Clauses contractuelles types et RGPD : ce que vous devez savoir.
Depuis 2018, le Règlement général sur la protection des données (RGPD) a bouleversé le quotidien de nombreuses entreprises et organismes sur le territoire européen. Et pour cause, la circulation des données personnelles et leur utilisation parfois abusive ont conduit l’Union européenne à ériger un certain nombre de règles pesant sur les organismes afin de redonner plus de droits aux individus sur leurs données personnelles.
Or, la circulation des données personnelles dépasse très largement les frontières de l’Union européenne. C’est un problème de taille car les pays en dehors de l’Europe organisent de manière très différente la protection des données personnelles. C’est à cette difficulté à laquelle les clauses contractuelles types (CCT) ont pour objet de répondre.
Quelle que soit la nature de votre organisme ou sa taille, votre structure opère très probablement des transferts de données personnelles en dehors de l'UE, ne serait-ce que par l’utilisation de logiciels américains. Pour cette raison, les clauses contractuelles types (CCT) doivent vous intéresser.
1 - Les enjeux liés au transfert de données personnelles hors UE
Les organismes qui utilisent des logiciels ou des services américains ou étrangers doivent être conscients des enjeux liés au transfert de données personnelles en dehors de l'UE.
En effet, dans le cadre de leur gestion quotidienne, la plupart des entreprises font appel à des sous-traitants, comme des navigateurs web, des systèmes d'exploitation, des solutions SaaS ou des hébergeurs. Par exemple, les outils tels que Google Analytics, Mailchimp, Salesforce, Shopify, Hubspot, Windows 360, Airtable, etc. En application du RGPD, ces outils sont tous vos sous-traitants car ils stockent, collectent, mettent à disposition un certain nombre de données pour votre compte. À l’inverse, dans cette situation, vous avez le statut de responsable de traitement.
Le recours à ces sous-traitants entraîne souvent des transferts de données personnelles. C’est-à-dire que les données personnelles que vous utilisez pour votre activité transitent par ces outils. Ces transferts de données peuvent s'avérer problématiques, notamment lorsque le sous-traitant est situé en dehors de l'UE, comme c'est souvent le cas pour les entreprises américaines.
💡Attention, pour savoir si un transfert vers l’extérieur de l’Union européenne est opéré, vous devez vous référer au lieu d’immatriculation de l’entreprise mère. Par exemple, si vous hébergez vos données sur AWS ou Microsoft Azure, il s’agit d’un transfert vers les États-Unis même si vous décidez d’héberger vos données sur des serveurs localisés en Europe.
Lorsqu'une entreprise transfère des données personnelles à un sous-traitant situé en dehors de l'UE, elle doit s'assurer que ce dernier offre des garanties suffisantes en matière de protection des données personnelles (articles 28 et 44 du RGPD).
Pour ce faire, deux options s’offrent à vous :
- Le premier réflexe est de s’interroger sur l’existence d’une décision d’adéquation de législation par la Commission européenne. Pour simplifier la tâche aux entreprises, la Commission vérifie continuellement la compatibilité des législations des pays hors UE avec le RGPD par le biais de "décisions d'adéquation" (article 45 du RGPD).
- Néanmoins, lorsqu’un pays ne dispose pas d’une telle décision, comme c’est le cas pour les États-Unis, les entreprises doivent donc se tourner vers d'autres mécanismes pour assurer la protection des données transférées, tels que les clauses contractuelles types (CCT) ou les règles d'entreprise contraignantes (REC).
En ce qui concerne les États-Unis, la Cour de justice de l’Union européenne (CJUE) a invalidé la législation américaine (le Privacy Shield) dans le fameux arrêt Schrems II du 16 juillet 2020. En effet, la législation américaine autorise les services de renseignements à accéder aux données conservées par une entreprise en vertu du Cloud Act et du Foreign Intelligence Surveillance Act (FISA).
Les clauses contractuelles types (CCT) RGPD s’avèrent donc particulièrement utiles. Elles offrent en effet de nouvelles garanties contractuelles sources de sécurité juridique.
2 - Comment utiliser les clauses contractuelles types à son avantage ?
Le 19 mai 2021, la Commission européenne a publié son nouveau projet de clauses contractuelles types (CCT). Elles visent à protéger les données à caractère personnel qui quittent l’Espace économique européen (EEE) par des obligations contractuelles conformes aux exigences du RGPD sur des territoires qui ne sont pas considérés comme offrant une protection adéquate des droits et libertés des personnes concernées.
Ces clauses visent à fournir des garanties appropriées pour les transferts internationaux de données en vertu de l’article 46 du RGPD à condition que les clauses contractuelles types (CCT) soient adoptées intégralement et sans modification.
Concrètement, ce sont des clauses mises à disposition par la Commission européenne et que les prestataires hors UE peuvent reprendre dans leurs contrats commerciaux afin d’indiquer à leurs clients européens qu’ils s’engagent à un certain niveau de protection des données personnelles qui leur seront transférées.
Les CCT couvrent ainsi :
- Les transferts entre responsables de traitement UE et responsable de traitement non UE
- Les transferts de responsables de traitement UE à sous-traitants non UE
Elles intègrent également deux nouvelles situations :
- Les transferts de sous-traitants UE à des responsables de traitement non UE
- Les transferts entre sous-traitants UE et sous-traitants non UE.
Les nouvelles CCT ont pour finalité de simplifier les relations contractuelles entre parties puisqu’elles se déclinent en 4 approches modulaires couvrant 4 scénarios de transferts de données :
Module 1 : Transfert de responsable de traitement à responsable de traitement (RT/RT)
Module 2 : Transfert de responsable de traitement à sous-traitant (RT/ST)
Module 3 : Transfert de sous-traitant à sous-traitant (ST/ST).
Module 4 : Transfert de sous-traitant à responsable de traitement (ST/RT)
Est-il possible de modifier les Clauses contractuelles types ?
Les organismes n’ont pas l’obligation de prévoir des CCT puisqu’il s’agit que d’un modèle de contrat, il est même recommandé de les adapter mais seulement pour une protection renforcée. En effet, même un contrat reprenant des CCT ne permet pas toujours de protéger efficacement le transfert de données comme l’a précisé la CJUE.
C’est notamment le cas avec les États-Unis. La Cour de justice de l’Union européenne a mis en évidence que la législation américaine était bien trop intrusive pour que les CCT soient suffisantes pour assurer un bon niveau de protection. En attente d’évolution du droit US, il revient donc à l’organisme qui transfère des données vers un pays en dehors de l’Union européenne de s’assurer qu’il prévoit des mesures supplémentaires suffisamment fortes telles que des mesures de sécurité techniques ou organisationnelles.
Le Comité européen de la protection des données préconise un certain nombre de mesures complémentaires à l’instar des mesures de chiffrement renforcé et/ou de mesures de pseudonymisation voir d’anonymisation des données, la documentation et l’enregistrement des demandes d’accès des autorités publiques.
Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !
Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.
