Les nouvelles Clauses contractuelles types (CCT) entre les responsables du traitement et les sous-traitants dans l’UE/EEE ont été adoptées par la Commission. Ces clauses peuvent être incluses dans un contrat plus large, compléter par d’autres clauses ou des garanties supplémentaires (à la condition que celles-ci ne contredisent pas, directement ou indirectement, ces clauses contractuelles types).
Les nouvelles clauses contractuelles types intègrent la jurisprudence de la CJUE dans l’affaire dite « Schrems II » et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.
A noter que les CCT ne suffisent pas à elles seules pour assurer le respect des obligations relatives aux transferts internationaux conformément au chapitre V du règlement (UE) 2016/679 et/ou du règlement (UE) 2018/1725, vous devez mettre en place une politique complète de gestion de vos données personnelles (mesures techniques et organisationnelles etc.).
Impact de l’arrêt Schrems II
La CJUE, dans son arrêt du 16 juillet 2020, a indiqué qu’en règle générale, les clauses contractuelles types (CCT) peuvent toujours être utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers). Cependant, la CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.
Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.
Concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement (en particulier la section 702 du FISA et l’Executive Order 12333) ne permet pas d’assurer un niveau de protection essentiellement équivalent (voir en particulier le considérant 145 de l’arrêt de la Cour, la clause 4(g) de la décision 2010/87/UE de la Commission, la clause 5(a) de la décision 2001/497/CE de la Commission et l’annexe II (c) de la décision 2004/915/CE de la Commission).
La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent.
Dans tous les cas de transferts (vers les États-Unis ou vers tout pays tiers), si vous arrivez à la conclusion que le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d’éventuelles mesures supplémentaires, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.
Périmètre des nouvelles CCT
Les nouvelles clauses contractuelles types couvrent, à l’instar des anciennes clauses : i) les transferts entre responsables de traitement UE et responsables de traitement non UE ; ii) les transferts de responsables de traitement UE à sous-traitants non UE. Elles intègrent également deux nouvelles situations : i) les transferts de sous-traitants UE à des responsables de traitement non UE ; ii) les transferts entre sous-traitants UE et sous-traitants non UE.
Les nouvelles clauses contractuelles types ont vocation à remplacer les précédentes. Une période de transition de trois mois à partir de l’entrée en vigueur des nouvelles clauses contractuelles types est prévue (c’est-à-dire jusqu’en septembre 2021).
Pendant une période supplémentaire de 15 mois, les exportateurs et les importateurs de données pourront continuer à invoquer les anciennes clauses contractuelles types, mais au-delà cette période tous auront dû mettre à jour leurs clauses contractuelles types ou un autre outil de transfert.
Les nouvelles clauses contractuelles types, en plus de reprendre les principales protections des droits des personnes et clauses, apportent en outre plusieurs changements, pour tenir compte du RGPD et intégrer de nouveaux mécanismes.
Une structure par module
Tout d’abord, les clauses contractuelles type combinent des clauses générales avec une approche par module pour répondre à divers scénarios de transfert.
En plus des clauses générales, les responsables de traitement et les sous-traitants doivent choisir le module applicable à leur situation parmi les quatre modules suivants :
- module un : transfert de responsable de traitement à responsable de traitement ;
- module deux : transfert de responsable de traitement à sous-traitant ;
- module trois : transfert de sous-traitant à sous-traitant ;
- module quatre : transfert de sous-traitant à responsable de traitement
Clauses multipartites ou « clauses d’amarrage »
Les nouvelles clauses contractuelles types permettent également à de nouvelles entités, quelles qu’elles soient, d’accéder aux clauses contractuelles types, et de devenir une nouvelle partie dans le contrat, comme sous-traitant ou responsable de traitement. Elles permettent à plusieurs parties exportatrices de données de conclure un contrat et à de nouvelles parties d’y être ajoutées au fil du temps, au-delà des signataires initiaux. Une nouvelle partie peut accéder au contrat seulement avec l’accord des autres parties du contrat.
CCT et sous-traitance
Pour rappel, tout responsable de traitement peut convenir que lorsque son sous-traitant recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement) et que ces activités de traitement impliquent un transfert de données à caractère personnel au sens du chapitre V du règlement (UE) 2016/679, le sous-traitant et le sous-traitant ultérieur peuvent garantir le respect du chapitre V du règlement (UE) 2016/679 en utilisant les clauses contractuelles types adoptées par la Commission sur la base de l’article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d’utilisation de ces clauses contractuelles types soient remplies.
Afin de garantir le respect des exigences des règlements (UE) 2016/679 et (UE) 2018/1725, lorsque qu’il confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisfont aux exigences du règlement (UE) 2016/679 et du règlement (UE) 2018/1725, y compris en matière de sécurité du traitement.
Le traitement effectué par un sous-traitant doit être régi par un contrat ou un autre acte juridique en vertu du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui énonce les éléments énumérés à l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679 ou à l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725. Ce contrat ou cet acte se présente sous forme écrite, y compris sous forme électronique
Conformément à l’article 28, paragraphe 6, du règlement (UE) 2016/679 et à l’article 29, paragraphe 6, du règlement (UE) 2018/1725, le responsable du traitement et le sous-traitant peuvent choisir soit de négocier un contrat particulier contenant les éléments obligatoires prévus respectivement à l’article 28, paragraphes 3 et 4, du règlement (UE) 2016/679, ou à l’article 29, paragraphes 3 et 4, du règlement (UE) 2018/1725, soit de se fonder, en tout ou en
partie, sur les clauses contractuelles types adoptées par la Commission conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679 et à l’article 29, paragraphe 7, du règlement (UE) 2018/1725.