’un contrat entre le sous-traitant et un autre sous-traitant. Il appartient aux parties de déterminer convenablement leur qualité pour sélectionner la clause adéquate. Par ailleurs, rappelons également que les nouvelles clauses prévoient que les parties doivent mettre gratuitement à la disposition des personnes concernées une copie des clauses.

4. Ajouter des garanties contractuelles complémentaires. Les parties doivent certes s’assurer que leurs contrats applicables au dispositif d’alerte professionnelle soient conformes à la réglementation européenne, en particulier à la lumière des nouvelles clauses contractuelles. Mais la jurisprudence européenne estime que la simple mise en œuvre de ces nouvelles clauses contractuelles n’est pas suffisante pour transférer des données vers les USA et qu’au surplus les contrats doivent contenir les déclarations complémentaires suivantes :
a. les personnes concernées par le transfert de données de l’UE ne sont pas soumises à des programmes de surveillance du gouvernement américain ;
b. la législation américaine n’empêche pas les parties de remplir leurs obligations contractuelles ;
c. mise œuvre de mesures techniques et organisationnelles de sécurité renforcée (cryptage ou VPN) ;
d. devoir d’information entre les parties sur l’existence de lois américaines susceptibles de compromettre la sécurité des données et d’avoir des conséquences sur les obligations contractuelles ;
e. devoir d’information entre les parties en cas de communication de données aux autorités américaines.

5. Mettre à jour l’analyse d’impact relative à la protection des données (AIPD). La CNIL exige que toute mise en place de dispositifs d’alertes professionnelles soit systématiquement complétée par des AIPD (délib. 2018-327 du 11 oct. 2018).

Conformément à la jurisprudence européenne, il convient de documenter les mesures techniques et organisationnelles dans une AIDP concernant notamment (i) les infractions susceptibles de donner lieu à un mandat d’interception ; (ii) les catégories de personnes susceptibles de voir leurs communications interceptées ; (iii) la durée de l’exécution de la mesure ; (iv) la procédure à suivre pour l’examen ; (v) l’utilisation et la conservation des données recueillies ; (vi) les précautions à prendre pour la communication des données à d’autres parties ; (vii) et les circonstances dans lesquelles peut ou doit s’opérer l’effacement ou la destruction des enregistrements.

Compte tenu des enjeux juridiques, techniques et financier attachés à l’encadrement contractuel de solutions informatiques d’alerte professionnelle permettant des flux transfrontières de données, nul doute que des audits sont nécessaires au sein des entreprises pour vérifier l’application des nouvelles clauses contractuelles et des garanties complémentaires associées.

En particulier, les entreprises qui transfèrent des données vers les USA, par exemple en utilisant des solutions de type plateforme américaine prête à l’emploi, pour appliquer en France des programmes de conformité anticorruption n’ont que 2 options : soit elles décident de cesser de transférer des données vers les USA en n’utilisant plus ces plateformes si possible ou, du moins, en les paramétrant de façon à ne plus transférer de données vers les USA ; soit elles continuent à transférer des données vers les USA tout en mettant en place les nouvelles clauses contractuelles complétées par des garanties complémentaires.

Edouard Lemoalle, avocat associé Sylvie Le Damany, avocat associé Martin Declosmenil, avocat collaborateur Cabinet Adaltys