Transfert de données personnelles en dehors de l'UE : la controverse des nouvelles clauses contractuelles types à mettre en œuvre pour rester en conformité au RGPD

L'application du Règlement Européen Général pour la Protection des Données (RGPD) implique notamment d'encadrer les transferts de données personnelles depuis l'Union Européenne vers un pays tiers évalué "non adéquat" en termes de protection des données personnelles.

L'application du Règlement Européen Général pour la Protection des Données (RGPD) implique notamment d'encadrer les transferts de données personnelles depuis l'Union Européenne vers un pays tiers évalué " non adéquat " en termes de protection des données personnelles. A signaler, la toute dernière décision d'adéquation du Royaume Uni au RGPD prise par la Commission Européenne le 28 juin 2021 (après la Suisse, l'Argentine, la Nouvelle Zélande et le Japon).

Dans le cadre d’une contractualisation des relations commerciales entre un responsable de traitement et un sous-traitant ayant recours à un traitement de données personnelles dans un pays non adéquat, le dispositif choisi par les parties prenantes doit être clairement établi et intégré au sein du contrat de prestation.

Le kit des outils d’encadrement comprend notamment :

·         Le recours aux Règles d’Entreprise Contraignantes qui ne va pouvoir s’appliquer que pour les entités intra-groupe ; on voit bien ici les limites du dispositif qui ne couvre qu’un périmètre très spécifique

·         La mise en place d’un Code de conduite dument approuvé par le régulateur (la Cnil pour la France) et qui de fait, nécessite aussi un temps important de maturation, d’élaboration et d’allers et retours avec l’autorité de contrôle.  A noter par exemple, le très récent code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud (IaaS).

·         L’application des Clauses Contractuelles Types (CCT) définies par la Commission européenne qui jusqu’ici était le dispositif le plus pratique à utiliser dans un contrat commercial.

De nouvelles clauses contractuelles type à utiliser depuis le 27 juin 2021 :

Pour tenir compte de la récente jurisprudence rendue par la Cours de justice Européenne à l’encontre des transferts vers les Etats Unis, ce modèle de contrat de transfert de données personnelles a dû être révisé et réadapté par la Commission Européenne.

Malheureusement le résultat est loin d’être probant, pire sa mise en œuvre en devient particulièrement complexe notamment pour les petites structures et expose davantage la responsabilité des organisations responsables de traitement dans leur ensemble.

En effet, dorénavant, il incombe aux parties prenantes et évidemment surtout à l’Exportateur de données personnelles d’évaluer si la législation du pays de l’importateur respecte le niveau de protection requis par le droit de l’UE et les clauses des CCT.

Si tel n’est pas le cas, les responsables de traitement doivent prévoir des mesures techniques et organisationnelles supplémentaires  et s’assurer que la législation du pays tiers n’empiètera pas sur lesdites mesures.

Bien évidemment, on pense tout de suite à la législation américaine qui permet à l’autorité publique de demander via le Cloud Act ou le Patriot Act, l’accès aux données transférées à des entreprises américaines sans possibilité de s’y opposer.

Chaque responsable de traitement doit mener, et donc, en avoir les capacités, les ressources et les moyens, une analyse circonstanciée  permettant de s’assurer que la législation du pays qui « accueille » les données n’entravera pas le niveau de protection exigé par le RGPD.

A l’heure où beaucoup de technologies de l’Oncle Sam sont utilisées par les entreprises de toute taille, ce nouveau dispositif n’a rien de rassurant !

D’ailleurs, le manque de directives concrètes et claires est largement reproché à la Commission Européenne.

En attendant, pour rester en conformité, les entreprises concernées par des transferts de données vers un pays non adéquat,  doivent passer en revue leurs contrats comportant des CCT et les amender avec la nouvelle mouture de clause en ayant pris soin de faire une analyse préalable de la situation et de négocier des mesures complémentaires auprès de leurs sous-traitants si nécessaire (à défaut les transferts de données ne pourront pas se poursuivre).

Une période de transition a toutefois été définie dans la décision d’exécution de la Commission Européenne :  les entreprises ayant conclu des contrats intégrant les CCT ancienne version avant le 27 septembre 2021 auront jusqu’au 27 décembre 2022 pour les amender, « pour autant que les opérations de traitement faisant l’objet du contrat demeurent inchangées et que l’invocation de ces clauses garantisse que le transfert de données à caractère personnel est soumis à des garanties appropriées ».