Les très attendues nouvelles Clauses Contractuelles Types (« CCT ») ont été adoptées par la Commission européenne le 4 juin 2021 et publiées le 7 juin 2021.

Les nouvelles CCT entreront en vigueur vingt (20) jours après leur publication, soit le 27 juin 2021 et les anciennes CCT seront abrogées trois mois après, soit le 27 septembre 2021.

Il est important de se préparer à ce changement. Voici donc sans tarder quelques commentaires préliminaires sur les nouvelles CCT.

Calendrier

La décision de la Commission européenne contient une clause en vertu de laquelle :

  • Les organisations qui concluent de nouveaux contrats devront utiliser les nouvelles CCT après le 27 septembre 2021 (date d’abrogation des anciennes CCT) et
  • Les organisations ayant en place les anciennes CCT, avant la date d’abrogation du 27 septembre 2021 peuvent continuer à les utiliser pendant quinze (15) mois après cette date, soit jusqu’au 27 décembre 2022. En tout, les organisations disposeront ainsi d’une période de transition de plus dix-huit (18) mois après la publication. Après cette date, il ne sera plus possible de légitimer les transferts sur le fondement des anciennes CCT.

Une approche diversifiée et modulaire

Alors que les anciennes CCT ne traitaient que de deux scénarios de transfert (c’est-à-dire de (i) responsable de traitement à responsable de traitement et (ii) de responsable de traitement à sous-traitant), les nouvelles CCT appliquent une approche plus diversifiée et modulaire, couvrant quatre scénarios de transfert de données :

  1. de responsable de traitement à responsable de traitement ;
  2. de responsable de traitement à sous-traitant ;
  3. de sous-traitant à sous-traitant ; et
  4. de sous-traitant à responsable de traitement.

De plus, elles s’appliquent aux transferts ultérieurs.

Portée géographique

Les nouvelles CCT indiquent clairement qu’elles peuvent être utilisés non seulement par les responsables de traitement et les sous-traitants établis dans l’UE, mais également par les responsables de traitement ou sous-traitants qui ne sont pas établis dans l’UE, pour leurs activités de traitement soumises au Règlement Général sur la Protection des Données 2016/ 679 (« RGPD ») en application du critère de ciblage de l’article 3, paragraphe 2, du RGPD.

Les Parties

Les nouvelles CCT envisagent plusieurs parties aux accords et la possibilité d’adhérer à l’accord à tout moment, reflétant ainsi la pratique existante.

Stipulations couvrant l’article 28 du RGPD

Le module pour le transfert de responsable du traitement à sous-traitant intègre également les exigences de l’article 28 du RGPD concernant les contrats qui doivent être conclus (indépendamment du transfert international des données) entre ces parties.

Il ne sera donc pas nécessaire de conclure un contrat séparé supplémentaire, ce qui permet d’éviter les contradictions entre les deux documents contractuels.

Par ailleurs, ceci établit une norme pour les dispositions de l’article 28 du RGPD.

Contenu

Les nouvelles CCT sont plus contraignantes que les anciennes et imposent des obligations de type RGPD aux importateurs de données, telles que la transparence et les droits des personnes concernées. En outre, les nouvelles CCT couvrent, entre autres, les droits dont bénéficient les personnes concernées en tant que tiers bénéficiaires, la responsabilité (y compris, dans certains cas, la responsabilité solidaire des parties vis-à-vis des personnes concernées) et l’indemnisation ainsi que la surveillance par les autorités de contrôle de chaque État membre de l’UE.

En pratique elles exigent d’aller au-delà d’une simple signature des CCT , il faut compléter en détail un certain nombre de points.

