CTT, Schrems II et l’actualisation des clauses contractuelles types. Le 16 juillet 2020, la Cour de justice européenne a rendu l’arrêt Schrems II, qui invalide le régime de transferts de données entre l’Union européenne et les États-Unis (Privacy shield) avec des implications importantes pour l’utilisation des services cloud américains.

Un an plus tard, plus précisément le 4 juin 2021, la Commission européenne adopte de nouvelles clauses contractuelles types (CCT) pour remplacer l’ancien régime de transfert.

Avec le changement de régime de transferts de données, l’ajout et la modification de certaines clauses contractuelles types, il n’est pas toujours évident pour les entreprises de s’y retrouver. Voilà pourquoi nous allons dans cet article aborder les CTT qui sont d’actualité.

Schrems II et actualisation des clauses contractuelles types (CTT). Voici tout ce qu’il y a à savoir sur ce sujet !

Clauses contractuelles types (CTT) – Définition

Les CTT sont des ensembles standard de conditions contractuelles auxquelles l’expéditeur et le destinataire des données personnelles adhèrent. Comme fonction, elles garantissent que les droits et libertés du destinataire sont pris en compte et respectés.

Plus précisément, il s’agit de modèles de contrats de transfert de données personnelles adoptées par la Commission européenne et servent à encadrer les transferts de données personnelles hors de l’Union européenne. Comme évoqué plus haut, la plus récente mise à jour des clauses contractuelles types date du 4 juin 2021 et elle a été faite par Commission européenne.

Petit résumé de l’affaire Schrems II

En juillet 2020, la Cour de justice de l’Union européenne a rendu un verdict qui a invalidé le Privacy Shield, l’un des mécanismes les plus utilisés permettant aux sociétés commerciales de transférer des données personnelles entre l’UE et les États-Unis. Ce verdict a plus tard reçu le nom de Schrems II.

Avant Schrems II, il y avait une totale libre circulation des données entre l’UE et les États-Unis. Les entreprises pouvaient donc facilement transférer des données conformément au RGPD. Depuis, il est exigé que les entreprises européennes procèdent systématiquement à des évaluations individuelles de chaque transfert de données vers un pays non membre de l’UE afin de garantir la conformité et la sécurité des données.

Schrems II impose que toute organisation qui comptent transférer des données sur la base des Clauses contractuelles types doivent désormais veiller à ce que la personne concernée par les données bénéficie d’un niveau de protection en accord aux garantis de sécurité, de sureté et de confidentialité déjà établis par le RGPD et la Charte des droits fondamentaux de l’UE (CFR).

Sans oublier aussi, les contraintes du RGPD

Le RGPD ou Règlement général sur la protection des données, pour information, a pour rôle de fournir un certain nombre de bases juridiques pour les transferts de données personnelles depuis l’UE/EEE vers des pays tiers.

Concernant les causes l’affaire Schrems II, tout a commencé quand Maximilian Schrems, un activiste autrichien militant pour la protection des données privées a fait un appel au commissaire irlandais à la protection des données pour demander l’invalidation des Clauses contractuelles types pour l’utilisation par Facebook du transfert de données personnelles vers son siège aux États-Unis.

Selon cet activiste, les données personnelles dont la gestion et le transfert sont assurés par Facebook, auraient été consultées par les agences de renseignement américaines, ce qui bien évidemment était contraire au RGPD et, plus largement, au droit de l’UE.

À la suite de ces accusations graves, des enquêtes ont ensuite été menées et l’UE, ce qui a abouti à l’invalidation des clauses contractuelles types (CTT) le 16 juillet 2020.

De nouvelles clauses contractuelles types adoptées par la C. E.

L’adoption le 4 juin 2021 des nouvelles clauses contractuelles types pour les transferts d’informations personnelles depuis l’Union européenne/Espace économique européen vers des pays tiers en vertu du Règlement général sur la protection des données fait suite à une publication en novembre 2020 des projets de CTT et à une période de consultation ultérieure.

