Transfert de données : les nouvelles clause contractuelles types de la Commission européenne

Le 4 juin 2021, la Commission européenne a adopté de nouvelles clauses contractuelles types, modèles de contrat encadrant le transfert de données à caractère personnel en dehors de l’Union européenne

Source : Journal officiel de l’Union européenne, DÉCISION D’EXÉCUTION (UE) 2021/914 DE LA COMMISSION du 4 juin 2021

 

Dans un arrêt du 16 juillet 2020 (affaire C-311/18 – « SCHREMS II »), la CJUE invalidait le « Privacy Shield », bouclier de protection des données personnelles faisant l’objet de transferts entre l’Union européenne et les Etats-Unis.

 

Selon cet arrêt, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, aux données transférées depuis l’Union vers ce pays tiers, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises par le droit européen, la Cour émettant l’hypothèse d’ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers les Etats-Unis.

 

Dans un précédent arrêt du 6 octobre 2015 (affaire C362/14 – « SCHREMS I »), cette même Cour avait annulé le « Safe Harbor », première mouture de ce bouclier de protection, la CJUE formulant des réserves rédhibitoires quant à l’étendue des pouvoirs des services de renseignement américains, lesquels pouvaient avoir accès aux données stockées dès lors qu’ils estimaient qu’un intérêt de sécurité publique le justifiait.

 

En revanche, dans sa décision du 16 juillet 2020, la CJUE confirmait la validité des clauses contractuelles types de l'Union Européenne pour le transfert de données à caractère personnel à des sous-traitants établis en dehors de l'Union Européenne et/ou de l’Espace Economique Européen.

 

Les clauses contractuelles types sont des modèles de clauses de protection des données préalablement approuvées pouvant être intégrées dans un cadre contractuel, permettant se conformer aux normes en vigueur en matière de protection des données, en l’occurrence le RGPD.

 

La Commission européenne dispose en effet d’une compétence pour adopter ces clauses contractuelles types en ce qui concerne la relation entre les responsables du traitement et les sous-traitants.

 

Elle peut également adopter des clauses contractuelles types prévoyant des garanties en matière de protection des données dans le cadre de transferts internationaux de données dès lors que la législation du pays tiers ne présente pas un niveau de protection suffisant.

 

C’est dans ce contexte que, le 4 juin 2021, la Commission a adopté deux séries de clauses contractuelles types, l'une trouvant application entre les responsables du traitement et les sous-traitants, l'autre pour le transfert de données à caractère personnel vers des pays tiers.

 

Ces clauses tiennent compte de l'arrêt « Schrems II » précité, permettant d’établir un cadre juridique solide garantissant le respect des normes en matière de transferts sécurisés de données.

 

Ces nouvelles clauses contractuelles types tiennent compte de l'avis conjoint du Comité européen de la protection des données et du Contrôleur européen de la protection des données, des réactions des parties prenantes lors d'une vaste consultation publique et de l'avis des représentants des États membres suite à l’arrêt de la CJUE.

 

Ainsi, en matière de transfert de données personnelles vers des pays tiers, les principales innovations s’appliquent aux cas de figure suivants :

 

  le transfert de responsable du traitement à responsable du traitement ;

 

  le transfert de responsable du traitement à sous-traitant ;

 

  le transfert de sous-traitant à sous-traitant ;

 

  le transfert de sous-traitant à responsable du traitement.

 

Ces clauses placent à la charge des opérateurs, qu’ils soient importateurs ou exportateurs de données :

 

  Une obligation d’opérer une évaluation de la législation du pays tiers en matière de divulgation et d’accès aux données par des autorités publiques afin de garantir que cette législation n’est pas de nature à empêcher l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des clauses contractuelles types conclues, étant ici observé qu’il appartient à l’importateur des données d’informer l’exportateur s’il a des raisons de croire qu’il est soumis à une législation ou à des pratiques qui ne sont plus compatibles avec les clauses signées ;

 

Et pour l’importateur uniquement :

 

  Une obligation de notifier tout accès ou demande d’accès émanant des autorités publiques de l’État vers lequel les données ont été transférées ;

 

  Une obligation de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il en déduit qu’existent des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination et du droit international ;

 

S’agissant ensuite des clauses contractuelles types applicables aux relations entre responsables du traitement et sous-traitants, celles-ci précisent les modalités de l’assistance apportée par le sous-traitant au responsable du traitement, notamment sur le contenu des notifications portant sur des violations constatées de données.

 

En dernier lieu, la Commission octroie aux opérateurs, responsables du traitement et sous-traitants, une période de transition de 18 mois pour se conformer à ces nouvelles clauses contractuelles types.