Suite de la décision Schrems II

L’une des principales raisons pour lesquelles les nouvelles CCT sont si attendues est l’étendue potentielle de la protection qu’elles offriront aux entreprises transférant des données personnelles en dehors de l’Espace Économique Europréen (« EEE ») à la suite de l’arrêt Schrems II (CJUE Affaire C-311/18 Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, en date du 16 juillet 2020). [1]

Les conséquences de l’arrêt Schrems II ont été abordées par le Comité européen de la protection des données (« CEPD ») et le Contrôleur européen de la protection des données dans leur Avis conjoint 2/2021 sur les CCT pour le transfert de données à caractère personnel vers des pays tiers du 14 janvier 2021 et dans le projet de Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE de novembre 2020.

Le CEPD a notamment souligné que les parties doivent évaluer s’il existe dans la législation ou la pratique du pays tiers de destination quelque chose qui empêche l’importateur de données de remplir ses obligations contractuelles.  En fonction du résultat de cette évaluation, les parties doivent mettre en œuvre des mesures supplémentaires ponctuelles (contractuelles et techniques) pour assurer une protection adéquate aux personnes concernées. Par conséquent, une question clé était de savoir si l’utilisation des nouvelles CCT rendrait inutile pour les parties d’effectuer une telle évaluation et de mettre en œuvre des clauses supplémentaires ad hoc.

Les nouvelles CCT (clause 14) imposent toujours aux parties de procéder à une telle évaluation et qu’elles « garantissent » de n’avoir aucune « raison de croire » que les lois et pratiques applicables à l’importateur de données, y compris toute exigence concernant la divulgation ou l’accès aux données par les autorités publiques, empêchent l’importateur de données de se conformer aux nouvelles CCT.

En accordant cette garantie, les parties doivent procéder à une évaluation en tenant compte (i) des circonstances spécifiques du transfert (par exemple, la nature des données transférées, le but du traitement) ; (ii) de la législation et des pratiques du pays de destination et (iii) de toutes mesures complémentaires mises en œuvre. Il est cependant permis de prendre en compte des circonstances qui dépassent le cadre de la loi et des pratiques. Certains importateurs, auxquels s’applique une règlementation permettant aux autorités d’accéder aux données, mais pour lesquels il est peu probable qu’ils soient effectivement amenés à remettre les données aux dites autorités, peuvent être en mesure de garantir qu’ils n’ont aucune raison de croire qu’une telle législation les empêcherait de se conformer aux nouvelles CCT.

En outre, les CCT contiennent des engagements supplémentaires, que les parties doivent respecter lorsqu’ils sont confrontés à l’accès aux données par les autorités publiques du pays de l’importateur. Certains de ces engagements avaient d’ores et déjà été exigés en compléments des anciennes CCT par certaines des autorités de contrôle de l’UE et avaient été recommandés par le CEPD dans le projet d’avis susmentionné. Les CCT exigent, entre autres, que l’importateur notifie à l’exportateur (i) toute « demande juridiquement contraignante émanant d’une autorité publique », ou (ii) s’il « a connaissance de tout accès direct par les autorités publiques aux données personnelles transférées conformément aux présentes clauses ». L’importateur de données doit également « contester la demande si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer que la demande est illégale ».

Se préparer

Il est important que les entreprises prennent conscience du travail à venir. Les CCT nécessitent de la réflexion et vont donner lieu à négociation entre les parties. Compte tenu du nombre de cas dans lesquels des données personnelles sont « transférées » hors de de l’EEE à l’aide de CCT, certaines sociétés mettent en place une véritable gestion de projet et un programme de formation des opérationnels sur le contenu des CCT. Les délais dans lesquelles les nouvelles CCT sont à mettre en œuvre sont plus courts qu’il n’y paraît.

Nous fournirons une description plus détaillée des nouvelles CCT dans un article de suivi. N’hésitez pas à contacter notre équipe Data Privacy and Cybersecurity si vous avez besoin d’aide pour la mise en œuvre des nouvelles CCT ou le transfert international de données personnelles en général.

Cet article est disponible en langue anglaise sur notre blog www.securityprivacybytes.com

[1] Lire notre article La CJUE condamne le Privacy Shield et sauve les Clauses Contractuelles Type mais, avec d’importantes mises en garde