Depuis l’arrêt Schrems II rendu le 16 juillet 2020 par la Cour de Justice de l’Union Européenne (« CJUE », n° C-311/18), les règles qui encadrent les transferts internationaux de données personnelles font face à de fortes turbulences. Rappelons que l’arrêt Schrems II de la CJUE a :
- Annulé le Privacy Shield en raison de lois américaines permettant aux services de renseignements de ce pays de collecter ces données de façon incompatible avec les standards de protection des droits fondamentaux de l’UE ;
- Validé le recours aux Clauses Contractuelles Types de la Commission Européenne pour le transfert de données vers des pays situés en dehors de l’EEE (« CCT »), à la condition que les personnes concernées disposent de droits opposables et de recours effectifs et que ces clauses puissent, compte tenu de la législation du pays de l’importateur, être respectées par ce dernier.
Après que le Comité Européen pour la Protection des Données ait adopté le 11 novembre 2020 ses Recommandations 01/2020 concernant les mesures supplémentaires pour les transferts internationaux de données, c’est au tour de la Commission Européenne de proposer, le 12 novembre 2020, un projet de nouvelles CCT, c’est-à-dire un modèle-type de contrat à conclure entre exportateurs européens et importateurs de données étrangers, permettant de garantir que ces dernier assureront une protection équivalente à celle qui prévaut dans l’Espace Economique Européen (EEE).
Il ne s’agit que d’un projet, ouvert aux procédures de la comitologie européenne jusqu’au 10 décembre 2020. Les entreprises et collectivités espèrent donc disposer de nouvelles CCT pour les fêtes de fin d’année. Ces CCT pourraient donc différer du présent projet dans leurs modalités mais ni les principes ni la logique générale ne devraient être modifiés dans la version définitive.
Les dernières CCT avaient été adoptées en 2010, soit 8 ans avant l’entrée en application du RGPD. Les changements opérés sont donc importants puisqu’il s’agit de les adapter (i) aux nouvelles règles du RGPD, (ii) aux enseignements de l’arrêt Schrems II et (iii) aux pratiques contractuelles et opérationnelles qui se sont développées ces dernières années en matière de transferts internationaux.
QUI EST CONCERNÉ ?
L’ensemble des organisations situées dans l’EEE (entreprises, associations, collectivités publiques, etc.) qui transfèrent des données personnelles vers des entités situées en dehors de l’EEE, notamment par envoi des données depuis une base de données ou octroi d’un accès à une base de données, ou par publication sur internet. Pour entrer dans le processus de conclusion de ces nouvelles CCT, les organisations européennes devront mener à bien les analyses et mettre en place les procédures permettant de respecter les règles résumées ci-après.
Bien sûr, ces mesures peuvent différer d’un transfert à un autre. On peut distinguer deux grands cas de figure :
- Les transferts entre les entités d’un même groupe international de sociétés, qui exigeront un travail de cartographie des transferts et une structuration de la convention de transfert afin d’y faire entrer l’ensemble des entités du groupe ;
- Les transferts entre les organisations européennes et leurs prestataires étrangers, notamment les prestataires de services numériques, qui exigeront de l’exportateur un travail d’évaluation des risques, et des importateurs la capacité de standardiser leurs offres et leur documentation contractuelle de façon conforme aux nouvelles CCT.
A noter que la décision adoptant les CCT apporte une précision importante : elles s’appliquent entre des exportateurs qui sont soumis au RGPD et des importateurs qui ne sont pas soumis au RGPD, signifiant que :
- L’objectif de ces CTT est bien d’étendre, mais de façon contractuelle, les règles du RGPD en dehors de l’UE ;
- Lorsque l’importateur est déjà soumis au RGPD, en particulier parce qu’il cible le marché des consommateurs européens, les CCT ne suffisent pas : l’organisation étrangère doit en outre appliquer l’ensemble des dispositions du RGPD.
PÉRIODE DE TRANSITION ?
Tout comme l’article 46§5 du RGPD étendait la validité des précédentes CCT, l’actuel projet de CCT propose l’instauration d’une période transitoire d’un an. Cette période devra être mise à profit par les exportateurs et importateurs pour mener les analyses et mettre en place les mesures imposées par les nouvelles CCT.
Il n’est toutefois pas exclu que la durée de la période de transition diffère dans la version définitive.
UNE STRUCTURE ADAPTABLE ET EXHAUSTIVE
L’architecture des nouvelles CCT se complexifie afin d’embrasser toutes les situations pouvant être rencontrées en pratique. En contrepartie, leur utilisation exigera une réelle expertise en matière contractuelle.
Des CCT modulaires
Les nouvelles CCT sont modulaires, c’est-à-dire qu’elles s’appliquent aux relations :
- Entre responsables du traitement européens et responsables du traitement étrangers ;
- Entre responsables du traitement européens et sous-traitants étrangers ;
- Entre sous-traitants européens et étrangers ;
- Et même entre sous-traitant européen et responsables du traitement étranger.
Des CCT multipartites
Conformément à la pratique, les CCT contiennent des clauses qui organisent la possibilité pour les parties d’intégrer ces CCT au sein de conventions plus larges (convention de sous-traitance de données, convention de responsabilité conjointe, etc.), tant que les dispositions des CCT ne sont pas elles-mêmes contredites. Les CCT reconnaissent que ces conventions peuvent être conclues par plus de deux parties au transfert. Une clause organise également la possibilité pour de nouvelles organisations « d’entrer » dans les CCT et d’être liées par elles postérieurement à leur signature initiale, simplement en remplissant et en signant les annexes de ces CCT, qui doivent préciser les modalités des traitements.
