23 mai 2018. Le RGPD (Règlement Général sur la Protection des Données) entre en vigueur. La vie privée des ressortissants européens profite enfin d’un niveau de protection adéquat dans un univers digital de plus en plus omniprésent au quotidien.
Collecte, stockage, sécurisation… Quelle que soit la nature du traitement, les Européens reprennent le contrôle sur les opérations réalisées avec leurs données. Un droit de regard nouveau, un pouvoir d’actions inédit.
Les entreprises sont clairement responsabilisées et deviennent des actrices majeures de la protection de la vie privée de leurs interlocuteurs (clients, employés…).
Fini le “Far West”. L’utilisation des informations détenues est strictement encadrée. Il faut en garder un contrôle absolu.
Assujetties au RGPD, une loi extraterritoriale, cette responsabilité s’étend bien au-delà des frontières continentales. Dans une économie globalisée, tout transfert vers un pays tiers doit donc être minutieusement préparé, réalisé et encadré par des garanties spécifiques qui permettent aux Européens d’exercer pleinement leurs droits, et ce, dans le monde entier.
Ces garanties, ce sont les CCT (clauses contractuelles types) : un contrat ou des annexes d’un contrat plus large qui organisent les modalités de transfert et les conditions de traitements des données personnelles à l’étranger. Concrètement, un transfert avec un partage de responsabilité, entre l’entreprise et ses partenaires extérieurs.
Vous allez être surpris, l’application de ces CCT est antérieure au RGPD.
La première directive encadrant les transferts entre 2 responsables de traitements date de 2001. La seconde règlementant les relations entre un responsable du traitement et son sous-traitant date de 2010.
Aujourd’hui inadaptées et obsolètes, la Commission européenne, consciente de l’importance et des enjeux des transferts de données à l’international, a adopté le 4 juin 2021 de nouvelles CCT.
De nouvelles dispositions, avec un encadrement plus contraignant : une obligation, pour les entreprises, à une nouvelle mise en conformité…
L'arrêté Shrems II : le point de départ d'une nouvelle réflexion
Une réaction européenne nécessaire
Nous sommes le 16 juillet 2020. La Cour de Justice de l'Union Européenne (CJUE) invalide le “Privacy Shield” : un régime particulier de transferts de données personnelles vers les États-Unis.
Ce régime, en vigueur depuis 2016 (une véritable tolérance au regard du RGPD), ne permettait plus d'assurer un niveau de protection adéquat pour les ressortissants européens.
Droit à l'information, droit d'effacement, droit d'accès, droit de recours... Sur le sol américain, les Européens perdaient petit à petit le contrôle de leurs données :
- les géants de la Tech Outre-Atlantique utilisaient librement les données stockées sur leur territoire pour le développement de logiciels d'intelligence artificielle ;
- des lois de sécurité nationale, comme les lois FISA (Foreign Intelligence Surveillance Act) ou le Cloud Act (Clarifying Lawful Overseas Use of Data Act), autorisent les autorités américaines à demander l'accès à toute base de données détenue par des prestataires de services nationaux. Peu importe la localisation du serveur, peu importe la nationalité de la personne concernée.
Des dispositions totalement conflictuelles avec le RGPD.
Une prise de décision ambiguë
L'envoi d'informations vers les États-Unis est donc jugé illégal, mais, dans le même temps, la CJUE valide les CCT de la Commission européenne.
Le transfert de données et leur utilisation Outre-Atlantique sont autorisés à condition que des mesures complémentaires soient prises pour protéger les données des ressortissants européens.
Problème : aucune proposition, aucune recommandation concrète, sur les mesures de sécurisation complémentaires à adopter.
L'arrêté Shrems 2 fait donc place à un vide juridique, où des pratiques de transferts douteuses s'installent...
Il y a urgence. Les CCT existantes doivent profiter rapidement d'une mise à jour "3.0"...
Premier acte : le 11 novembre 2020, le Comité Européen formule ses premières recommandations.
Deuxième acte : le 4 juin 2021, la Commission européenne adopte de nouvelles clauses contractuelles types.
Vous allez devoir vous adapter très vite…
Les clauses contractuelles types de juin 2021
De nouveaux mécanismes de fonctionnement
Les nouvelles CCT s’articulent autour de 4 modules encadrant tout type de transferts de données :
- module 1 : les transferts entre responsables de traitement ;
- module 2 : les transferts entre responsables de traitement et sous-traitants ;
- module 3 : les transferts entre sous-traitants ;
- module 4 : les transferts entre sous-traitants et responsables de traitement.
