Nouveaux jeux de clauses contractuelles types de la Commission européenne: entre théorie et réalité
Dans le domaine privé ou public, l’externalisation du traitement des données auprès de prestataires est monnaie courante. Mais son encadrement est strictement réglementé. Cette chronique de Me Isabelle Cantero, avocat associé du cabinet Caprioli & Associés, vient exposer les réalités de l’encadrement de la sous-traitance et des transferts de données vers des pays tiers suite aux nouvelles clauses contractuelles types de la Commission européenne dans le cadre du RGPD.
Dans le domaine privé ou public, l’externalisation des traitements de données auprès de prestataires est monnaie courante. Ces prestataires, parfois incontournables, traitent des données pour le compte d’un responsable du traitement (RT) et sous ses instructions ont la qualité de sous-traitant (ST). Les relations entre les parties doivent être encadrées, et plus particulièrement lors de transfert de données vers des pays tiers.
Nous allons étudier ici les réalités de l’encadrement de la sous-traitance et des transferts de données vers des pays tiers à la lumière des nouvelles clauses contractuelles types de la Commission européenne pour les acteurs soucieux de leur conformité au Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel (RGPD).
Les "CCT – Sous-traitance" de la Commission européenne : une aide bienvenue à l’encadrement obligatoire de la sous-traitance
Le 4 juin 2021, la Commission européenne a adopté deux jeux de clauses contractuelles types (CCT) : 1) des CCT entre les responsables du traitement et les sous-traitants (ci-après "CCT - Sous-traitance") et 2) des CCT pour le transfert de données à caractère personnel vers des pays tiers (ci-après "CCT - Transfert").
Qu’il y ait transfert de données vers un pays tiers ou non, la sous-traitance doit être régie "par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre". Les RT et les ST peuvent encadrer leur relation par un contrat de sous-traitance spécifique négocié ou utiliser les "CCT - Sous-traitance".
L’utilisation des CCT n’est donc pas obligatoire. Pour autant, ces clauses présentent l’avantage d’intégrer l’ensemble des obligations prescrites par l’article 28 du RGPD et font office de "modèle institutionnel". Elles peuvent être incluses dans un contrat plus large et, le cas échéant, être complétées avec des garanties supplémentaires.
Les "CCT – Sous-traitance" encadrent les précisions à apporter sur les caractéristiques du traitement, les mesures de sécurité à mettre en œuvre, les modalités de l’assistance apportée par le ST au RT et la notification de violations de données à caractère personnel en précisant son contenu.
Le recours à des ST ultérieurs est également abordé : obligation pour le ST de disposer d’une autorisation spécifique préalable ou d’une autorisation écrite générale pour la sous-traitance ultérieure. Cela doit permettre, en théorie, d’avoir une visibilité sur la chaîne de sous-traitance.
La Commission donne également des exemples de mesures techniques et organisationnelles à mettre en œuvre dans le but de garantir la sécurité des données (Annexe III). Ces mesures doivent faire l’objet d’une description concrète et non pas générique. En cas de recours à un ST ultérieur, les mesures de sécurité mises en place par celui-ci doivent aussi être décrites.
Concrètement, les "CCT – Sous-traitance" (qui doivent être signées par les parties) sont à prendre en compte dans le cadre des actions de mise en conformité avec le RGPD. Une attention particulière doit être apportée aux instructions du RT à son ST (sort des données…).
Les "CCT – Transfert" : des clarifications à souligner…
Pour rappel, l’article 44 du RGPD pose un principe d’interdiction de transfert des données vers un pays tiers (pays ne présentant pas un niveau de protection jugé équivalent à celui de l’UE). Principe qui n’est pas absolu puisqu’il connaît certaines atténuations telles que : la présence d’une décision d’adéquation ou l’utilisation de garanties appropriées comme les clauses contractuelles types.
Le nouveau modèle de "CCT – Transfert" de la Commission européenne est pour le moins particulier puisqu’il prend la forme d’une trame commune à tous les transferts entre importateurs et exportateurs de données à caractère personnel complétée par quatre modules applicables selon la qualité des parties. Ainsi, sont appréhendées les transferts entre RT, de RT à ST, entre ST et de ST à RT. Encore faut-il convenablement déterminer la qualité des parties pour sélectionner le module adéquat.
