Dossier réalisé par LexisNexis, partenaire de l'AFJE
La Commission européenne a tiré les enseignements de la décision de la Cour de justice de l'Union européenne dans l'affaire Schrems II en publiant, le 4 juin 2021, une décision d'exécution relative aux clauses contractuelles types (ci-après les « nouvelles CCT ») venant remplacer les clauses contractuelles types issues des décisions 2001/497/CE du 15 juin 2001 et 2010/87/UE du 5 février 2010 (ci-après les « anciennes CCT »), qui encadraient respectivement les transferts entre responsables de traitement et les transferts entre responsable de traitement et sous-traitant. L'adoption de ces nouvelles clauses est obligatoire depuis le 27 septembre 2021 pour les contrats conclus après cette date, et, pour les autres, ils doivent faire l'objet d'un avenant intégrant ces clauses au plus tard le 27 décembre 2022. Toutes les organisations doivent se mettre à l'ouvrage rapidement, pour intégrer cet important changement.
Étude rédigée par
Soucieux de préserver l'efficacité du régime de protection élevée mis en place au sein de l'UE, le législateur communautaire avait, dès 1995, posé un cadre strict interdisant, en substance, les transferts de données à caractère personnel à destination d'États tiers à l'UE. Toutefois, conscient du développement fulgurant des services numériques impliquant des échanges internationaux de données, celui-ci avait prévu trois séries d'assouplissements dans sa directive 95/46 1 , qui ont été - peu ou prou - reprises par le règlement général sur la protection des
données (RGPD) du 27 avril 2016 2 et qui sont actuellement les suivantes :
La refonte de ces clauses était attendue depuis l'entrée en vigueur du RGPD, mais ce sont les effets produits par l'arrêt Schrems II 5 qui ont certainement décidé la Commission européenne à se mettre à l'ouvrage pour aboutir à la décision commentée ici.
Dans cette affaire, saisie d'une série de questions préjudicielles par un utilisateur autrichien de Facebook, la Cour de justice a, le 16 juillet 2020, non seulement invalidé le Privacy Shield (décision d'adéquation n° 2016/1250 du 12 juillet 2016 valant accord transatlantique conclu entre les États-Unis et l'Union européenne, permettant à tout RT de se référer à cet accord, en s'y déclarant conforme, pour transférer des données entre les deux continents), mais a aussi déclaré l'insuffisance des anciennes CCT pour encadrer un transfert de données à caractère personnel depuis l'Europe vers les États-Unis.
Étaient en cause les programmes PRISM et UPSTREAM permettant aux agences de défense et de renseignements (NSA et FBI) d'accéder aux données transitant par des fournisseurs américains, puis de les analyser. Relativisant la valeur des CCT 6 , les magistrats communautaires ont relevé la nécessité « de compléter les garanties que contiennent ces clauses types » 7 par des mesures supplémentaires. Tirant les conséquences de cet arrêt, le CEPD a soumis pour consultation publique une série de recommandations 01/2020, le 10 novembre 2020, dont la version définitive a été publiée le 18 juin 2021.
Dans ce document le CEPD propose une démarche en six étapes : connaître ces transferts (cartographie), identifier l'instrument de transfert adéquat, évaluer si celui choisi est efficace au vu des circonstances du transfert, adopter des mesures supplémentaires, formaliser leur mise en place, réévaluer à intervalles réguliers. Au vu de ces évolutions réglementaires et jurisprudentielles, la refonte des CCT apparaissait donc indispensable. C'est désormais chose faite avec la décision d'exécution n° 2020/914 adoptée par la Commission européenne le 4 juin 2021 8 . Parallèlement, le Sénat américain examine un projet de loi fédérale sur la confidentialité des données, afin de combler les lacunes déjà identifiées dans l'arrêt Schrems II, et qui pourra déboucher, ensuite, sur un nouvel accord avec l'UE. Nous présenterons l'économie générale des CCT avant d'en proposer un mode d'emploi.
