La Commission Européenne a publié ses nouvelles Clauses Contractuelles Types (CCT). Nous allons viser ensemble : le calendrier des changements que cela implique, les limites de ces CCT, leurs impacts sur les transferts vers les USA en prenant en compte la jurisprudence « Schrems II ».
Une petite définition des transferts de données vers des pays tiers
Parce que les CCT concernent les transferts de données à caractère personnel vers des pays tiers, revenons sur un point de définition : un transfert de données c’est tout traitement de donnée réalisé depuis un pays tiers. Un traitement de donnée couvre aussi bien la collecte, l’affichage, l’accès ou l’accessibilité, la destruction, le stockage, comme le processus de chiffrement/déchiffrement d’une donnée.
En somme, un transfert de données a lieu dès lors que simple la possibilité (Arrêt « Schrems II » de la CJUE) d’un accès à des données à caractère personnel depuis un pays hors UE ou une Organisation internationale est démontré.
Calendrier relatif aux CCT comme outil adéquat pour les transferts hors UE
| Date | Événement | Action subséquente |
|---|---|---|
| 04/06/2021 | Publication des nouvelles CCT par la Commission | Possibilité de commencer les négociations sur la base des nouvelles CCT entre RT et ST |
| 27/06/2021 | Entrée en application des nouvelles CCT | Possibilité de signer des contrats ou des avenants sur la base des nouvelles CCT entre RT et ST |
| 27/09/2021 | Fin de la validité de l’utilisation des anciennes CCT dans de nouveaux contrats | Impossibilité de signer de nouveaux contrats s’appuyant sur les anciennes CCT |
| 27/12/2022 | Fin de l’adéquation des anciens contrats se basant sur les anciennes CCT | Obligation d’avoir trouvé un nouvel outil de transfert pour les transferts hors UE encore actifs et s’appuyant jusque là sur les anciennes CCT |
Les nouvelles CCT, une opportunité contractuelle …
Les nouvelles CCT comblent enfin un vide ouvert par l’« arrêt Schrems II de la CJUE du 20 juillet 2020 ». Elles permettent aux co-contractants de s’assurer qu’ils utilisent un outil de transfert adéquat en matière de protection des données à caractère personnel. Cependant …
… aux modalités opérationnelles impossibles
Les nouvelles CCT de la Commission Européenne introduisent des concepts particulièrement instables, inquiétants voire inatteignables. Nous notons en particulier que leurs clauses 14.a, 14.b, 14.e et 15.1.b rendent toute initiative de contractualisation garantissant un niveau de protection adéquat impossible. Ces clauses contractuelles types ne font que déplacer la responsabilité.
En effet le RGPD dit, en son article 46.2.c, que les CCT sont un moyen offrant des garanties appropriées pour les droits et libertés des personnes. Cependant les CCT disent dans leurs clauses 14.a et 14.b qu’il revient aux co-contractants de faire tous leurs efforts pour s’assurer que les lois applicables hors UE apportent des garanties suffisantes en matière de protection des données.
Il s’agit donc là d’une forme d’injonction contradictoire : « Utilisez un moyen de transfert adéquat pour sécuriser des environnements juridiques hétérogènes », « Assurez-vous que cette hétérogénéité ne nuise pas aux garanties appropriées en matière de protection des données ».
De retour au point de 14
Nous voilà donc de retour « au point de 14″… rendant les transferts de données à caractère personnel hors UE encore plus incertains, et ce pas seulement en ce qui concerne les USA.
Les conseils de PiaLab
Si vous êtes responsable de traitement ou sous-traitant
La jurisprudence « Schrems II » est claire et permet de répondre parfaitement aux exigences des clauses 14 et 15 des nouvelles CCT : la législation des USA ne permet pas de garantir un niveau de protection adéquat, sauf à mettre en place des mesures techniques réduisant techniquement les traitements de données réalisables au strict minimum (ex: stockage froid de données chiffrées). Pour rester dans la strict légalité, surtout si vous traitez des données de santé, refusez tout transfert de données vers les USA.
Évitez tout transfert de données à caractère personnel vers des pays ne disposant pas d’une décision d’adéquation de la Commission Européenne.
Si vous êtes DPO
Construisez vos avis (mission du DPO issue du RGPD art.39.1.a) sur la base d’une suspicion a priori à l’égard de tout transfert hors UE.
Proscrivez avec assurance tout transfert (au sens large) de données vers les USA dans vos avis.
Laissez ensuite le responsable de traitement ou le sous-traitant décider des suites à donner à vos avis.