Dans cet article, je voudrais soulever deux questions/préoccupations différentes concernant les clauses contractuelles types (CCT). La première concerne la nécessité de les mettre à jour maintenant que le règlement général européen sur la protection des données (« RGPD ») est en place et la seconde concerne l’utilisation des clauses contractuelles types par des responsables de traitement de pays tiers.

CLAUSES CONTRACTUELLES TYPES EN VERTU DU RPGD

Le RGPD, tout comme la directive européenne sur la protection des données, interdit le transfert de données personnelles vers des pays tiers en dehors de l’Union européenne, qui ne sont pas considérés comme offrant un niveau de protection adéquat en vertu des lois nationales applicables. Par ailleurs, lorsque les pays n’offrent pas un niveau de protection adéquat, les transferts internationaux de données en dehors de la Communauté peuvent être effectués si le responsable du traitement ajoute des garanties appropriées pour protéger les données à l’étranger, et seulement en dernier recours, la RGPD permet que les transferts se fassent sur la base d’une dérogation tant que certaines conditions et exigences spécifiques sont remplies.

Le problème auquel nous sommes confrontés aujourd’hui est que les CCT tels qu’approuvés par la Commission européenne en vertu des décisions 2001/497/CE, 2004/915/CE et 2010/87/UE sont désormais obsolètes, ce qui génère une certaine confusion et des inquiétudes.

Le 9 juillet, la Cour de justice de l’Union européenne (CJUE) a entendu les arguments oraux dans l’affaire C-311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems (« Schrems II »), où la validité des CCT a été remise en question. Avant la décision de la CJUE, qui est attendue au cours du premier trimestre 2020, l’avocat général (« AG ») publiera son opinion et toute décision qui en découlera aura un impact énorme sur les interactions entre les entreprises.

À mon avis, les CCT ne devraient pas être invalidées en tant que mécanisme légal de transfert de données en dehors de l’UE, cependant, la Commission européenne doit les mettre à jour, afin de les adapter aux nouvelles dispositions du RGPD. Actuellement, les obligations imposées aux exportateurs et aux importateurs de données par les CCT ne sont pas différentes, ni même moins rigides, que celles imposées aux responsables du traitement et aux sous-traitants par le RGPD et, étant donné que les sous-traitants sont désormais directement responsables du respect de la vie privée et doivent nommer un représentant de l’UE lorsqu’ils ne sont pas basés sur le territoire de l’UE, une amélioration importante de l’applicabilité de la protection des données, qui était difficile à expliquer dans le cadre des CCT, est désormais une réalité.

Les obligations du Représentant de l’UE doivent également être clarifiées par la Commission européenne ou la CJUE, car nous ne savons pas vraiment si les autorités de protection des données peuvent imposer des amendes aux Représentants pour des violations de la vie privée d’un responsable du traitement ou d’un sous-traitant non établi dans l’UE, ni comment celles-ci doivent être remboursées ultérieurement par les responsables du traitement ou les sous-traitants. Une telle procédure serait logique mais exigerait des entreprises qu’elles rédigent des contrats en bonne et due forme avec leurs représentants, qu’elles accordent des droits d’indemnisation aux représentants et qu’elles imposent probablement aux deux parties des obligations d’assurance pour couvrir les violations de la vie privée.

En conclusion, pour être utilisé comme un mécanisme valable de transfert de données à caractère personnel de l’UE vers des pays tiers, le CCT doit être revu afin d’étendre la protection déjà accordée par le RGPD et de clarifier certaines exigences pour garantir son caractère exécutoire.

CLAUSES CONTRACTUELLES TYPES LORSQUE LE RESPONSABLE DU TRAITEMENT EST UNE ENTITÉ EXTÉRIEURE À L’UE

Une autre question relative à l’applicabilité des CCT concerne son utilisation lorsque les contrôleurs ne sont pas basés dans l’UE. Il est très fréquent que des responsables de traitement de pays tiers utilisent les CCT pour transférer des données à caractère personnel de personnes concernées de l’UE vers des pays tiers, même si les CCT approuvés par la Commission européenne sont conçus pour couvrir uniquement les transferts de responsables de traitement de l’UE vers des responsables de traitement de pays tiers ou des sous-traitants de pays tiers.

Les responsables de traitement de pays tiers peuvent adopter cette approche soit en intégrant les CCT dans les accords de services qu’ils concluent avec des sous-traitants de pays tiers, soit en demandant à leur représentant dans l’UE de conclure des CCT avec des sous-traitants de pays tiers en leur nom. En effet, pour les responsables de traitement de pays tiers, il est également courant de trouver des CCT signés entre deux responsables de traitement de pays tiers lorsqu’il n’existe pas de règles d’entreprise contraignantes.

Nous sommes tous d’accord sur le fait que les CCT sont un outil fondamental pour maintenir le flux de données à caractère personnel entre la Communauté et les pays tiers sans imposer de charges inutiles aux opérateurs économiques, mais nous ne pouvons pas oublier le champ d’application des CCT et surtout qu’il existe d’autres mécanismes, y compris d’autres garanties appropriées, pour assurer la protection des données à caractère personnel à l’étranger, ainsi que des dérogations légales pour légitimer ces transferts.

Ma préoccupation est donc de savoir si l’utilisation des CCT en dehors de leur champ d’application peut être un problème pour les entreprises, mais plutôt un moyen de les protéger contre les amendes de l’autorité de surveillance. L’utilisation des clauses types par des contrôleurs non communautaires est-elle considérée comme légale et une fiction juridique légitime ou peut-elle au contraire être considérée comme une intention de ne pas obtenir l’approbation des autorités de surveillance sur les clauses types (art. 46/3a) du RGPD?

En conclusion, tant que la Commission européenne n’aura pas approuvé un nouveau modèle de CCT à utiliser par les responsables du traitement des pays tiers, les CCT ne constituent pas un mécanisme valable pour permettre aux responsables du traitement des pays tiers de transférer des données à l’étranger et les responsables du traitement des pays tiers devraient se fonder sur d’autres mesures de sécurité appropriées ou sur des dérogations légales pour transférer les données. En pratique, si les centres de traitement des données ne sont pas utilisés, ni aucune autre mesure de protection appropriée telle que définie à l’article 2, paragraphe 1, de la directive, les données ne peuvent être transférées à l’étranger. Les responsables du traitement des pays tiers doivent, afin de garantir la légalité des transferts, utiliser l’une des dérogations prévues par le RGPD et respecter certaines exigences spécifiées dans la loi, qui accorderont une certaine protection ou une information étendue aux personnes concernées.