La Commission européenne a ouvert le 12 novembre dernier une période de consultation publique sur son projet de nouvelles clauses contractuelles types1, concernant les transferts de données personnelles vers un pays tiers. Une mise à jour très attendue, notamment depuis l’invalidation du Privacy Shield en juillet 2020 par l’arrêt Schrems II. Ce projet ne comprend plus qu’un modèle de clauses contractuelles types, adaptable aux différents cas de transferts.

 

Comme le projet de décision le rappelle, le rôle des clauses contractuelles types (ci-après « CCT ») est de s’assurer de garde-fous pour les transferts internationaux de données à caractère personnel et plus précisément les transferts de données vers un pays situé en dehors de l’Espace économique européen (EEE) qui n’offrirait pas un niveau de protection des données adéquat.

Sur la base de la Directive européenne 95/46/EC, la Commission européenne avait déjà adopté des clauses contractuelles types dans le cadre d’une décision datant de 2001 (2001/497/EC) amendée en 2004, puis d’une décision de 2010 (2010/87/EU). Depuis lors, la Commission a relevé que d’importants développements étaient intervenus dans l’économie numérique avec des traitements nouveaux et complexes impliquant de multiples importateurs et exportateurs de données.
En outre, il convenait d’actualiser les clauses à l’aune du RGPD et de la jurisprudence récente, la décision de la Cour de justice de l’Union européenne dite « Schrems II », en particulier. (Voir nos articles sur les utilisations des CCT et mesures complémentaires post-Schrems II et sur le transfert de données personnelles hors EEE)

Comme de juste, ces évolutions appelaient à une modernisation des clauses contractuelles types. Cependant, la Commission surprend quelque peu par son approche très pragmatique et souple. 

Projet de CCT : entre pragmatisme et souplesse

Exit les deux jeux de CCT : l’un pour les transferts entre deux responsables de traitement (2001) et l’autre pour les transferts entre un responsable de traitement et un sous-traitant (2010). Le projet ne comprend plus qu’un jeu de CCT format couteau-suisse.

Le projet de CCT combine approche générale et modulaire pour s’adapter à différents scenarii de transferts.
Chaque clause comprend en effet quatre modules différents permettant de gérer le :

  • transfert entre deux responsables de traitement ;
  • transfert entre un responsable de traitement et un sous-traitant ;
  • transfert entre deux sous-traitants ;
  • transfert entre un sous-traitant et un responsable de traitement.

De plus, la Commission indique que des responsables de traitement et des sous-traitants supplémentaires devraient pouvoir intégrer les CCT au cours de la vie de celles-ci. Intégrer ces potentielles évolutions sera donc à prendre en considération dès l’origine, lors de la rédaction du contrat lui-même. De même, il est important de souligner que les CCT font obligation à présent d’informer la personne concernée d’un changement de finalité et de destinataire. Cela impose de la réactivité et une transparence accrue de la part des parties aux CCT.

De fait, la Commission rappelle que l’exportateur et l’importateur de données sont libres d’intégrer ces CCT dans un contrat plus large et d’ajouter d’autres clauses dès lors qu’elles n’entrent pas en contradiction avec les clauses existantes ou portent atteinte aux droits et libertés fondamentaux des personnes concernées.
En outre, les responsables de traitement et sous-traitants sont encouragés à fournir des garanties supplémentaires via des engagements contractuels

Souplesse et limites des clauses contractuelles types

Les CCT prévoient que les droits nationaux qui respectent l’essence des droits et libertés fondamentaux et n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder un des objectifs listés à l’article 23(1) du RGPD, ne devraient pas être considérés comme étant en contradiction avec les clauses contractuelles types.
En outre, les parties devraient garantir qu’au moment d’accepter les CCT, elles n’ont pas de raison de croire que les lois applicables à l’importateur de données ne sont pas en ligne avec ces exigences (§19).

A cet égard, la Commission indique plusieurs facteurs à prendre en considération : la durée et le contenu du contrat, la nature des données transférées, le type de destinataire, la finalité du traitement, et de manière intéressante, les expériences pratiques indiquant l’existence ou l’absence de précédentes demandes d’accès émanant d’autorités publiques reçues par l’importateur de données. Pour le reste la Commission semble renvoyer la balle au CEPD.

