Comment les nouvelles clauses contractuelles types viennent renforcer la protection des données personnelles transférées vers des pays tiers ?

La décision Schrems II de la Cour de justice de l’Union européenne (CJUE²) a précipité l’adoption de nouvelles CCT : la CJUE a en effet, d’une part, invalidé le Privacy Shield qui permettait le transfert de données personnelles aux États-Unis et, d’autre part, estimé que les CCT – bien que demeurant valides – n’étaient pas suffisantes pour garantir la protection des données exportées vers des pays tiers. Elle estimait qu’une analyse devait être réalisée au cas par cas et que si le niveau de protection n’était pas suffisant, des mesures et engagements supplémentaires devaient être pris par les parties.

Le Comité européen de la protection des données (EDPB) a publié, le 11 novembre 2020, des recommandations concernant ces mesures supplémentaires, juste avant que ne soit publié le projet de nouvelles CCT le 12 novembre 2020. L’EDPB et le Contrôleur européen de la protection des données (CEPD) ont ensuite publié une opinion conjointe, le 14 janvier 2021, avant l’adoption des CCT finales le 4 juin dernier.

Les nouvelles CCT sont entrées en vigueur le 27 juin 2021 et remplacent l’ancienne version. Une période transitoire est toutefois prévue : les anciennes CCT peuvent être utilisées jusqu’au 27 septembre 2021 pour les nouveaux transferts, et au plus tard jusqu’au 27 décembre 2022 pour les transferts existants.

Les nouvelles CCT comportent un tronc commun et quatre modules. Deux étaient déjà prévus dans les anciennes SCCs :

• transfert de responsable de traitement à responsable de traitement ;
• transfert de responsable de traitement à sous-traitant.
• Deux nouveaux modules s’ajoutent :
• transfert de sous-traitant à sous-traitant ;
• transfert de sous-traitant à responsable de traitement.

Les nouvelles CCT sont ainsi plus flexibles et prévoient de nouvelles hypothèses de traitement. Elles peuvent également être conclues avec un exportateur situé en dehors de l’EEE mais soumis au RGPD, et permettent d’ajouter de nouvelles parties en cours de contrat.

Il convient désormais de procéder non seulement à une analyse du droit local dans la juridiction vers laquelle les données personnelles sont transférées, mais aussi des pratiques locales conformément à la recommandation modifiée de l’EDPB du 18 juin 2021.

Si le niveau de protection n’est pas équivalent à celui de l’EEE, les parties devront adopter des mesures supplémentaires, notamment si des autorités publiques locales ont accès aux données. Il faudra également s’assurer que la législation locale n’entrave pas ces mesures supplémentaires.

Ces nouvelles CCT servent de « boîte à outils » pour l’application de la décision Schrems II et sont plus protectrices que les précédentes car elles garantissent de manière plus stricte un niveau de protection équivalent à celui en vigueur au sein de l’EEE. Se pose la question de la nécessité de conclure un avenant avec un sous-traitant, car elles reprennent les obligations de l’article 28 du RGPD.

Certains commentateurs estiment qu’il est désormais de plus en plus difficile de transférer des données en dehors de l’EEE et que des sociétés choisiront peut-être de localiser davantage de données personnelles en Europe (ou dans une juridiction qui bénéficie d’une décision d’adéquation).

Pour pallier cette nouvelle complexité, les entreprises doivent faire une cartographie de leurs transferts de données personnelles internationaux et réaliser les analyses de la législation et des pratiques locales.

Le résultat des analyses et les éventuelles mesures supplémentaires mises en place devront être attentivement documentées ; la CNIL les examinera en cas de contrôle. 

Notes

1. Outil spécifique développé par Addleshaw Goddard pour effectuer l’analyse d’impact des transferts (TIA) https://www.addleshawgoddard.com/en/specialisms/commercial-services/data-protection/data-transfer-express-solution/

2. Décision de la CJUE du 16 juillet 2020