l’adéquation du pays de destination par la Commission européenne ;
Dès le 13 janvier 2021, l’Autorité de protection des données autrichienne (DSB) a rendu une décision sur le fondement de l’arrêt Schrems II pour condamner une entreprise concernant l’utilisation de Google Analytics en considérant que ce transfert était illégal, faute d’un niveau de protection adéquat pour les données personnelles.
Cette jurisprudence a ainsi nécessité un réexamen des clauses contractuelles qui ont dû être accompagnées de mesures de protection supplémentaires.
Le Comité Européen de la Protection des Données (CEPD) a publié en juin 2021 une série de recommandations pour spécifier ce qui devrait être entendu par « mesures de protections supplémentaires » et la Commission a abrogé ses anciennes clauses contractuelles types (CCT) le 4 juin 2021 pour en adopter de nouvelles [1].
La période de transition pour modifier les contrats s’étendait jusqu’au 27 septembre 2021. Tandis que les traitements basés sur des CCT existants avant cette date restaient, eux, valables jusqu’au 27 septembre 2022.
Le 14 novembre 2022, le Comité européen de la protection des données (CEPD) a adopté une version actualisée de ses recommandations en matière de règles d’entreprise contraignantes « responsable de traitement » (BCR-C).
La période de transition a pris fin le 27 décembre 2022, date à partir de laquelle :
« les exportateurs et importateurs de données ne pourront plus utiliser les anciennes clauses contractuelles types de la Commission européenne, y compris celles signées avant juin 2021, et devront soit utiliser les clauses mises à jour en 2021, soit utiliser un autre outil de transfert ».
Le non-respect des dispositions sur les transferts des données personnelles en dehors de l’union européenne est passible d’une amende de 20 000 000 euros et de 4% du chiffre d’affaires annuel mondial [2].
Nous envisagerons donc les deux options, certes complexes, qui s’offrent aux entreprises pour se mettre en conformité :
1. La mise en place de règles d’entreprises contraignantes (BCR).
2. L’adoption de CCT.
I/ La mise en place de règles d’entreprises contraignantes (BCR).
Les BCR sont des règles internes applicables à l’ensemble des entités d’un groupe.
Elles définissent les principes clés encadrant les transferts de données personnelles, de salariés ou de clients et prospects, hors de l’Union européenne. Elles sont une alternative aux Clauses Contractuelles Types (CCT) adoptées par la Commission européenne. Elles se doivent de garantir une protection équivalente à celle octroyée par le RGPD dans le cadre de ces transferts.
Ces BCR sont particulièrement utiles lorsque les entités d’un même groupe sont situées à la fois dans des pays soumis au RGPD et d’autres où il ne s’applique pas, le groupe devant garantir que le niveau de protection des données de toutes ses sociétés est essentiellement équivalent au RGPD. Les BCR sont donc créatrices de droits pour les personnes concernées et contiennent des engagements opposables aux entités du groupe [3].
Dès 2018, le Comité européen de la protection des données (CEPD) a publié des recommandations sur les éléments et principes devant figurer dans les BCR « responsable de traitement » (BCR-C).
Le 14 novembre 2022, le Comité européen de la protection des données (CEPD) a adopté des recommandations sur la demande d’approbation et pour clarifier les exigences du référentiel et fournir des orientations supplémentaires aux entreprises candidates. Elles ont été soumises à une consultation publique jusqu’au 10 janvier 2023.
Ces nouvelles recommandations tiennent compte des interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d’approbation de BCR depuis l’entrée en application du RGPD et intègrent les exigences de l’arrêt Schrems II.
Avec le nouveau référentiel, les entités adhérentes aux BCR s’engagent à ne transférer des données qu’après avoir procédé à une analyse de la législation du pays tiers de destination.
Il pose également une distinction entre ce qui doit être inclus dans le dossier de demande présenté à l’autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR. Cela permet de clarifier les informations à fournir aux autorités et de faciliter le processus d’approbation des BCR afin d’accélérer une procédure jusque là assez longue (environ 1an et demi) [4]
L’actualisation du référentiel applicable aux BCR « sous-traitant » est toujours en cours d’élaboration.
L’ensemble des obligations issues des nouveaux référentiels seront applicables dès leur publication à toutes les BCR, aussi bien approuvées qu’en cours d’instruction.
Ces obligations sont largement communes à celles déclinées dans les clauses contractuelles types.
II/ le recours aux Clauses contractuelles Type.
La Commission a abrogé ses anciennes clauses contractuelles types (CCT) le 4 juin 2021 pour en adopter de nouvelles. Les entreprises avaient jusqu’au 27 septembre 2021 pour mettre leurs contrats en conformité, les traitements, quant à eux, restant valables jusqu’au 27 septembre 2022.
Parmi les modifications notables apportées par ces nouvelles CCT, on trouve :
la possibilité pour les tiers d’adhérer aux CCT, en tant qu’importateur ou exportateur de données ;
l’obligations pour l’importateur d’évaluer la législation du pays tiers en matière d’ingérence des autorités publiques dans l’accès aux données, et d’en informer l’exportateur ;
l’obligation de notifier à l’exportateur tout accès ou demande d’accès de la part des autorités publiques de l’Etat destinataire
[5].
La CNIL a ainsi rappelé :
« La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a indiqué qu’en règle générale, les clauses contractuelles types (CCT) peuvent toujours être utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers). Cependant, la CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT. Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité ».
En prenant soin de préciser :
« La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent ».
Ainsi, les clauses doivent être accompagnées de mesures de protection supplémentaires dès lors que la législation du pays tiers ne permet pas le respect d’un niveau de protection équivalent à celui en place dans l’UE.
En effet, il est de la responsabilité de l’entreprise de s’assurer que le pays destinataire a une législation protectrice des données personnelles à un niveau au moins équivalent à celui de l’UE. En pratique, le DPO va devoir faire une analyse documentée sur la législation et la méthode de traitement, afin de justifier de la légalité du transfert vers le pays tiers [6].
Cela peut s’avérer être une tâche particulièrement lourde, notamment pour les petites entreprises qui n’ont pas de telles ressources en interne lesquelles, n’ont, en outre, pas forcément de choix au regard du rapport de force face à leur contractant dès lors qu’elles n’ont souvent ni le pouvoir, ni l’expertise pour négocier avec de grands groupes des clauses complexes.
Le 28 février dernier, le Comité européen à la protection des données (CEPD) a rendu son avis sur le projet de décision d’adéquation de la Commission européenne. Il relève les améliorations apportées par le nouveau cadre juridique américain (Executive Order du 7 octobre 2022), mais indique que des préoccupations subsistent [7].
Une des solutions pourrait être la relocalisation des données à l’intérieur de l’UE mais elle reste longue et complexe si elle n’a pas été envisagée en amont et ne peut donc, à ce titre, être retenue qu’en dernier recours.
