Les CCT garantissent en principe que les transferts de données réalisés par un exportateur de données situé au sein de l’Union européenne (UE) vers un importateur de données situé dans un pays tiers sont effectués de sorte à conserver un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen.
Il s’agit de la position adoptée par la Cour de Justice de l’Union Européenne dans le célèbre arrêt SCHREMS II du 16 juillet 2020, ayant conduit à l’invalidation du Privacy Shield, mécanisme d’adéquation encadrant auparavant les transferts de données à caractère personnel vers les Etats-Unis.
Dans cet arrêt, la CJUE a toutefois précisé que même en présence de CCT, l’exportateur et l’importateur de données devaient déterminer si la législation du pays tiers ne faisait pas obstacle au respect du niveau de protection requis et aux garanties fournies par les CCT.
Dans le cas contraire, il convient d’accompagner les CCT de mesures complémentaires afin d’assurer un niveau de protection équivalent à celui prévu au sein de l’Union européenne ; tel est désormais le cas en ce qui concerne les transferts vers les Etats-Unis.
Les nouvelles CCT ont vocation à encadrer quatre types de transferts de données à caractère personnel :
- les transferts entre responsables de traitement UE et responsables de traite-ment hors UE ;
- les transferts de responsables de traitement UE à sous-traitants hors UE ;
- les transferts de sous-traitants UE à des responsables de traitement non UE ;
- les transferts entre sous-traitants UE et sous-traitants non UE.
Selon l’article 4 de la décision d’exécution de la Commission européenne relative aux CCT, la version antérieure de celles-ci est abrogée à compter du 27 septembre 2021.
Toutefois, les contrats conclus avant cette date et se fondant sur les anciennes CCT peuvent subsister « pour autant que les opérations de traitement faisant l’objet du contrat demeurent inchangées et que l’invocation de ces clauses garantisse que le transfert de données à caractère personnel est soumis à des garanties appropriées », et ce jusqu’au 27 décembre 2022.
Par conséquent, à compter du 27 décembre 2022, les transferts de données à caractère personnel hors UE devront être encadrés par les CCT en leur dernière version.
Une des principales nouveautés de ces CCT est l’apparition d’une clause d’adhésion facultative au sein des clauses applicables de façon générale à tout exportateur ou importateur de données (clause 7).
Cette clause permet à une entité tierce d’adhérer à tout moment aux CCT, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A. des CCT.
Par cette clause, l’entité tierce peut devenir partie à l’accord résultant des CCT, et se voit attribuer les droits et obligations résultant du statut qu’elle a défini dans l’annexe I.A. des CCT.
De plus, une autre nouveauté majeure des CCT adoptées le 4 juin 2021 est l’organisation en modules, correspondant aux quatre hypothèses de transfert hors UE évoquées précédemment.
Ainsi, le module 1 correspond au transfert de responsable du traitement à responsable du traitement, le module 2 correspond au transfert de responsable du traitement à sous-traitant, le module 3 correspond au transfert de sous-traitant à sous-traitant, et le module 4 correspond au transfert de sous-traitant à responsable du traitement.
Cette organisation se retrouve tout d’abord à la clause 8 des CCT, traitant des garanties en matière de protection des données, et dont les dispositions sont adaptées en fonction des statuts des parties mettant en œuvre le transfert.
De la même manière, les dispositions relatives au recours à des sous-traitants ultérieurs, aux droits et voies de recours des personnes concernées, et à la responsabilité des parties sont divisées en fonction du statut des parties mettant en œuvre le transfert.
Les dernières nouveautés majeures se trouvent aux clauses 14 et 15.
La clause 14 énonce l’obligation pour les parties de garantir la compatibilité de la législation et des pratiques du pays tiers avec les dispositions des CCT.
La clause 15 détermine les obligations de l’importateur de données en cas d’accès aux données par des autorités publiques.
Ces clauses semblent donc reprendre le raisonnement développé par la CJUE dans l’arrêt SCHREMS II, selon lequel d’une part, les CCT ne peuvent constituer un outil d’encadrement suffisant que si la législation du pays tiers ne fait pas obstacle au respect des obligations qui en découlent ; et d’autre part, le risque d’accès aux données par une autorité publique du pays tiers doit être encadré.
A ce sujet, les CCT imposent à l’importateur de données de :
- contrôler la légalité d’une demande de divulgation de données émise par une autorité publique ;
- contester la légalité de cette demande après une évaluation juridique minutieuse ;
- garder les preuves de l’évaluation juridique réalisée et de toute contestation effectuée ; et mettre ces documents à disposition de l’exportateur de données.
Ces nouvelles obligations renforcent donc les garanties fournies par les CCT au regard de la législation du pays tiers où sont transférées les données, et déterminent la responsabilité des parties à cet égard.
Dès lors, dans le cadre de vos éventuelles relations avec un sous-traitant ou un responsable de traitement situé hors de l’Union européenne, il conviendra d’extraire les dispositions des CCT applicables à votre cas, et de vous assurer que la législation du pays dans lequel se situe votre cocontractant est compatible avec les obligations contenues au sein de ces clauses.
Raphaël EKWALLA-MATHIEU
Avocat Collaborateur
Raphaël RAULT
Avocat Associé
Département Numérique