Le 4 juin 2021, la Commission européenne a publié deux nouveaux ensembles de clauses contractuelles :
- Un jeu de clauses pour le transfert de Responsable de traitement au sous-traitant au sein de l’Union (clauses RT -ST) afin de se conformer à l’article 28 du RGPD (ici).
- Une nouvelle version des clauses contractuelles types pour les transferts internationaux de données personnelles (ici).
Bien que les clauses RT-ST n’étaient pas forcément attendues puisque la plupart des organisations ont dû mettre à jour leurs clauses RGPD il y a trois ans, il est toujours utile d’avoir un modèle standard pour vérifier quel est le niveau de conformité attendu.
Au contraire, la nouvelle version ensemble de clauses contractuelles types (CCT) était très attendue dans la mesure où les anciennes CCT étaient difficiles à utiliser dans un environnement complexe et, surtout, n’étaient pas conformes aux exigences du RGPD et aux normes fixées par la Cour de Justice de l’Union européenne suite à la décision Shrems II exigeant qu’une évaluation de la législation du pays destinataire soit effectuée avant le transfert des données. (voir ici pour plus de détails).
Bien que le nouvel ensemble de CCT permette une plus grande flexibilité, il laisse toujours aux organisations, qui transfèrent des données personnelles hors de l’UE, le soin d’évaluer si la législation du pays tiers destinataire pourrait potentiellement contredire le contenu des clauses et le RGPD.
Cet article se concentrera sur les principales nouveautés de la nouvelle version de CCT que vous pouvez trouver ici.
Date d’entrée en vigueur de la nouvelle version des CCT et période de 3 mois pour mettre à jour les anciennes CTT actuellement utilisées
La CE a publié la nouvelle version de CCT le 4 juin 2021. Cependant, pour être exécutoire, elle doit être publiée au Journal officiel, ce qui n’a pas encore été fait.
La décision entrera en vigueur vingt jours plus tard après sa publication et les anciennes CTT seront automatiquement abrogées trois mois après l’entrée en vigueur de la décision.
En pratique, cela signifie que toutes les organisations s’appuyant sur l’ancienne version des CCT doivent prendre les mesures nécessaires pour mettre à jour leur contrat de transfert international de données dans un délai de 3 mois et 20 jours à compter de la publication de la décision au Journal officiel de l’UE.
Champ d’application des nouvelles CCT
Les nouvelles CCT prévoient des modules/clauses optionnelles afin de pouvoir être utilisée entre les types de parties suivants :
- Responsable de traitement à Responsable de traitement (RT – RT)
- Responsable de traitement à Sous-traitant (RT – ST)
- Sous-traitant à Sous-traitant (ST – ST)
- Sous-traitant à Responsable de traitement (ST – RT)
Les deux dernières options sont les innovations apportées par cette nouvelle version des CCT.
Toutefois, la Commission européenne a précisé dans sa décision que les CCT ne sont nécessaires que dans la mesure où le traitement effectué par l’importateur de données, qu’il soit responsable du traitement ou sous-traitant, ne relève pas du champ d’application du RGPD.
Par conséquent, si l’importateur de données est situé en dehors de l’UE mais est soumis au RGPD dans le cadre des opérations de traitement qu’il est censé effectuer, les CCT ne devrait pas être nécessaire puisque le RGPD est directement applicable.
Cette position nécessite des clarifications de la part de la Commission européenne car elle pourrait être trompeuse. (À notre avis, cela signifie plutôt que les CCT ne sont pas nécessaires lorsque l’importateur a (dû) désigné un représentant dans l’UE dans le cadre de ses obligations au titre du RGPD pour ce type d’activités de traitement. En effet, ce serait la garantie que le RGPD s’applique directement à l’importateur des données et que les droits des personnes concernées peuvent être appliqués).
Par ailleurs, et pour éviter toute confusion, les clauses ST-RT ne sont utiles qu’entre le responsable de traitement importateur qui n’est pas soumis au RGPD et son propre sous-traitant qui, lui, est soumis au RGPD (par opposition au sous-traitant qui transfère les données au Responsable de traitement importateur sur instruction d’un autre responsable de traitement).