Souvenez-vous ! Avec les anciennes CCT, seules les deux premières relations étaient assurées.
Des acteurs identifiés, des rapports de subordination différents, des qualifications distinctes et donc des prérogatives et des obligations propres à chaque relation.
Par exemple, un exportateur de données pourra réaliser, sous certaines conditions, « des inspections dans les locaux ou les installations physiques de l’importateur de données » (source : Village-Justice).
Vous pouvez donc rédiger 4 jeux de CCT qui couvrent les relations de toute nature pour une protection plus fine des données personnelles. Les responsabilités et les devoirs de tous les acteurs sont clairement identifiés.
Certaines clauses sont identiques à tous les modules, d’autres différentes.
Les différences notables
Impossible de les modifier
Signées, les CCT ne peuvent plus être modifiées. Les signataires du contrat ne peuvent que rédiger de nouvelles clauses ou les compléter pour apporter des garanties additionnelles.
Les premières règles à observer
Une incompatibilité ou une contradiction existent avec une autre disposition de votre contrat ? Si oui, les CCT prévalent de droit.
L’apparition du principe d’adhésion
La conclusion d’un contrat entre un responsable de traitement et, par exemple, un sous-traitant n’est pas hermétique à l’intégration d’un nouvel acteur. Vous pouvez donc accueillir un autre responsable de traitement ou un autre sous-traitant extérieur sans qu’il soit nécessaire de lui faire signer votre contrat initial.
Une protection supplémentaire pour les personnes concernées
Les personnes concernées par le transfert de données deviennent des tiers bénéficiaires. Elles peuvent s’opposer, utiliser les CCT pour faire valoir leur droit, sans être obligées de signer un quelconque contrat.
Les droits du RGPD sont clairement précisés et, par conséquent, plus facilement applicables. Sur demande, vous devez fournir une copie des nouvelles CCT.
De nouvelles obligations pour les entreprises
Exportateurs et importateurs doivent adopter les mesures techniques, organisationnelles et contractuelles nécessaires pour garantir un niveau de sécurisation des données conforme aux attentes du RGPD.
Des décisions d’organisation de transferts qui reposent sur le triptyque :
- évaluation ;
- documentation ;
- décision.
Évaluation
Quelle que soit votre position, si vous transférez des données personnelles vers un pays tiers, vous devez avoir la certitude que vos CCT autorisent les personnes concernées à exercer leur droit d’opposition et leurs voies de droit effectives.
C’est votre priorité. La réglementation et les lois en vigueur dans le pays tiers ne doivent pas être un frein à l’exercice des droits prévus par le RGPD.
Questionnez-vous :
- vos CCT seront-elles véritablement efficaces sur place ?
- les garanties prévues pourront-elles s’appliquer convenablement ?
- le cadre législatif en vigueur assure-t-il un niveau de protection aussi élevé qu’en Europe ?
- quels sont le positionnement et le niveau d’implication du pays tiers au niveau international ?
- ...
Documentation
Les nouvelles CCT prévoient un travail de documentation supplémentaire pour démontrer votre mise en conformité au RGPD en cas de contrôle de la CNIL (Commission Nationale de l'Informatique et des Libertés).
Vos opérations de traitements, les mesures que vous avez adoptées… Conservez une trace écrite détaillée de votre activité relative aux données personnelles.
Décision
2 options :
- le droit à la vie privée de vos interlocuteurs européens n’est pas remis en cause. Vous pouvez organiser le transfert ;
- un risque pèse sur le droit à la vie privée. Vous pouvez soit adopter de nouvelles mesures de protection, soit chercher un autre partenaire (extérieur ou européen).
Agir dès maintenant
Vous en savez désormais un peu plus sur les nouvelles clauses contractuelles types de la Commission européenne. Des droits supplémentaires pour les Européens, une nouvelle régulation des échanges, une adaptation inévitable des entreprises.
Méfiez-vous ! Les clauses contractuelles types déjà signées seront considérées comme caduques le 27 décembre 2022 (sauf changement dans les garanties). Le compte à rebours est lancé pour se mettre en conformité avec le RGPD.
Dans le cas contraire, votre activité est réellement en danger. Les sanctions peuvent littéralement couler votre business :
- sanctions financières : 20 millions d’euros ou 4 % du chiffre d’affaires annuel
mondial ;
- sanctions d’image : perte de la confiance des clients en cas de fuite de données.
Et vous, que pensez-vous de ces nouvelles clauses contractuelles ? Allez-vous changer votre politique en matière de transferts de données ?
Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.