L'impact de la Privacy sur la sphère contractuelle
La "Privacy" désigne, au sein de la sphère juridique, l'ensemble des règles touchant à la protection de la vie privée et à la protection des données personnelles. On ne peut aujourd'hui ignorer le développement fulgurant d'une telle réglementation dans un monde toujours plus interconnecté, tout comme son impact majeur sur la sphère contractuelle. Qu'ils en soient conscients ou non, la quasi-totalité des acteurs économiques sont concernés par ces évolutions.
C’est pourquoi il nous faut analyser les questions incontournables liées à l’impact de la Privacy sur le droit des contrats, ce qui commence, selon nous, par un constat sans appel ...
Un constat sans appel
Toutes les organisations, privées comme publiques, sont aujourd’hui amenées à modifier leurs contrats de plus en plus régulièrement. La multiplication des négociations contractuelles, des échanges de signatures et de l’ensemble de la documentation contractuelle est incontestable, et bouleverse les pratiques de l'intégralité des acteurs qui doivent s’adapter à cette évolution.
Une explication indiscutable
Ce phénomène n’est pas le fruit du hasard, ou d’un simple effet conjoncturel. Il est, de notre point de vue, étroitement lié au développement galopant des règles encadrant la Privacy (la protection de la vie privée et des données personnelles).
Nous centrons cette analyse sur la réglementation Privacy, car il s’agit aujourd’hui d’une thématique absolument fondamentale, et qui selon nous joue un rôle majeur dans la transformation de la sphère contractuelle. Remarquons cependant que ce phénomène ne se limite pas au domaine de la Privacy, et s’incarne dans bien d’autres réglementations (droit des obligations et plus particulièrement droit des contrats).
Des interrogations légitimes
Ce tourbillon réglementaire qui a déjà fortement bouleversé la sphère contractuelle est-il susceptible de s’inscrire dans la durée ? Peut-on mesurer les impacts à court et à long terme de cette effervescence des relations contractuelles entourant la Privacy ?
Impacts à court terme : nouvelles réglementations, nouvelles obligations
L'impact sur la sphère contractuelle le plus pressant pour de nombreux acteurs aujourd’hui est de court terme : il s’agit de l’intégration de nombreuses et nouvelles obligations contractuelles impératives. Pour cadrer la discussion, nous nous concentrerons sur le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018 et visant à harmoniser les règles européennes en matière de protection des données personnelles, renforcer les droits des personnes concernées (les utilisateurs), et responsabiliser l’ensemble des acteurs prenant part au traitement (concept d’accountability).
Les autorités de protection des données personnelles, conscientes de l’amplitude des changements, ont bien souvent accordé une période de transition aux acteurs économiques afin de leur permettre de se mettre en conformité. Ce moratoire est aujourd’hui révolu. L’ensemble des organisations gagnerait à pleinement intégrer leurs nouvelles obligations contractuelles selon les traitements opérés et les personnes concernées afin d’assurer leur sécurité juridique mais également leur développement technologique et économique. Les obligations érigées par le RGPD sont nombreuses et de mieux en mieux appréhendées, mais beaucoup d’entreprises ont encore du chemin à faire. Il n’est cependant pas trop tard pour agir.
Pour donner vie à notre analyse, prenons l’exemple de l’une des premières et plus importantes mentions contractuelles obligatoires du RGPD : celle de la qualité juridique que vous endossez dans le cadre de vos traitements de données (responsable, responsable conjoint, sous-traitant). Cette qualité doit impérativement être visée dans vos contrats et évidemment correspondre à la réalité de la situation, sous peine d’une requalification en cas de contrôle ou de contentieux.
En fonction de cette qualité découle la majorité de vos autres obligations contractuelles. Par exemple, dans le cas de contrats très courants encadrant des relations entre responsable de traitement et sous-traitant, toutes les mentions de l’article 28 RGPD doivent apparaître dans votre contrat. Il s’agit notamment de la nature et durée du traitement, de sa finalité, des catégories de données traitées et de personnes concernées, ou encore la présence d’un engagement de confidentialité.
Nous pourrions également développer d’autres obligations cruciales comme la nécessité d’intégrer un accord de coresponsabilité dans le cadre d’un contrat entre responsables conjoints, ou de clauses contractuelles types de transferts de données à caractère personnel vers un pays tiers. La liste des mentions contractuelles obligatoires est longue et dépend de chaque situation particulière. La mise en conformité de vos documents contractuels n’est efficiente que si elle vous est parfaitement adaptée.
En synthèse, le développement des règles encadrant la Privacy a eu un impact à court terme substantiel et indiscutable sur la sphère contractuelle. Que vous soyez conscients ou non d’opérer des traitements de données à caractère personnel (autre question cruciale qui nécessiterait d’autres développements), que vous ayez achevé d’opérer votre mise en conformité au RGPD ou pas encore, cartographier l’ensemble de vos relations contractuelles sur la base des qualités endossées pour chaque flux de données est essentiel. Cela vous permettra d’amender correctement vos documents contractuels afin de vous mettre en conformité, mais aussi d’éviter d’endosser des responsabilités trop lourdes et de rester cohérent dans la définition de vos qualités juridiques.
