La Commission renforce les garanties contractuelles pour le transfert des données hors UE
Un niveau supérieur vient d’être franchi en Europe, sur le terrain de la protection des données. La Commission européenne a adopté de nouvelles clauses contractuelles types (CCT) pour sécuriser les échanges de données à caractère personnel. Elles adopte deux séries de CCT devant être utilisées pour le transfert de données personnelles vers des pays tiers, et notamment les Etats-Unis.
Les clauses contractuelles types sont un mécanisme (parmi d’autres) de transfert de données vers des pays tiers. Elles ont pour but de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert. Leur mise à jour était nécessaire en vertu de l’entrée en vigueur du RGPD en 2018 et plus récemment, de la décision de la CJUE dans l’affaire Schrems II. Si les précédentes CCT se faisaient vieillissantes, puisqu’elles dataient de 2010, ce second élément contextuel a servi d’« accélérateur » puissant à ces mises à jour, a commenté Benjamin Znaty, collaborateur senior au sein du département IP-IT au sein du cabinet Taylor Wessing, à ZDNet.
« Ces nouveaux outils offriront une plus grande prévisibilité juridique aux entreprises européennes et aideront en particulier les PME à garantir le respect des exigences en matière de transferts sécurisés de données, tout en permettant aux données de circuler librement par-delà les frontières, sans barrières juridiques », a déclaré la Commission dans un communiqué.
Aider les entreprises à se conformer au RGPD
D’un point de vue business, ces nouvelles CCT serviront de « point d’entrée unique couvrant un large éventail de scénarios de transfert, plutôt que des séries de clauses distinctes » dit la commission. Elles introduisent une « approche modulaire » entre les responsables de traitement et leurs sous-traitants, en offrant la possibilité à « plus de deux parties d’adhérer aux clauses et de les utiliser ».
Benjamin Znaty s’accorde à dire que c’est l’une des avancées majeures qu’il faut retenir de ces nouvelles mises à jour contractuelles. « Ces CCT permettent de résoudre des situations qui posaient problème avant » explique-t-il à ZDNet, citant par exemple l’utilisation d’un logiciel ou d’un hébergeur américain par une entreprise européenne. « Si je suis une entreprise française et que j’utilise par exemple un logiciel français, on sait que cet éditeur SaaS lui-même se repose sur des éditeurs potentiellement américains. Cette situation n’était pas gérée jusqu’à aujourd’hui. Les sous-traitants français vont pouvoir envoyer les données vers les sous-traitants hors Europe. »
Près d’un an après l’invalidation du Privacy Shield, la commission offre également « un aperçu des différentes mesures que les entreprises doivent prendre pour se conformer à l’arrêt Schrems II » et des exemples de « mesures supplémentaires » éventuelles à mettre en place si nécessaire, telles que le chiffrement. « Après l’arrêt Schrems II, il était de notre devoir et de notre priorité de proposer des outils conviviaux sur lesquels les entreprises peuvent s’appuyer pleinement. Ce train de mesures aidera considérablement les entreprises à se conformer au RGPD » justifie en ce sens Didier Reynders, commissaire chargé de la justice.
Prenant donc en compte la jurisprudence Schrems, ces nouvelles CCT introduisent notamment les risques d’atteinte aux données par des législations extra-européennes. Si l’importateur de données reçoit d’une autorité publique une « demande juridiquement contraignante » de divulgation de données à caractère personnel transférées, il doit en informer l’exportateur de données et la personne concernée, dans la mesure du possible, dit la décision. Les parties conviennent de conserver une trace documentaire de l’évaluation et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
Quid des mesures complémentaires ?
Une « autre strate » vient complexifier les clauses contractuelles types, celle des « mesures complémentaires », analyse Benjamin Znaty. Dans sa décision en juillet dernier, la CJUE a estimé que le droit américain en matière d’accès aux données par les services de renseignement ne permet pas d’assurer un niveau de protection essentiellement équivalent, de sorte que la poursuite des transferts de données personnelles vers les Etats-Unis sur la base des CCT doit dépendre, si une entreprise le juge nécessaire, de mesures supplémentaires pour réétablir un niveau de protection suffisant.
Ces mesures additionnelles peuvent être techniques, juridiques voire organisationnelles, comme le détaille le Comité européen de la protection des données. En réalité, on parle ici surtout de mesures techniques, comme le chiffrement et la pseudonymisation des données, précise Thibault Douville, professeur de droit à l’université de Caen, à ZDNet. Benjamin Znaty souligne que ce travail doit se faire « au cas par cas » et dans des eaux parfois troubles, les entreprises devant « naviguer à vue pour comprendre ce qu’elles doivent faire, ce qui n’est pas évident. »
C’est surtout un énorme chantier qui attend les responsables de traitement, s’accordent à dire les observateurs. Les parties prenantes doivent notamment évaluer si les lois existant dans le pays de l’importateur vont effectivement interférer avec leurs obligations en matière de protection des données. Selon Max Schrems, ces nouvelles règles « ne feront qu’accroître la paperasse et la responsabilité des entreprises » écrit-il sur Twitter. Il précise que les entreprises « devront désormais évaluer elles-mêmes des lois comme la FISA et se garantir mutuellement que tout est bon. »
Thibault Douville confirme également que le fait d’intégrer dans le contrat des « obligations de vigilance et de coopération » entre émetteurs et destinataires des données fait peser « des obligations lourdes » sur les épaules des responsables de traitement. D’autant qu’il reconnaît que cette mise à jour des CCT a finalement « une portée pratique limitée » pour les transferts de données vers des pays tiers.
“Un mouvement global vertueux”
Thibault Douville note, par ailleurs, qu’il y a un réel aspect de souveraineté sous-jacent derrière ces réformes, qui pourrait bien encourager les entreprises situées dans l’UE à « ne pas transférer, ou transférer simplement quand il y a une décision d’adéquation ».
Mais quoi qu’il en soit, les entreprises disposent à présent d’un cadre plus clair sur les exigences et nécessités en matière de protection des données personnelles des européens. Ce qui est certain, assure Thibault Douville, c’est « qu’au-delà de la fonction de conformité, il y a aussi une fonction pédagogique », où les responsables de traitement ont finalement « un panorama global de ce qu’il faut faire ».
C’est aussi ce que retient, en substance, Benjamin Znaty : « Ces CCT vont participer à une meilleure protection des données des européens, comme l’a fait le RGPD. C’est un mouvement global vertueux » conclut-il.