Les points clés ? La transparence vis-à-vis des personnes concernées, l’invariabilité des clauses qui constituent des garanties appropriées sous réserve qu’elles ne soient pas modifiées. Les obligations et responsabilités des parties sont quant à elles segmentées et détaillées, permettant une compréhension plus aisée pour les organismes.
Le "recours à des sous-traitants ultérieurs" est encadré par une clause offrant deux mécanismes qui permettent de régir les modalités de recrutement des ST ultérieurs, le mécanisme de l’autorisation spécifique préalable (acceptation écrite préalable par le RT) ou celui de l’autorisation écrite générale (autorisation de recrutement sur la base d’une liste convenue). L’accès à une copie du contrat avec le ST ultérieur et de ses éventuelles modifications est fourni à l’exportateur de données sur simple demande. Cette obligation à la charge du ST permet au RT de vérifier que les ST ultérieurs utilisés ont dûment rempli et signé les clauses et que les obligations qui pèsent que le ST sont correctement reportées sur le ST ultérieurs.
…mais des contraintes quasi insurmontables
La grande nouveauté de ces CCT est la section III : "législations locales et obligations en cas d’accès des autorités publiques". Elle est divisée en deux parties : "législations et pratiques locales ayant une incidence sur le respect des clauses" et "obligations de l’importateur de données en cas d’accès des autorités publiques".
Il revient aux parties de garantir "qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers (…) empêchent l’importateur de données de s’acquitter des obligations qui lui incombent" en vertu des clauses. A cet égard, les exportateurs de données (européens) et les importateurs (dans un pays tiers, dont les USA) doivent procéder à une évaluation : des "circonstances particulières du transfert", "des législations et des pratiques du pays tiers de destination" (notamment celles qui permettent aux autorités publiques d’accéder aux données personnelles transférées), "des limitations et des garanties applicables" ainsi que des mesures contractuelles, techniques ou organisationnelles prises pour compléter les garanties prévues par les CCT.
Une trace documentaire de cette évaluation doit être conservée et mise à disposition de l’autorité de contrôle le cas échant.
L’importateur de données doit faire tous les efforts possibles "pour fournir des informations pertinentes à l’exportateur de données" et il doit aussi informer l’exportateur de données de toute modification dans la législation de son pays qui pourrait entraîner une protection non-conforme. Dans l’hypothèse d’un accès ou d’une demande d’accès aux données par les autorités en vertu de la législation locale, il incombe à l’importateur de données d’informer sans délai l’exportateur. Si cette notification est interdite par la législation du pays tiers, l’importateur doit "tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais"…
A la suite de cette notification ou si l’exportateur de données a des raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des CCT, l’exportateur de données doit définir sans délai des mesures visant à garantir la sécurité et la confidentialité des données (ex. chiffrement des données sans possibilité de déchiffrement pour l’importateur). Si aucune garantie appropriée ne peut être fournie pour ce transfert, il incombe à l’exportateur de données de suspendre le transfert de données.
Bien que de lourdes contraintes pèsent sur l’importateur de données, force est de constater que la responsabilité de la conformité du transfert de données incombe pleinement à l’exportateur.
Une date butoir de mise en conformité
Les acteurs qui utilisent d’anciens jeux de clauses contractuelles types (abrogés en septembre 2021) ont jusqu’au 27 décembre 2022 pour se mettre à jour.
En synthèse, le recours aux "CCT – Sous-traitance" peut être utile en tant que modèle officiel. En ce qui concerne des "CCT – Transfert", le doute est permis. En effet, ces clauses s’avèrent insuffisantes pour les pays dont la règlementation pose problème, ce qui est le cas des USA. La conformité du transfert repose dès lors essentiellement sur la prise de mesures complémentaires (contractuelles, techniques et organisationnelles) côté importateur ou exportateur, ce dernier devant répondre de leur efficacité. Quelle lourde responsabilité surtout à l’heure du recours massif (souvent incontournable) à des outils leaders sur leur marché dont les fournisseurs sont américains (dois-je citer Google Analytics !).
Cette situation pourrait contredire l’adage selon lequel "à l’impossible, nul n’est tenu" !
Isabelle Cantero, avocat associé, responsable du pôle "Vie privée et données à caractère personnel", DPO externalisé, chargée d’enseignement, SELARL Caprioli & Associés, société membre de JurisDéfi
Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction
SUR LE MÊME SUJET
Nouveaux jeux de clauses contractuelles types de la Commission européenne: entre théorie et réalité
Tous les champs sont obligatoires
0Commentaire
Réagir