UNE MISE À NIVEAU POUR CONFORMITÉ AU RGPD
Une plus grande transparence vis-à-vis des personnes concernées
Sur demande, les parties au transfert devront fournir copie des CCT aux personnes concernées. Si des exigences liées au secret des affaires font obstacle à une telle transmission, les CCT prévoient la possibilité de fournir un résumé de l’essentiel des clauses. Les personnes concernées devront avoir connaissance de l’identité précise des importateurs et des éléments leur permettant de les contacter directement.
De nouveaux droits pour les personnes concernées
Les nouveaux droits issus du RGPD et leurs modalités d’exercice sont intégrés dans les CCT : retrait du consentement, droit à la portabilité, droit à la limitation des traitements, droit de ne pas faire l’objet d’un traitement sans intervention humaine, droit d’information étendu, etc.
Les CCT organisent avec précision le droit pour les personnes concernées d’exercer ces différents droits et d’obtenir indemnisation directement auprès de l’importateur des données, sans passer par l’exportateur. En signant les CCT, l’importateur étranger, même lorsqu’il n’est qu’un sous-traitant, reconnait expressément qu’il donnera satisfaction aux demandes des personnes concernées.
Les relations de sous-traitance et les transferts ultérieurs
Les relations de sous-traitance sont encadrées de façon précise par les nouvelles CCT. On y retrouve les obligations de confidentialité du sous-traitant, des clauses d’audits très précises (notamment la répartition des frais de l’audit), les obligations de sécurité, de notifications des violations de données et les clauses d’assistance au responsable du traitement pour le respect de ses propres obligations.
Comme le prévoit l’article 28§4 du RGPD, les CCT prévoit également l’obligation pour le sous-traitant étranger de reporter l’ensemble des obligations des CCT dans les contrats avec ses propres sous-traitants.
Accountability – Les CCT imposent aux importateurs étrangers le principe selon lequel les organisations doivent être en mesure de démontrer leur conformité auprès des autorités européennes, en documentant les mesures mises en place dans des politiques et procédures écrites, dont le déploiement doit être contrôlé régulièrement. Ce principe obligera notamment les parties à cartographier les transferts qu’elles réalisent entre elles, en recensant leurs caractéristiques, les destinataires et sous-destinataires des données.
DES OBLIGATIONS DÉCLINÉES EN FONCTION DU TYPE DE RELATION
Modulaires, les nouvelles CCT se déclinent en fonction des quatre types de relations plus haut. Pour chacune de ces relations, les CCT rappellent les principes de limitation des finalités, de transparence pour les personnes concernées, de minimisation des données, de limitation des durées de conservation, de sécurité et d’accountability.
Quelques exemples :
- Dans les relations entre responsables du traitement, un devoir de coopération est instauré permettant à l’exportateur de conserver un contrôle strict sur les traitements qui seront réalisés par l’importateur, notamment concernant les finalités des traitements et les durées de conservation ; l’importateur se soumet directement aux pouvoirs des autorités de contrôle européennes : il doit par exemple notifier directement les violations de données à ces autorités ;
- Dans les relations avec les sous-traitants, ces derniers sont soumis aux instructions du responsable, conformément à l’article 28 du RGPD ;
- Enfin, lorsqu’un prestataire européen traite avec un responsable du traitement étranger, les CCT lui reconnaissent un pouvoir d’instruction mais précisent que ces dernières ne peuvent contrevenir aux règles du RGPD.
Les finalités, catégories de données et durées de conservation applicables sont précisées dans les annexes aux CCT. Les mesures de sécurité appliquées par les parties sont également documentées dans les annexes, qui listent ces mesures de façon beaucoup plus détaillée que dans les précédentes CCT.
LES CONSÉQUENCES DE L’ARRÊT SCHREMS II DE LA CJUE
Suivant en cela les enseignements de l’arrêt Schrems II, les parties garantissent que la législation du pays de l’importateur permettra à ce dernier de respecter les CCT. Un référentiel de conformité de cette législation est même précisé, notamment l’existence pour les personnes concernées de droits opposables et de recours effectifs.
Nouveauté importante : cette évaluation de la conformité de la législation de l’importateur doit être documentée par les parties et tenue à disposition des autorités à première demande.
Par conséquent, l’importateur doit notifier l’exportateur s’il craint qu’une loi de son pays l’empêche de respecter les clauses. Si l’exportateur a de quelconques raisons de croire que l’importateur ne pourra respecter les CCT, les parties devront mettre en place des mesures techniques et organisationnelles supplémentaires (notamment des mesures de contrôle d’accès et d’anonymisation ou de pseudonymisation), et en informer l’autorité de protection compétente. Si ces mesures ne suffisent pas à remédier aux risques, l’exportateur est dans l’obligation d’interrompre le transfert.
En cas de requête des autorités du pays de l’importateur, obligeant ce dernier à fournir un accès à ces autorités, les CCT obligent l’importateur à faire tous ses efforts pour limiter cet accès et à fournir un maximum d’informations à l’exportateur et aux autorités européennes sur cet accès et les données concernées.
L’évaluation des législations étrangères devient donc un chantier dans lequel collaboreront les autorités européennes et les organisations qui réalisent des transferts à l’étranger.
En soumettant directement les organisations étrangères aux pouvoirs des autorités européennes et aux droits des personnes concernées, sous la responsabilité de l’exportateur européen, ces nouvelles CCT deviennent un instrument privilégié pour l’extra-territorialisation du droit européen et des pratiques européennes en matière de protection des données.