Les nouvelles CTT clarifient les transferts de données transfrontaliers, en remplaçant les clauses en vigueur avant cette date. À part cela, elles tentent aussi de résoudre les incertitudes juridiques concernant les transferts de données personnelles vers des pays tiers résultant de la décision de la Cour de justice de l’UE dans Schrems II.

Les nouvelles CCT, en vigueur depuis le 27 juin 2021

Les nouvelles CCT sont entrées en vigueur le 27 juin 2021 ; mais il existe deux dispositions transitoires, qui donnent aux entreprises le temps d’entrer dans les nouvelles CCT.

Premièrement, concernant les contrats déjà exécutés utilisant les CTT existantes, les entreprises ont 18 mois (jusqu’au 27 décembre 2022) pour mettre à jour leurs CTT, à condition que les opérations de traitement restent inchangées pendant cette période et que les données personnelles transférées soient soumises à des garanties appropriées.

Deuxièmement, pour les nouveaux accords contractuels, les entreprises pouvaient utiliser les TTC existantes jusqu’au 26 septembre 2021. Et depuis cette date aussi, tous les nouveaux contrats de traitement de données personnelles devront utiliser les nouvelles CCT.

Les clauses contractuelles types qui sont d’actualité, 2022

Voici une liste des clauses contractuelles types d’actualité les plus importantes à retenir :

• Les transferts de données, vers les États-Unis ou vers tout pays tiers, dont le respect des garanties appropriées n’est pas assuré et ce pour n’importe quelle raison, doivent être suspendus, voire arrêtés.
• L’exportateur de données est tenu d’assurer une protection adéquate des données avant de procéder à une exportation. Le destinataire, quant à lui, est tenu d’informer l’exportateur de tout obstacle à la conformité aux CCT de l’exportation.
• Des détails concernant les parties, les catégories de personnes concernées ainsi que les données personnelles impliquées dans le transfert sont exigés, y compris la fréquence du transfert et, dans certains cas, l’identification de l’autorité de contrôle compétente.
• Le ou les importateurs de données doivent décrire les mesures techniques et organisationnelles spécifiques mises en place pour assurer la sécurité des données transférées.
• Les exportateurs et importateurs de données doivent évaluer les risques posés par les lois des pays tiers destinataires.
• L’évaluation des risques requise en vertu des nouvelles CCT est censée être collaborative, prenant en compte toutes les parties.
• Le décalage territorial dans les clauses précédentes est dorénavant corrigé. Les CCT existantes ne prévoient qu’un « exportateur de données », établi dans l’UE/EEE. Cependant, une entreprise établie dans un pays tiers, mais qui fournit des biens ou des services dans l’UE/EEE (et collecte ainsi des données personnelles de personnes au sein de l’UE/EEE), est soumise au RGPD.
• Les nouvelles clauses peuvent être appliquées lorsque des données personnelles sont transférées par un responsable du traitement ou un sous-traitant soumis au RGPD, quel que soit l’emplacement géographique de l’exportateur de données.
• Plusieurs parties sont autorisées à se joindre en tant qu’exportateurs ou importateurs de données. Cela vise à promouvoir la flexibilité et l’efficacité afin d’assurer la protection des données. Cela peut être particulièrement utile dans le cadre de fusions et acquisitions ou pour les transferts intra-groupe où de nouvelles sociétés du groupe peuvent être créées au fil du temps.

Tout n’est pas clair pour autant, mais il est indéniable que des efforts ton été faits, suite à l’arrêt Schrems II,et aux obligations liées à RGPD, mais pour finir par une note positive, c’est mieux, mais on peut encore mieux faire.

Auteur Antonio Rodriguez, Directeur Clever Technologies

Pour en savoir plus

• la CNIL vient de statuer que Google Analytics viole le RGPD
• Durcissement des directives françaises et européennes en Cybersécurité
• règles en vigueur de la CNIL en matière de gestion des cookies 
• Google abandonne FLoC et introduit « Topics », une nouvelle alternative au ciblage sans cookies tiers