Clauses contractuelles types de la Commission Européenne : Une nouvelle étape de mise en conformité au RGPD
Une nouvelle étape dans la conformité au RGPD vient de s’ouvrir avec l’abrogation définitive le 27 septembre 2021 des anciennes clauses contractuelles types de la Commission Européenne encadrant les transferts internationaux de données hors Europe.
Toute entreprise Européenne souhaitant transférer vers un pays tiers à l’Espace Economique Européen des données personnelles collectées auprès d’individus situés au sein de cet espace est contrainte de respecter le cadre prévu par le RGPD à cet effet.
Un tel transfert est notamment permis lorsque la Commission Européenne a adopté une décision d’adéquation venant attester qu’un pays tiers assure un niveau de protection adéquat des données personnelles. Plusieurs pays tiers bénéficient aujourd’hui d’une telle décision d’adéquation, dont très récemment le Royaume-Uni depuis sa sortie de l’Union Européenne. Une décision d’adéquation peut par ailleurs être retirée lorsque le niveau de protection du pays tiers concerné fait défaut, ce qui a été le cas pour les Etats-Unis suite à l’invalidation de l’accord UE/US « Privacy Shield » par la Cour de Justice de l’Union Européenne (CJUE) le 16 juillet 2020.
A défaut de décision d’adéquation, tout transfert vers le pays concerné doit être encadré par l’une des « garanties appropriées » prévues par le RGPD. C’est ici qu’interviennent les clauses contractuelles types adoptées par la Commission Européenne. Ces clauses permettent d’étendre, par le biais d’un accord contractuel conclu entre l’exportateur et l’importateur des données, le champ d’application territorial du RGPD.
C’est sur les clauses contractuelles types que repose aujourd’hui la conformité de la majorité des flux de données entre l’Espace Economique Européen et le reste du monde, via notamment les accords internationaux intra-groupe d’entreprises les intégrant ou encore par leur insertion au sein des conditions contractuelles régissant les relations B2B transfrontalières.
La majorité de ces accords est aujourd’hui basée sur les précédentes clauses contractuelles types adoptées par la Commission Européenne dont la dernière mise à jour remontait à 2010, soit bien avant l’adoption du RGPD.
Dans ce contexte, la Commission Européenne a adopté de nouvelles clauses contractuelles types le 4 juin 2021, avec une période de transition de trois mois. Toute entreprise souhaitant aujourd’hui transférer vers un pays tiers des données personnelles d’individus situés dans l’Union Européenne à l’aide de ce mécanisme, doit désormais conclure avec l’importateur concerné les nouvelles clauses.
Les accords existants conclus avant le 27 septembre 2021 restent toutefois valides pour une période supplémentaire de quinze mois à l’issue de laquelle ils devront également être remplacés par les nouvelles clauses.
Les principaux changements résultant des nouvelles clauses contractuelles types
Les modifications apportées par la Commission Européenne aux clauses contractuelles types sont nombreuses. Elles consistent en premier lieu à intégrer les avancées majeures du RGPD telles que notamment le renforcement des obligations de transparence, de sécurité, d’effacement ou encore de minimisation des traitements.
Les nouvelles clauses renforcent par ailleurs significativement les stipulations venant encadrer le risque d’accès par des autorités publiques étrangères aux données exportées. Ces stipulations reprennent ici directement les acquis de la jurisprudence Schrems II ayant invalidé le Privacy Shield.
Les nouvelles clauses obligent en ce sens les parties à réaliser une étude préalable de la législation du pays tiers importateur et du risque d’interception ou de divulgation de données, afin de déterminer si des mesures complémentaires de type contractuelles, techniques ou organisationnelles, doivent être être mises en œuvre en complément de la seule adoption des clauses contractuelles types.
L’approche des nouvelles clauses est modulaire. Elles permettent en ce sens d’encadrer des transferts qui n’étaient jusqu’ici pas envisagés, dont notamment les transferts d’un sous-traitant Européen vers un sous-traitant situé dans un pays tiers qui nécessitaient jusqu’à présent un mandat du responsable de traitement afin de permettre à son sous-traitant de réaliser un tel transfert.
On notera par ailleurs la volonté de résoudre quelques difficultés pratiques inhérentes aux précédentes clauses par l’adoption de la la clause dite « d’adhésion » permettant à une partie d’adhérer à des clauses contractuelles d’ores et déjà en place entre plusieurs parties, ce qui présente notamment un intérêt dans le cadre des accords intra-groupe.
Un nouveau chantier de mise en conformité
La mise en place de nouveaux accords de transferts et la remise à niveau des accords existants constitueront nécessairement un nouveau chantier de mise en conformité. Les clauses contractuelles types ne peuvent en aucun cas être signées telles quelles. Les annexes venant décrire les transferts ont été complétement repensées et impliquent désormais de détailler avec précision les traitements objets des transferts.
Les parties doivent par ailleurs stipuler les transferts ultérieurs, c’est à dire tout transfert de l’importateur vers un tiers, et ce même si ce dernier est situé dans le même pays que l’importateur. Le degré de détail attendu soulèvera immanquablement des interrogations, notamment en ce qui concerne les accords portant sur une multitude de traitements et de données, dont les accords visant à organiser la circulation de données au sein des groupes de sociétés.
Les exigences formelles quant à la définition des mesures de sécurité sont également considérablement renforcées, toute description dans des termes généraux étant expressément exclue.
Chaque organisation devra par ailleurs s’interroger sur la législation de chaque pays tiers vers lequel elle entend exporter les données, et sur la nécessité d’envisager des mesures complémentaires comme par exemple des solutions techniques de chiffrement.
Au premier chef, une cartographie des transferts doit donc être menée. Au travers de cet exercice imposé, l’objectif du régulateur est d’obliger à la remise à plat des transferts hors Union et de mettre fin à ces transferts dès lors que la protection et l’absence de risque de divulgation ou interception des données dans le pays tiers concerné ne sont pas garanties. En creux, un vrai objectif de souveraineté numérique pour l’Union Européenne.