Ces nouvelles CCT sont réputées offrir des garanties appropriées 9 pour le transfert effectué par un exportateur « dont le traitement est soumis » au RGPD, à destination d'un importateur « dont le traitement » n'y est pas soumis 10 . Prise à la lettre, cette formulation de l'article 1 er des CCT n'a aucun sens, car elle correspond à une situation qui ne peut pas se produire : celle dans laquelle le traitement d'un importateur ne serait pas soumis au RGPD, mais où (en même temps) le traitement de l'exportateur y serait soumis (car cet acteur est établi en UE, ou parce que son traitement « est lié à l'offre de biens ou de services à des personnes concernées dans l'Union ou au suivi du comportement de ces personnes dans la mesure où il s'agit de leur
comportement au sein de l'Union »). La formulation actuelle de cet article 1 er laisse entendre qu'il y aurait deux traitements (celui opéré par l'exportateur, et celui opéré par l'importateur), alors que, quel que soit le schéma du transfert, il n'y a qu'un seul et même traitement opéré (avec sous-traitance ou sous responsabilité conjointe) par l'exportateur et l'importateur. Or, ce traitement :
À la différence des précédentes clauses qui ne couvraient que les transferts entre deux responsables de traitement (RT-RT) et ceux entre un responsable de traitement et un sous-traitant (RT-ST), les nouvelles CCT couvrent également deux autres hypothèses : les transferts de sous- traitant à sous-traitant (ST-ST), ainsi que les transferts de sous-traitant à responsable de traitement (ST-RT). La troisième hypothèse vise le cas de la sous-traitance ultérieure à laquelle recourrait un sous-traitant initial situé en UE en confiant tout ou partie du traitement dont il a la charge à un prestataire situé hors UE. La quatrième et dernière hypothèse vise, quant à elle, les traitements qu'un sous-traitant opère depuis l'UE pour le compte d'un RT établi hors UE.
La décision d'exécution 2020/914 – qui est entrée en vigueur le 27 juin 2021 – prévoyait l'abrogation au 27 septembre 2021 des décisions 2001/497/CE et 2010/87/UE qui avaient établi les anciennes CCT 11 . Elle aménage en outre une période de grâce de 15 mois (soit, jusqu'au 27 décembre 2022) pendant laquelle, les anciennes CCT intégrées à des contrats conclus antérieurement au 27 septembre 2021, resteront valables 12 à
condition d'avoir été assorties de garanties appropriées au sens l'arrêt Schrems II.
Les nouvelles CCT prévoient des obligations génériques, s'appliquant quelle que soit l'hypothèse de transfert. Il s'agit des clauses 1 à 7, et de la clause 16. Pour s'en tenir à l'essentiel, celles-ci prévoient :
Les nouvelles CCT couvrent ensuite les obligations particulières incombant aux parties en fonction de leur qualification. Elles distinguent principalement :
[1] PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016, art. 44.
Pour connaître leurs transferts, les exportateurs de données doivent les cartographier, y compris les transferts ultérieurs, et vérifier que chacun répond au principe de minimisation (c'est-à-dire qu'il soit strictement nécessaire à la poursuite d'une finalité légitime). Cette vérification a dû, en principe, être effectuée avant tout transfert, étant précisé que ces derniers peuvent s'appuyer sur leur registre de traitement pour ce faire.
En prévision de l'abrogation définitive des anciennes CCT, les exportateurs de données devront prévoir des avenants aux contrats conclus avant le mois de septembre 2021, comprenant les nouvelles CCT en fonction du module approprié à leur situation de transfert, lesquels devront être signés avant le 27 décembre 2022. À ce sujet, ils devront veiller à supprimer toute clause de ces contrats prévoyant leur primauté sur les CCT.
Véritable enjeu, la qualification des acteurs du traitement présente un intérêt fondamental : déterminer et – au besoin – aménager contractuellement les responsabilités des parties qui, à défaut, résulteront du régime légal, lequel n'est pas toujours en faveur de celles-ci. Une fois les parties qualifiées, elles seront à même de sélectionner le module qui leur est applicable.
Cette étude doit permettre d'identifier l'instrument de transfert adéquat 14 . Si les CCT sont l'instrument choisi, les parties veilleront à évaluer leur efficacité au vu des circonstances du transfert en se livrant à une analyse juridique et pratique de la réglementation locale afin de mesurer l'efficacité des garanties.
Les nouvelles CCT imposent aux parties de décrire en leur sein les mesures techniques et organisationnelles propres au transfert, parmi une liste non
exhaustive proposée, et qu'elles s'engagent à formaliser par la signature des clauses.
L'exportateur et l'importateur de données sont libres d'insérer les CCT au sein d'un ensemble contractuel plus large. Toutefois, ils doivent, au préalable, vérifier que les clauses du contrat général ne contredisent pas les CCT et qu'elles ne portent pas atteinte aux droits et libertés fondamentaux des personnes concernées par le transfert. Enfin, elles devront là encore veiller à supprimer toute clause du contrat général prévoyant la primauté de ce dernier sur les CCT.