Clauses Contractuelles Types : quoi et pourquoi ?

Que sont les Clauses Contractuelles Types (CCT) et pourquoi sont-elles utiles ? Les CCT sont en fait des accords types de transfert de données qui permettent aux entreprises de transférer des données vers des pays situés en dehors de l’EEE.

Le RGPD a soumis le transfert de données à caractère personnel en dehors de l’EEE, c’est-à-dire vers des pays tiers ou des organisations internationales, à des règles strictes. Les transferts ne peuvent avoir lieu que si le responsable du traitement et le sous-traitant respectent des conditions spécifiques. Ces conditions comprennent notamment la mise en œuvre de garanties appropriées.

Selon le RGPD, l’une de ces garanties appropriées est constituée par les clauses types en matière de protection des données, mieux connues sous le nom de clauses contractuelles types ou CCT.

Séries de nouvelles clauses types

Le 4 juin 2021, la Commission européenne a adopté deux séries de nouvelles clauses types, l’une à utiliser entre les responsables du traitement et les sous-traitants et l’autre pour le transfert de données à caractère personnel vers des pays tiers. Ces nouvelles clauses contractuelles reflètent les nouvelles exigences en matière de protection des données prévues par le RGPD ainsi que la récente décision Schrems-II sur les transferts de données vers les États-Unis.

Les principales nouveautés de ces nouvelles versions des clauses types sont les suivantes :

• Adaptation au RGPD : il est surprenant en soi qu’il ait fallu trois ans pour adapter les anciens contrats à la nouvelle réglementation.
• Plus de flexibilité dans l’utilisation des contrats types. Les nouvelles CCT sont conçues pour offrir des garanties appropriées pour le transfert de données à caractère personnel en dehors de l’Europe dans quatre scénarios de transfert possibles : (1) responsable du traitement vers responsable du traitement, (2) responsable du traitement vers sous-traitant, (3) sous-traitant vers responsable du traitement et (4) sous-traitant (ultérieur) vers sous-traitant (ultérieur). Les obligations pertinentes pour chacun de ces transferts sont énoncées dans des « modules » distincts au sein de certaines clauses des nouvelles CCT. Cette approche modulaire consolidée constitue une mise à jour importante par rapport aux anciennes CCT, qui prévoyaient deux ensembles distincts de clauses pour seulement deux scénarios de transfert.
• Les anciennes CCT sont des accords entre 2 parties – sans possibilité pour d’autres parties d’y adhérer directement. Les nouvelles CCT comprennent une « docking clause » (clause d’adhésion) qui permettrait à des parties supplémentaires d’adhérer aux CCT pendant le cycle de vie du contrat. Conformément à la clause 7 des nouvelles CCT, la nouvelle partie peut, « avec l’accord des parties », adhérer aux nouvelles CCT à tout moment.
• Les nouvelles CCT peuvent être utilisées par un exportateur de données soumis au RGPD, quel que soit l’endroit où il est établi. En vertu des anciennes CCT, l’exportateur de données devait être établi dans l’UE, de sorte que les contrats n’étaient pas disponibles pour un exportateur de données basé en dehors de l’UE, mais toujours (par exemple) soumis au RGPD en vertu de l’article 3, alinéa 2 du RGPD. Les nouvelles CCT ne contiennent pas de restriction explicite quant à l’endroit où est établi l’exportateur de données (voir article 1^er de la décision d’exécution).
• Une boîte à outils avec un aperçu des différentes mesures à prendre pour mettre les transferts internationaux en conformité avec l’arrêt Schrems II, en plus des clauses contractuelles. À cet égard, la recommandation (désormais définitive) 01/2020 du Comité Européen de la Protection des Données (EDPB) est une lecture intéressante.

Des défis

Bien sûr, ces nouvelles CCT vont à nouveau créer des défis. Une entreprise ou une organisation qui effectue des transferts sur la base de la version précédente des clauses types doit ainsi par exemple mettre à jour les contrats existants. Les nouvelles CCT sont entrées en vigueur le 27 juin 2021. Les organisations peuvent toutefois continuer à signer les anciennes CCT dans de nouveaux contrats jusqu’au 27 septembre 2021. Après 15 mois supplémentaires (27 décembre 2022), les nouvelles CCT doivent être intégrées dans les contrats existants.

Des points à clarifier

En plus des défis susmentionnés, il y a sans aucun doute encore des points à clarifier. Les experts débattent ainsi des situations dans lesquelles les CCT peuvent ou non être utilisées. La phrase suivante du considérant 7 de la décision d’exécution 2021/914 de la Commission alimente cette discussion : « Les clauses contractuelles types ne peuvent être utilisées pour ce type de transferts que dans la mesure où le traitement effectué par l’importateur de données ne relève pas du champ d’application du règlement (UE) 2016/679. » Par conséquent, on ne sait pas clairement si les CCT peuvent être utilisées dans une situation où l’importateur de données n’est pas soumis au RGPD. Cela nécessite en soi de plus amples explications. Il est possible que l’EDPB publie d’autres directives à ce propos.

Analyses d’impact : une nécessité

Les nouvelles CCT ne se suffisent pas à elles-mêmes. En cas de transfert international de données à caractère personnel, les parties devront effectuer une « analyse de l’impact du transfert » (Transfer Impact Assessment ou TIA). Celle-ci doit tenir compte à cet égard des circonstances spécifiques du contrat (durée, contenu, type de destinataire, canaux de communication utilisés), de la législation et de sa mise en œuvre dans le pays tiers (cette législation doit offrir des garanties équivalentes par rapport au droit européen) et, enfin, de toutes les mesures techniques et organisationnelles qui encadrent le transfert.

Vous souhaitez en savoir plus sur les transferts de données et les TIA ?

Alors notre formation Analyses d’impact RGPD : DPIA & DTIA est fait pour vous.

Lien vers les CCT : cliquez ici.

Lien vers l’EDPB : cliquez ici.