En pratique, et notamment dans le cas d’un accord intragroupe, il serait recommandé de créer un ensemble de clauses pour chaque situation, car cela faciliterait la lecture et la compréhension du document.
Contenu et utilisation
Le contenu des CCT n’est pas très différent de celui de l’ancienne mouture dans le sens où il exige des types d’informations similaires dans l’annexe (finalités et nature du traitement, catégories de données, etc.), prévoit des clauses de tiers bénéficiaires (c’est-à-dire les droits des personnes concernées en cas de violation des clauses).
Elle offre toutefois une plus grande flexibilité quant à son utilisation. En effet, elle autorise désormais expressément l’utilisation des CCT dans un accord multiparties. Cela ne signifie pas que c’était interdit auparavant mais que ce qui était autorisé ou non n’était pas clair. Cela rendait la rédaction d’un accord multipartite difficile et juridiquement incertain.
Ainsi, il est maintenant possible d’utiliser une annexe par type de transfert et plusieurs parties peuvent y adhérer.
Il est également possible pour une nouvelle partie d’adhérer aux CCT à un stade ultérieur, à condition que les autres parties l’acceptent.
Évaluation de la législation du pays tiers destinataire
La législation ou tout contrat entre les parties ne doit pas contredire de quelque manière que ce soit le contenu des CCT ou avoir pour effet d’empêcher son application. Cette exigence n’est pas nouvelle, mais elle est désormais soulignée par le récent arrêt de la CJUE (Schrems II).
En conséquence, si la législation du pays tiers où se trouve le destinataire devait empêcher ce dernier de se conformer aux CCT, il devrait, en principe, cesser de recevoir les données à caractère personnel et en informer l’exportateur.
En outre, la CJUE a statué, dans la décision Schrems II, que pour envoyer des données à un pays tiers sur la base des (anciennes) CCT, le responsable du traitement doit procéder à une évaluation de la législation locale et, s’il s’avère qu’elle ne respecte pas l’essence des droits et libertés fondamentaux ou qu’elle excède ce qui est nécessaire et proportionné dans une société sociale et démocratique pour sauvegarder les objectifs fixés à l’article 23 (1) du RGPD (c’est-à-dire la sécurité nationale, etc.), il doit mettre en œuvre des mesures supplémentaires. Si, malgré la mise en œuvre de ces mesures supplémentaires, l’envoi des données n’est toujours pas sûr, le transfert doit être considéré comme illégal.
Les nouvelles CCT, au lieu d’aider le responsable du traitement à effectuer cette évaluation, impose à ce dernier l’obligation d’effectuer cette évaluation en tenant compte de ce qui suit :
- la spécificité du transfert (durée, type de données, etc.) ;
- les lois et pratiques du pays tiers de destination ;
- toute garantie contractuelle ou technique pertinente
Elles exigent également que le responsable du traitement soit en mesure de démontrer qu’il a procédé à cette évaluation à la demande de l’autorité compétente.
Cette clause, bien que conforme à l’arrêt de la CJUE, n’est pas très utile et fait peser une lourde charge sur les épaules du responsable du traitement.
En effet, étant donné que la Commission européenne a échoué à deux reprises à effectuer une évaluation correcte en ce qui concerne les États-Unis, il semble hors de portée de la plupart des organisations d’être en mesure de procéder à une telle évaluation et risque de créer beaucoup d’incertitudes juridiques.
Toutefois, elles peuvent s’appuyer sur les lignes directrices du CEPD pour effectuer cette évaluation et trouver les mesures correctes (voir ici).
Loi applicable
À l’exception du transfert du sous-traitant au responsable de traitement, la loi applicable devrait être celle d’un État membre qui autorise les droits des tiers bénéficiaires.
Dans le premier cas, il peut s’agir de la loi de n’importe quel pays dans la mesure où elle autorise les droits des tiers bénéficiaires.
Par conséquent, avant de choisir la loi applicable, il faut s’assurer que la loi du pays choisi permet aux tiers, tels que les personnes concernées, de faire valoir les droits découlant d’un contrat auquel ils ne sont pas parties.
Si vous avez besoin d’aide ou si vous avez des questions, n’hésitez pas à contacter Arnaud Blanc.
Cette publication est également disponible en en_GB.