Plusieurs documents importants relatifs aux règles encadrant les transferts de données personnelles ont été publiés la deuxième semaine de novembre 2020 par le Comité Européen de Protection des Données ou « CEPD » (en anglais « EDPB ») et la Commission européenne. La Commission a aussi publié un projet de clauses contractuelles types pour les relations entre un responsable de traitement et un sous-traitant.
Ces documents ont pour objet d’offrir des outils qui sont à jour des dispositions du Règlement (UE) 2016/679, Règlement Général sur la Protection des Données (RGPD).
-
Transferts de données personnelles vers des pays tiers
A la suite de l’arrêt de la CJUE du 16 juillet 2020 dans l’affaire dite « Schrems II » concernant le transfert international de données personnelles (voir notre article ) les entreprises et organismes publics attendaient des recommandations de la part des autorités européennes sur les mesures qui doivent être mises en œuvre en vue de pouvoir transférer les données personnelles vers un pays tiers dans le respect du RGPD.
Les documents suivants ont été publiés en vue de la mise en œuvre des éléments identifiés par l’arrêt Schrems II.
1.1 Documents du CEPD (EDPB)
Le CEPD/EDPB a publié deux documents en langue anglaise en date du 10 novembre 2020.
Ce document décrit les différents éléments à prendre en compte, les étapes à suivre (6 étapes), les sources potentielles d’informations et des exemples de mesures complémentaires qui pourraient être mises en place, pour assurer un niveau de protection suffisant lorsque les données personnelles sont transférées en dehors de l’Espace Economique Européen (EEE) vers des pays ou destinations ne bénéficiant pas d’une décision d’adéquation de la Commission européenne.
Les organisations seront rassurées de lire que les transferts vers des pays tiers jugés « adéquats » par décision de la Commission européenne ne nécessiteront pas d’autres étapes. Cela dit, les recommandations soulignent que les transferts internationaux sont généralement complexes et que les entreprises doivent, dans un premier temps, cartographier l’intégralité des transferts (y compris les transferts ultérieurs).
Pour les transferts vers des pays ne bénéficiant pas d’une décision d’adéquation de la Commission européenne, les recommandations adoptent une position très stricte sur les conditions dans lesquelles les transferts internationaux vers ces pays tiers seront conformes dans le cadre de l’un quelconque des mécanismes de transfert disponibles (CCT, BCR, codes de conduite, certifications, etc.).
Les recommandations énumèrent un certain nombre de scénarios parmi lesquels ceux dans lesquels «aucune mesure efficace [de protection] n’a pu être trouvée» . Il s’agit notamment du « cas d’utilisation n° 6 : Transfert vers des fournisseurs de services cloud ou d’autres sous-traitants qui nécessite un accès aux données en clair » et « cas d’utilisation n° 7: Accès à distance aux données à des fins professionnelles » (dont un exemple typique est le transfert entre sociétés d’un même groupe ou appartement à un groupe d’entreprises exerçant une activité économique commune).
Le CEPD indique également que les organisations peuvent se prévaloir de l’une des dérogations prévues à l’article 49 du RGPD, mais uniquement en cas de transferts occasionnels et non répétitifs et si les organisations remplissent les conditions de la dérogation correspondante.
Le CEPD a également produit une feuille de route graphique illustrant les 6 étapes décrites dans ses recommandations, intégrant les points soulevés par la jurisprudence de la CJUE dans l’arrêt « Schrems II ».
La recommandation 01/2020 est soumise à consultation et des commentaires peuvent être soumis jusqu’au 21 décembre 2020 (le délai initial du 30 novembre ayant été prolongé).
– Recommandations 02/2020 sur les garanties essentielles européennes pour les mesures de surveillance
Ce document a pour objet d’approfondir le document de travail préparé par le prédécesseur du CEPD, le groupe de l’article 29, sous l’égide de la Directive, après l’arrêt « Schrems I » invalidant le Safe Harbor. Il traite des justifications possibles aux ingérences dans les droits fondamentaux à la vie privée et à la protection des données découlant de mesures de surveillance lors du transfert de données à caractère personnel. Il intègre notamment la jurisprudence de la CJUE en rapport avec les articles 7, 8 et 47 de la Charte des droits fondamentaux et la jurisprudence de la Cour européenne des droits de l’homme (« CEDH ») en rapport avec l’article 8 de la Convention européenne des droits de l’homme.
Ces recommandations 02/2020 sont un guide pour l’une des étapes des recommandations 01/2020 susmentionnées (c’est-à-dire l’étape 3 qui consiste à évaluer s’il y a quelque chose dans la loi ou la pratique du pays tiers qui pourrait avoir une incidence, dans le contexte du transfert en question, sur l’efficacité des garanties offertes par les outils de transfert auxquels l’organisation a recours).
1.2 Documents de la Commission Européenne
Les Clauses Contractuelles Types (CCT) sont un outil de transfert qui peut servir à assurer, par le biais d’un engagement contractuel, un niveau de protection essentiellement équivalent pour les données transférées vers des pays tiers.
La Commission européenne a publié le 12 novembre 2020 un projet de décision et un projet de Clauses Contractuelles Types pour les transferts vers un pays tiers.