Impact à long terme : vers une dynamisation de la sphère contractuelle
Nous pensons que le développement des réglementations entourant la Privacy aura un effet durable, amenant à dynamiser la sphère contractuelle et à la rendre encore bien plus mouvante qu’elle ne l’est devenue. La nature même du corpus de règles entourant la Privacy conduira inévitablement l’ensemble des acteurs à évoluer dans un nouvel environnement contractuel caractérisé par une temporalité bien plus courte.
Vous pourriez vous demander pourquoi attendre de nouveaux changements après le RGPD ? Deux facteurs nous font prédire la persistance des évolutions juridiques dans le domaine de la Privacy.
Premièrement, il s’agit de thématiques éminemment politiques. Les règles entourant la protection des données, et en particulier leurs transferts, sont chargées d’enjeux politiques relatifs à la fois à la balance entre sécurité et vie privée, mais aussi aux relations diplomatiques ou économiques entre les pays. Un exemple retentissant, et récent : l’invalidation du Privacy Shield par la décision de la Cour de Justice de l’Union Européenne, le 16 juillet 2020.
Le RGPD autorise les transferts de données à caractère personnel vers un pays tiers à l’Union européenne sous réserve que ce dernier assure un niveau de protection adéquat. Une décision d’adéquation de la Commission européenne permet de supposer un tel niveau de protection, et donc d’autoriser le libre transfert des données vers le pays qui en bénéficie. C’était, jusqu’au 16 juillet 2020, le cas des États-Unis grâce au “Privacy Shield”.
En l’absence d’une telle décision d’adéquation, les transferts de données vers un pays tiers ne sont autorisés que si l’exportateur de données établi dans l’Union européenne “a prévu des garanties appropriées”. Ces garanties résultent bien souvent de clauses contractuelles types de protection des données, insérées dans les contrats.
Le 16 juillet 2020, la CJUE annule dans un arrêt la décision d’adéquation qui permettait aux différents acteurs de transférer librement leurs données vers les États-Unis. Il s’agit d’une décision aux répercussions contractuelles très importantes, puisque les nombreux transferts de données vers les États-Unis sont désormais soumis à la condition de pouvoir démontrer que des garanties appropriées ont été prévues pour le transfert, notamment par la voie contractuelle et l’insertion dans les contrats de clauses types.
D’autres aménagements contractuels sont inéluctables, notamment pour les raisons suivantes. L’European Data Protection Board (EDPB), qui centralise les autorités nationales de protection des données, a publié une série de recommandations pour assurer une harmonisation générale des règles de transferts internationaux de données mais le contour des clauses contractuelles types est amené à évoluer ne serait-ce que du fait des nombreuses plaintes déposées dans plusieurs juridictions comme en France.
La seconde principale raison, concerne la diversité des acteurs pouvant les interpréter et les implémenter.
Il faut d’abord noter que de nombreux textes entourant ce cadre réglementaire restent à ce jour des directives, comme la directive ePrivacy, à laquelle devait succéder un règlement, ce qui semble aujourd’hui ne plus être une priorité politique. Les directives sont des textes européens implémentés dans les législations nationales des États membres entraînant nécessairement des divergences de transpositions. De surcroît, une telle diversité favorise une évolution continue des règles, puisque chaque modification nationale est susceptible d’inviter d’autres juridictions à faire évoluer les leurs.
Mais même dans le cas des règlements tels que le RGPD, il faut bien mesurer que malgré l’application d’un texte unique à tous les Etats membres, bien souvent les interprétations nationales de ce même texte divergent. Ces différentes interprétations sont vouées à interagir, à évoluer, parfois dans le sens d’une harmonisation, parfois dans le sens inverse.
Prenons l’exemple d’une interprétation nationale particulière, qui a beaucoup évolué ces dernières années, celle de la CNIL en France. En effet, suite à l’entrée en vigueur du RGPD, la CNIL a énoncé le 4 juillet 2019 des lignes directrices venant apporter des précisions sur l’interprétation et les implications pratiques du RGPD. Ces premières lignes directrices étaient jugées relativement conservatrices par rapport à d’autres voisins européens.
Certaines lignes directrices de la CNIL ont déjà évolué comme l’autorisation des cookies walls (sous certaines conditions) mais de nombreuses autorités de protection européennes ont également publié des lignes directrices à intégrer ou croiser selon la localisation des traitements et des citoyens.
Il y aurait bien plus à dire sur ces lignes directrices mais l’important est de bien prendre conscience qu’un texte unique à l’échelon européen comme le RGPD n’empêche pas des interprétations nationales divergentes et que la fracturation conjuguée à la multiplication de ces interprétations aura un impact majeur sur la sphère contractuelle, dans le sens d’une temporalité bien plus courte pour vos contrats.
En conclusion
Il est évident que le développement récent des règles entourant la Privacy à des échelles locales, régionales ou internationales a eu un impact fondamental sur la sphère contractuelle. Nous savons que la conformité n’est pas une option et que les modifications ne cesseront de galoper MAIS les régulateurs ne cessent de chercher des solutions de compromis entre la protection des personnes concernées et le développement économique.