Depuis la publication par la Commission européenne des nouvelles clauses contractuelles types (CCT, souvent aussi appelées clauses types), c’est un sujet brûlant parmi nos experts RGPD. Et en tant qu’entrepreneur, vous êtes probablement confronté aux « mises à jour » de vos fournisseurs et aux questions de vos clients.
Nous allons examiner ci-dessous les conséquences pratiques pour les organisations qui envoient des données à caractère personnel à une partie située en dehors de l’Espace économique européen. Les pays situés en dehors de l’EEE sont également appelés pays tiers dans ce contexte.
Dans tous les cas, l’impact est considérable pour les organisations qui font appel à des fournisseurs dont la société mère est située en dehors de l’EEE. Ou pour les organisations qui transfèrent des données à caractère personnel au sein d’un groupe, et dont les filiales ou les sociétés mères sont situées en dehors de l’EEE. Dans les deux cas, il s’agira de sous-traitants / sous-traitant ultérieur
Rembobinez un peu
Exit le Privacy Shield
Depuis l’arrêt Schrems II, une grande incertitude règne quant au transfert de données en dehors de l’EEE, notamment vers les États-Unis. Par cet arrêt, la Cour de justice a décidé que la décision de la Commission européenne sur l’adéquation du « Privacy Shield » est invalide. Le Privacy Shield entre l’Union européenne et les États-Unis, comme son prédécesseur, offrait aux entreprises européennes un laissez-passer pour transférer les données à caractère personnel de leurs sujets européens à des entreprises américaines. La condition était que ces derniers soient certifiés par le « certificat » du Privacy Shield.
Et qu’en est-il des CCT?
Dans le même temps, cependant, la Cour de justice s’est également prononcée sur l’utilité des CCT. Les CCT étaient souvent utilisés par les organisations pour sécuriser leurs transferts vers des pays situés en dehors de l’EEE et étaient supposés autoriser le transfert en tant que « garantie appropriée ».
Déjà à la suite de l’arrêt Schrems II, le EDPB a élaboré une recommandation en juin 2021 sur les mesures complémentaires aux instruments de transfert pour assurer le respect du niveau européen de protection des données à caractère personnel. En outre, un avis conjoint EDPB/EDPS 2/2021 sur la décision d’exécution de la Commission européenne relative aux clauses contractuelles types a été publié en mai 2021.
En principe, mais surtout en ce qui concerne les transferts vers les États-Unis, les CCT ne devraient plus constituer une telle « garantie appropriée » en soi. Au lieu de cela, l’exportateur de données devrait vérifier dans chaque cas individuel:
- si le droit du pays tiers offre, conformément au droit européen, une protection adéquate des données à caractère personnel transmises sur la base de CCT et
- Si l’importateur de données en dehors de l’EEE offre, si nécessaire, plus de garanties que celles fournies par ces CCT.
Quand dois-je conclure les nouveaux CCT?
Le moment où votre organisation transfère des données à caractère personnel à un tiers situé en dehors de l’EEE, ou si votre organisation a des sociétés associées en dehors de l’EEE, vous êtes obligé d’utiliser les nouveaux CCT.
Si vous travaillez actuellement avec les anciens CCT, ils doivent être remplacés par les nouveaux CCT au plus tard le 27 décembre 2022.
Obligation d’une évaluation de l’impact du transfert (TIA)
Dans l’arrêt Schrems II, la Cour de justice exige qu’une évaluation du cas spécifique. Il convient alors de déterminer s’il n’est possible d’assurer une protection (suffisante) des données qu’au moyen de mesures supplémentaires.
Il s’agit notamment de la probabilité qu’un tiers ait accès aux données, du type de données traitées et des finalités. Il s’agit notamment de la probabilité qu’un tiers ait accès aux données, du type de données traitées et des finalités. Cela devrait alors permettre de déterminer la gravité du risque potentiel. Et en fonction du risque, des mesures supplémentaires doivent alors être adoptées.
Les nouvelles CCT ont intégré la nécessité d’une telle évaluation. Ainsi, selon les nouvelles CCT, les parties doivent effectuer une évaluation complète de l’impact des transferts, qui tienne systématiquement compte des considérations ci-dessus.
Et après un TIA?
Selon l’EDPB, un TIA ne peut conduire qu’à deux résultats:
- soit un niveau de protection adéquat existe et le transfert des données est possible;
- ou il n’existe pas de niveau de protection adéquat. À proprement parler, dans ce cas, le transfert des données à caractère personnel doit être arrêté, ou les parties doivent prendre des mesures supplémentaires appropriées, telles que décrites par l’EDPB dans sa recommandation.
Problèmes pratiques lors de l’exécution d’un TIA
La réalisation d’une TIA signifie que l’exportateur de données (souvent le responsable du traitement) est contraint d’évaluer une situation juridique étrangère, notamment la législation, la pratique juridique actuelle et la jurisprudence.
Cela signifie que la simple garantie contractuelle offerte par les CCT n’aurait en fait aucune valeur, car l’exportateur de données devrait en plus procéder à une évaluation complète et détaillée. Cependant, un contrôle local de ce type ne peut pas du tout être effectué par les PME, mais n’est réalisable qu’à un coût considérable pour les grandes entreprises.
Nous observons que les autorités de contrôle (telles que l’autorité de contrôle allemand) ne sont pas elles-mêmes en mesure d’évaluer les juridictions étrangères et leurs pratiques et qu’elles doivent donc demander l’avis juridique de tiers. Ils ne peuvent même pas procéder à cette évaluation dans leur travail quotidien.
En d’autres termes, le TIA nécessaire, qui est presque exclusivement adapté à la législation et à la juridiction du pays tiers, est impossible à vérifier sur le fond par les autorités de contrôle.
Conclusion
Il n’est toujours pas facile de se conformer aux obligations du RGPD et notamment aux (nouvelles) obligations supplémentaires en matière de transfert de données. Ainsi, d’une part, l’EDPB impose à l’exportateur de données dans le cadre de TIA un examen approfondi de la situation juridique et de la pratique juridique du pays tiers. D’autre part, il s’agit d’un examen qu’une autorité de contrôle ne peut même pas procéder elle-même.
Nous nous demandons donc comment les autorités de contrôle vont faire respecter cette disposition. Pour l’instant, c’est une question qui reste sans réponse. Toutefois, compte tenu de l’attention accrue portée aux CCT et à l’activisme en matière de protection de la vie privée, nous attendons des éclaircissements sur ce point au cours de l’année à venir.
Il est certain qu’il est préférable pour un entrepreneur de s’attarder au transfert international de données et d’envisager sérieusement et de documenter toutes les décisions à cet égard. Si vous avez des questions à ce sujet, vous pouvez toujours nous contacter à l’adresse hallo@dejuristen.be.
Rédigé par Duygu Öztürk, CIPP/E, Privacy Chair lesJuristes, et Kris Seyen, Partner lesJuristes.