Ces nouvelles CCT doivent remplacer les anciennes CCT adoptées sous l’égide de l’ancienne Directive de 1995 sur la protection des données personnelles (à savoir à la fois les CCT pour les transferts d’un responsable de traitement à un autre responsable de traitement et les CCT pour les transferts d’un responsable de traitement à un sous-traitant).
Le projet de nouvelles CCT couvre dans un seul document 4 cas de figure/modules : tout d’abord les cas de figure couverts aujourd’hui, à savoir les transferts de responsable de traitement à responsable de traitement (RT à RT) et de responsable de traitement à sous-traitant (RT à ST) mais aussi de façon nouvelle les transferts de sous-traitant à sous-traitant (ST à ST), et de sous-traitant à responsable de traitement (ST à RT) ainsi que les transferts ultérieurs. Les CCT peuvent aussi être utilisées par des organisations non établies dans l’UE, qu’elles soient RT ou ST, pour les activités de traitement qui sont régies par le RGPD en application du critère de ciblage de l’article 3 (2) RGPD.
Reflétant la pratique établie, elles envisagent qu’il puisse y avoir des parties multiples et des adhésions de nouvelles parties dans le temps.
Les nouvelles CCT sont contraignantes et imposent aux importateurs de données des obligations similaires au RGPD. Elles contiennent entre autres, des dispositions sur les droits des personnes concernées en tant que tiers bénéficiaires, la responsabilité (y compris dans certains cas la responsabilité solidaire des parties à l’égard des personnes concernées) et l’indemnisation ainsi que la surveillance par les autorités de contrôle des États membres de l’UE.
Comme pour les CCT existantes, les clauses proposées peuvent être complétées mais sans contredire le texte des CCT ni limiter les droits fondamentaux des personnes concernées.
Les CCT ont aussi vocation à permettre le transfert de données dans le respect du Règlement (UE) 2018/1725 qui établit les règles de protection des données applicables aux institutions de l’UE.
Ces documents sont soumis à consultation jusqu’au 10 décembre 2020. Outre la consultation, la Commission européenne demandera un avis au contrôleur européen de la protection des données et au CEPD (qui peut émettre un avis conjoint). Cette étape est considérée comme importante pour minimiser toute divergence des CCT avec les recommandations du CEPD susmentionnées. Les CCT ne seront définitives qu’après une décision positive d’un comité de représentants des États membres de l’UE (prévue pour début 2021).
Une fois les nouvelles CCT adoptées, les organisations auront un an pour remplacer les anciennes CCT.
-
Contrats entre responsables de traitement et sous-traitants dans l’UE (article 28 RGPD)
Le 7 septembre 2020, le CEPD/EDPB a publié un projet de lignes directrices sur les notions de Responsables de traitement et Sous-traitants dans le cadre du RGPD- en anglais Guidelines 07/2020 on the concepts of controller and processor in the GDPR (sur lesquelles nous avons publié une série d’articles [1] ). Ces lignes directrices traitent notamment des relations contractuelles entre responsable de traitement et sous-traitant en application de l’article 28 du RGPD.
La Commission européenne a publié le 12 novembre un projet de décision et un projet de Clauses Contractuelles Types entre responsable de traitement et sous-traitant au sein de l’UE/ EEE pour couvrir les exigences visées à l’article 28 (3) et (4) du RGPD. Ces CCT ne reflètent pas le niveau de détail recommandé par le projet de lignes directrices du CEPD/ EDBP susmentionnées, mais reproduisent une partie des articles prévus pour les relations RT à ST contenues dans les projets de CCT régissant les transferts internationaux. L’interaction entre ces clauses et les CCT couvrant les transferts internationaux RT à ST reste à traiter.
Les CCT couvrant les transferts internationaux ont aussi vocation à être utilisées dans le cadre du traitement de données pour les institutions de l’UE (voir ci-dessus)
Il ne sera pas obligatoire d’utiliser ces CCT, car les parties restent libres de négocier différentes variantes d’accords sur le traitement de données tant qu’ils se conforment à l’article 28 du RGPD; cependant, les CCT publiées par la Commission offriront un degré de sécurité juridique aux parties quant à leur conformité aux exigences du RGPD.
– Clauses contractuelles entre RT et ST au sein de l’UE
Ces documents sont soumis à consultation jusqu’au 10 décembre 2020. La même procédure que celle décrite ci-dessus s’appliquera.
Vous pouvez trouver la version anglaise de cet article ICI.
L’équipe internationale de Protection des Données Personnelles et de Cybersécurité de Squire Patton Boggs est à votre disposition pour vous aider à évaluer l’impact que cette réglementation peut avoir sur votre organisation et vous conseiller sur la gamme d’options disponibles, ainsi que pour vous aider plus généralement dans la démarche de conformité au RGPD.
[1] « Lumières sur le projet de lignes directrices du CEPD sur les Responsables de traitement et Sous-traitants dans le cadre du RGPD »: Partie 1 – Les sous-traitants, Partie 2 – Les responsables de traitement, Partie 3 – Les responsables conjoints de traitement, Partie 4 – Les tiers et destinataires