A la lecture de ce passage, on ne peut qu’être ébloui par le niveau de tolérance élevé de la Commission, qui essaie, tant bien que mal, de résoudre une équation insoluble : la décision de la CJUE du 16 juillet 2020 dite « Schrems II » a annulé le Privacy Shield sur lequel s’appuyaient de nombreux acteurs économiques pour le transfert de données personnelles vers les Etats-Unis, tout en préservant la validité des CCT.
Néanmoins, les carences dans la protection des données ayant conduit à l’invalidation du Privacy Shield ne paraissent pas purgées par le simple fait de signer des CCT et les efforts récents du CEPD visant à préciser les garanties complémentaires à prévoir n’y changent rien. (Voir nos articles sur les utilisations des CCT et mesures complémentaires post-Schrems II et sur le transfert de données personnelles hors EEE)

Ces difficultés restent en réalité très prégnantes s’agissant en particulier des requêtes d’autorités publiques cherchant à avoir accès à des données auprès de l’importateur de données dans l’État tiers.

Le cas particulier des requêtes émanant d'autorités publiques

Les CCT prévoient que l’importateur de données qui reçoit une requête émanant d’une autorité publique en vue d’une communication de données ou qui est informé d’un accès, doit notifier l’exportateur de données et les personnes concernées (§22).
Néanmoins, si l’importateur de données n’est pas en position de notifier l’exportateur de données et/ou la personne concernée de requêtes spécifiques, il doit fournir à l’exportateur le plus d’informations possible sur les requêtes reçues. La Commission prévoit également que l’importateur de données doit, s’il met en doute la légalité de la requête, la remettre en cause.

La rédaction est sibylline. Il convient sans doute de lire entre les lignes que l’exportateur de données et a fortiori les personnes concernées risquent tout simplement de ne pas être informées d’un accès aux données par des tiers.

Pourtant, il ne pourrait être reproché à la Commission de ne pas explorer toutes les pistes. Elle multiplie les garde-fous :

  • Les CCT imposent un choix de loi restreint désignant nécessairement une loi d’un pays de l’Union européenne ;
  • Les CCT imposent un choix de for désignant nécessairement une juridiction d’un État membre ;
  • Les CCT confirment la possibilité pour les personnes concernées de se prévaloir des clauses contractuelles types en tant que tiers bénéficiaire et ainsi leur confère des possibilités d’action directe dans le cadre d’une véritable stipulation pour autrui.

Néanmoins, le contrat et l’autonomie de la volonté ne peuvent pas tout. La Commission ne pourra jamais occulter complètement le droit local du pays importateur de données qui pourrait s’appliquer ne serait-ce que par le jeu des lois de police, de l’exception d’ordre public ou des actions de renseignement dans le pays tiers.

Il ne reste finalement qu’à souhaiter que les États tiers, de leur côté, renforcent le cadre juridique applicable à la protection des données personnelles. Sur ce point, l’évolution de la législation en Californie (CCPA, CPRA) fera notamment l’objet d’un prochain billet.

Enfin, on précisera qu’une fois le projet de CCT adopté, les décisions de la Commission de 2001 et de 2010 seront abrogées. Toutefois, pendant une période de transition d’un an à compter de la date d’entrée en vigueur de la décision, les responsables de traitement ou sous-traitants pourront continuer à s’appuyer sur les anciennes CCT pour les contrats conclus avant cette date, à condition que le contrat reste inchangé.

 

1Quelques jours plus tard, la Commission européenne a soumis à consultation un projet de clauses contractuelles types pour les transferts intra UE entre un responsable de traitement et un sous-traitant sur le fondement de l’article 28.7 du RGPD. C’est le même intitulé « standard contractual clauses », mais la portée de ces deux textes est tout à fait différente.

Geraldine-Peronne-photo-slash-orange

Géraldine Péronne, Avocat à la Cour, Docteur en droit

Parmi ses domaines d’expertises : protection des données personnelles, droit de l’internet, cybersécurité, contentieux.

Géraldine est avocate au Barreau de Paris depuis 2014 et docteur en droit.
Chargée d’enseignements pendant sept ans à l’Université (Paris I et UPEC), elle a ensuite exercé en qualité d’avocate dans un cabinet parisien spécialiste du contentieux pénal et civil pendant quatre ans, avant d’intégrer ATIPIC Avocat/implid Legal.
Elle intervient sur des dossiers de droit des nouvelles technologies et droit des données personnelles (audits de conformité RGPD notamment) tant en conseil qu’en contentieux et commente régulièrement l’actualité juridique sur ces sujets, dans le cadre de rédaction d’articles.
Elle a obtenu la certification DPO agréée par la CNIL.