Le cadre juridique des transferts de données personnelles à destination d’un pays tiers ou d’une organisation internationale 

 

Le paragraphe 1 de l’article 46 du Règlement général sur la protection des données à caractère personnel (ci-après « RGPD ») conditionne le transfert des données à caractère personnel vers un pays tiers ou une organisation internationale, à l’existence de :

 

• garanties assurant la protection des données transférées ;

• voies de droit effectives.

 

D’après le paragraphe 2 de l’article 46 du RGPD, les garanties prévues au paragraphe 1 peuvent être fournies par les moyens suivants : « 

​

• un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;

 

• des règles d'entreprise contraignantes conformément à l'article 47 ;

 

• des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2 ;

​

• des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2 ;

​

• un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ; 

​

• ou un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. »

 

Les clauses contractuelles types de la Commission européenne

 

Pour s’assurer que le pays destinataire des données personnelles offre un niveau adéquat de protection, la Commission européenne a mis en place des Clauses Contractuelles Types (ci-après « CCT ») visées au c) et d) de l’article 46 du RGPD mentionné ci-dessus. 

 

Ces clauses sont des modèles de contrats de transfert de données personnelles qui engagent les responsables du traitement ou les sous-traitants à garantir une protection effective des données personnelles transférées. Ainsi, ils doivent définir : 

​

• l’objet et la durée du traitement ;

• la nature et la finalité du traitement ;

• le type de données à caractère personnel ;

• les catégories de personnes concernées ;

• les droits et les obligations du responsable de traitement

 

Deux modèles de CCT ont initialement été prévus par la Commission européenne : 

​

• les CCT venant encadrer les transferts de données entre deux responsables du traitement de 2004 ;

• les CTT venant encadrer les transferts de données entre un responsable du traitement et un sous-traitant de 2010. 

 

La mise à jour de ces clauses contractuelles types 

 

Le 15 janvier 2021, le Comité européen de la protection des données personnelles (ci-après « CEPD ») et le contrôleur européen de la protection des données personnelles ont adopté un avis conjoint sur les projets de :  

​

• CCT pour le transfert des données personnelles vers des pays tiers ;

• CCT entre les responsables de traitement et les sous-traitants.

 

Cet avis visait principalement à clarifier les rôles des responsables du traitement et des sous-traitants pour éviter toute ambiguïté sur l’application de ces CCT. Les responsabilités de chacune des parties ont également été précisées. 

 

Ces nouvelles clauses renforcent la protection des données dans le cadre de transfert vers des pays tiers. L’adoption de ces clauses s’inscrit dans le contexte particulier de l’arrêt Schrems II. 

 

En effet, la Cour de justice de l’Union Européenne (ci-après « CJUE ») a rendu le 16 juillet 2020 un arrêt qui invalide le bouclier de protection relatif aux transferts de données entre l’Union Européenne et les États-Unis (ci-après, le « Privacy Shield »).

 

L’invalidation du Privacy Shield

 

Le Privacy Shield était un accord conclu entre les États-Unis et l’Union Européenne dans lequel, certains organismes américains s’engageaient, dans le cadre du transfert de données depuis l’Union Européenne, à leur conférer un niveau de protection équivalent à celui de l’Union Européenne. 

 

La CJUE a constaté que la législation américaine permettait à des autorités publiques d’avoir accès à ces données. Elle a jugé que cette législation ne permettait pas de répondre aux exigences de protection des données personnelles de l’Union Européenne. 

 

Dans ce contexte, les nouvelles CCT viennent assurer la protection des données personnelles exportées vers des pays tiers, lorsque la législation interne contrevient au standard de protection européen. 

 

Le 4 juin 2021, la Commission européenne a publié deux décisions qui prévoient de nouvelles CCT :

​

• la décision d’exécution (UE) 2021/914 du 4 juin relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil ;

 

• la décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021 relatives aux clauses contractuelles types entre les responsables de traitements et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil.

 

Les modifications apportées par les nouvelles CCT :

 

• La mise en place de modules : 

 

Les nouvelles CCT pour le transfert de données vers des pays tiers disposent, en plus des clauses générales, de modules applicables aux différentes relations entre responsable du traitement et sous-traitant : 

​

• le module 1 s’applique aux transferts de données entre deux responsables de traitement ;

• le module 2 s’applique aux transferts de données entre un responsable du traitement et un sous-traitant ;

• le module 3  s’applique aux transferts de données entre deux sous-traitants ;

• le module 4 s’applique aux transferts de données entre un sous-traitant et un responsable du traitement.

 

Ces modules, qui visent les différents scénarios de traitement des données personnelles, permettent de préciser les obligations et les CCT applicables aux différentes parties. 

 

• L’insertion d’une clause d’amarrage : 

 

La décision n°2021/915 du 4 juin 2021 sur les CTT entre responsables du traitement prévoit l’insertion d’une clause d’amarrage facultative. 

 

Elle permet à un tiers au contrat de devenir partie, quelle que soit sa qualité (responsable du traitement ou sous-traitant). Grâce à cette clause d’amarrage, le tiers pourra adhérer aux CCT prévues dans le contrat de transfert de données.

 

• Une obligation d’évaluation de la législation du pays tiers par l’exportateur des données : 

 

Dans le contexte de l’arrêt Schrems II, les parties doivent vérifier que la législation du pays tiers, vers lequel les données personnelles sont envoyées, ne dispose pas de règles permettant aux autorités publiques d’accéder aux données personnelles. 

 

En cas de législation interne pouvant entrainer la divulgation des données personnelles aux autorités publiques, les parties doivent prendre des mesures visant à assurer un niveau élevé de protection des données personnelles. 

​

Les CTT encadrant le transfert de données entre un responsable du traitement et un sous-traitant de 2010 ont été abrogées par les nouvelles CCT depuis le 27 septembre 2021. Cette mesure a été prévue par l’article 4 de la décision d’exécution 2021/914 du 4 juin 2021 sur les CCT prévoyant le transfert des données vers des pays tiers.

 

De plus, pour les contrats conclus avant le 27 septembre 2021, les CCT prévues dans ces contrats devront être remplacées par les nouvelles à compter du 27 décembre 2022. 

 

Enfin, une même version de CCT s’applique désormais entre les responsables de traitement de l’Union européenne et des pays tiers ainsi qu’avec ou entre les sous-traitants des deux parties du contrat. 

 

​