iStock

Nouvelles Clauses Contractuelles Types : les conséquences pour les entreprises européennes

Suite à l’invalidation du Privacy Shield, la Cour de Justice de l’UE avait demandé une clarification des CCT. La Commission a publié deux nouveaux modèles le 4 juin. Me Sabine Marcellin explique les conséquences pratiques pour les clients des éditeurs extraeuropéens.

Suite à l’arrêt Schrems II, de nombreuses entreprises se sont tournées vers les Clauses Contractuelles Types (CCT), tout en s’inquiétant d’une possible remise en cause du mécanisme de signature de ces clauses.

Pour rappel, l’arrêt Schrems II de la CJUE du 16 juillet 2020 avait invalidé le Privacy Shield en soulignant que le transfert hors UE vers les États-Unis ne répondait pas aux exigences du RGPD, du fait de l’accès possible aux données personnelles par des agences de surveillance.

Clarification des CCT

La CJUE avait demandé, dans l’arrêt, une clarification des CCT.

Après révision des CCT, le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données ont rendu des avis conjoints le 14 janvier 2021 sur ces projets.

Le 4 juin dernier, les deux nouveaux modèles de CCT ont été publiés :

Les décisions ont été publiées au Journal Officiel de l’UE le 7 juin 2021, et remplacent les CCT existant depuis 2010.

L’objectif de ces clauses est de simplifier l’encadrement des transferts. Selon la Commission : « Ces nouveaux outils offriront une plus grande prévisibilité juridique aux entreprises européennes et aideront en particulier les PME à garantir le respect des exigences en matière de transferts sécurisés de données, tout en permettant aux données de circuler librement par-delà les frontières, sans barrières juridiques ».

Une sécurité juridique retrouvée, mais sous certaines conditions

En effet, les entreprises bénéficient d’une sécurité juridique avec cette nouvelle version, sous certaines conditions.

Les nouvelles séries de CCT exigent de préciser, dans une annexe, les mesures recommandées par le Comité européen de protection des données en janvier 2021. Il s’agit de mesures techniques, organisationnelles et juridiques qui contribuent à sécuriser les données.

En pratique, ces nouveaux textes permettent juridiquement la transmission de données vers des pays tiers en contrepartie d’une exigence forte, pour les entreprises, de mise en œuvre de mesures de sécurité des données.

Les exigences de sécurité des données ne sont pas nouvelles, car elles représentaient déjà un impératif, dans le RGPD, et même historiquement depuis la loi Informatique et Libertés de 1978. La nouveauté des textes européens est l’exigence que les mesures soient documentées dans une annexe des CCT.

La nouveauté des textes européens est l’exigence que les mesures soient documentées dans une annexe des CCT.

Les mesures techniques, organisationnelles et juridiques restent au choix des entreprises exportatrices, en fonction des caractéristiques du traitement et de l’analyse de risque effectués. Sur ce plan, la Recommandation du Comité européen de Protection des Données du 10 novembre 2020 reste éclairante pour s’assurer de la conformité des transferts (« EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data »).

Des exemples de mesures techniques et organisationnelles sont cités dans cette Recommandation, comme des mesures de chiffrement, de pseudonymisation, de protection des données pendant le stockage ou la transmission, journalisation, configuration du système, gouvernance de l’informatique interne, mesures de certification, de qualité des données ou de conservation.

Quant aux mesures juridiques, les exemples figurant dans la Recommandation sont : la transparence des mesures légales applicables, l’obligation de recours à des mesures techniques spécifiques pour l’importateur, l’assurance de l’application du droit d’accès des personnes, etc.

Conclusion

Quelles sont les conséquences pratiques pour les entreprises ?

La nouvelle série de CCT permet d’assurer les entreprises de la conformité au RGPD. Mais cette assurance n’est valide qu’à la condition de la mise en œuvre de mesures de sécurité du traitement.

Les mesures de sécurité techniques, organisationnelles et juridiques doivent figurer dans l’annexe des nouvelles CCT.

La conformité au RGPD, sans exiger un renforcement des mesures de cybersécurité, exige un renforcement du formalisme et une documentation des moyens spécifiques appliqués à chaque traitement.

Les entreprises ont 18 mois pour se mettre en conformité avec ces textes.

Lire aussi cet autre conseil de Me Sabine Marcellin

Privacy Shield : les solutions concrètes du Comité européen de Protection des Données
Le CEPD a publié des recommandations sur les mesures à prendre, et applicables, dans un contexte de cloud computing, en les illustrant d’exemples pragmatiques. Le suspense est levé, mais les mesures, très exigeantes, confirment que l’Union européenne veut être un modèle dans la protection des données.

Me Sabine Marcellin est avocate associée au cabinet DLGA.

Pour approfondir sur Applications et services