La date d’invalidité des anciennes CCT approche… Et un projet de décision d’adéquation UE-US est en cours d’évaluation…
Les anciennes clauses contractuelles types (CCT) utilisées pour les transferts des données ne seront plus valides d’ici quelques jours. Un changement important pour les entreprises qui devraient veiller à ne plus utiliser les anciennes CCT pour leurs transferts. A la suite de l’arrêt Schrems II de juillet 2020 remettant en cause les transferts de données UE-US, et validant l’utilisation des CCT sous certaines conditions, la Commission européenne a mis en place de nouvelles clauses. En plus des anciennes clauses couvrant les transferts entre un responsable de traitement se trouvant en Europe et un responsable de traitement ou un sous-traitant situé hors UE, de nouvelles situations sont couvertes, à savoir les transferts effectués d’un sous-traitant situé en Europe à un responsable de traitement ou un sous-traitant se trouvant hors UE.
Une période transitoire de 15 mois a été conférée à la suite de l’abrogation des anciennes CCT durant laquelle les organismes pouvaient continuer à utiliser les anciennes CCT. Cette période arrivant à terme le 27 décembre prochain, les transferts ne pourront plus reposer sur cette version des clauses. L’objectif consiste à ne tolérer les transferts des données des européens que lorsqu’elles seront protégées de la même manière que dans l’UE. Le transfert des données aux Etats-Unis présente par ailleurs un cas particulier, ayant connu plusieurs contestations ces derniers mois. Actuellement, un projet de décision d’adéquation est en cours d’examen. En attendant son adoption, les transferts aux Etats-Unis sont soumis à plusieurs conditions.
Deux accords annulés
Bien que les transferts des données personnelles hors UE ne soient pas totalement interdits, ils ne sont pas tolérés dans tous les cas et des règles strictes sont à respecter. Un pays qui se trouve en dehors de l’UE n’offre pas forcément un niveau de protection équivalent à celui imposé en Europe. On distingue les pays qui bénéficient d’une décision d’adéquation de la Commission européenne, tels que l’Argentine, le Japon et la Corée du Sud, et ceux qui ne bénéficient pas d’une telle décision et vers lesquels les transferts de données personnelles ne peuvent être effectués que moyennant des garanties appropriées.
Le cadre des transferts des données personnelles vers les Etats-Unis est passé par plusieurs étapes. Après l’annulation du Safe Harbor en 2015, la CJUE a jugé en 2020 que l’accord de transfert de données entre les États-Unis et l’UE dit «Privacy Shield» n’est pas conforme à la législation européenne sur la protection des données et a annulé l’accord. Or, la décision de la CJUE n’a pas pour effet d’interdire tous les transferts de données personnelles vers les États-Unis. Pour procéder à de tels transferts, il est désormais exigé de mener au préalable une analyse spécifique et de respecter de nouvelles conditions.
En plus de l’encadrement de ces transferts par l’une des garanties de l’article 46 du RGPD dont notamment les Clauses contractuelles types (CCT), des mesures supplémentaires doivent être mises en œuvre par l’exportateur de données afin d’empêcher l’accès aux données par les autorités américaines. Le CEPD donne des exemples de mesures techniques, organisationnelles et contractuelles pouvant être utilisées pour atteindre le niveau de protection nécessaire. Des exceptions existent toutefois et ces transferts peuvent se fonder sur l’une des dérogations prévues par le RGPD. Ces dérogations ne doivent toutefois pas être privilégiées et ne peuvent être appliquées que dans le cadre de situations particulières. Par exemple, pour les seuls traitements occasionnels dans le cas où les transferts sont nécessaires à l’exécution d’un contrat.
Dans tous les cas, en l’absence d’une décision d’adéquation, il revient au responsable de traitement et au sous-traitant de veiller à ne recourir qu’à des prestataires, voire à des solutions, assurant aux personnes des droits opposables et effectifs concernant le traitement de leurs données hors UE.
Une analyse à effectuer
La CJUE a considéré dans son arrêt Schrems II que le recours aux CCT constitue un mécanisme valide pour le transfert de données personnelles hors UE. Il est toutefois exigé pour les utiliser d’évaluer si ces clauses permettent d’assurer, pour le transfert envisagé, un niveau de protection essentiellement équivalent à celui de l’UE.
On parle du TIA, autrement Transfer Impact Assessment, qui consiste en un outil d’évaluation des risques permettant aux organismes de vérifier si le mécanisme de transfert qu’ils ont prévu d’utiliser, offre un niveau de protection adéquat pour le transfert en question. Il est exigé uniquement lors du transfert de données personnelles vers un pays tiers ne bénéficiant pas d’une décision d’adéquation de la Commission européenne.
Plus précisément, le TIA a pour objectif d’évaluer si les lois et pratiques du pays tiers rendent ou pas moins efficaces le mécanisme utilisé pour le transfert des données. Si le résultat du TIA révèle que les lois et pratiques du pays tiers réduisent l’efficacité du mécanisme de l’article 46 du RGPD utilisé, des mesures supplémentaires doivent être mises en place pour assurer un niveau de protection des données personnelles transférées équivalent à celui de l’UE. Ce n’est que lorsque ces mesures de sécurité fourniront un niveau de protection pour les personnes concernées globalement équivalent à celui offert par l’UE que le transfert de données pourrait avoir lieu.
Un projet de décision d’adéquation en cours d’évaluation
Après annulation des deux premiers accords, il semble qu’un troisième sera adopté prochainement imposant un nouveau cadre pour les transferts UE-US. Deux mois après la signature du Président américain du décret introduisant dans le droit américain de nouvelles dispositions contraignantes, la Commission européenne a publié le projet de décision d’adéquation pour les transferts de données personnelles entre l’UE et les Etats-Unis.
En plus des engagements des entreprises adhérentes portant notamment sur la suppression des données personnelles dès que la finalité est atteinte et sur la garantie d’une protection continue des données personnelles dans le cas où elles sont transmises à des tiers, deux points semblent pouvoir permettre aux européens de reconquérir leurs droits sur leurs données transférées aux US. D’une part, ceux-ci auront à leur disposition différents mécanismes pour le règlement des litiges, dont notamment un mécanisme de recours indépendant et impartial. D’autre part, l’accès des pouvoirs publics sera limité et ne sera toléré que pour des raisons bien déterminées dont notamment pour assurer la sécurité nationale. Les nouvelles limitations et garanties semblent répondre aux préoccupations de la CJUE évoquées dans sa décision Schrems II. Or, suffisent-elles pour atteindre un niveau de protection substantiellement équivalent à celui de l’UE ?
La vision de la protection des données personnelles aux Etats-Unis est, en effet, totalement différente de celle européenne. Les principes de protection pris du RGPD impliquent la mise en place de plusieurs mesures par les organismes traitant les données personnelles pour interdire des traitements non légitimes des données. Les entreprises sont-elles à même de mettre en place l’ensemble de ces actions pour assurer le respect des nouvelles obligations ? Un autre point concerne l’accès des autorités, serait-il vraiment limité ? Une interprétation large des cas pouvant être tolérés ne risque-t-elle pas de remettre en cause cette restriction ?
Ce projet doit maintenant être examiné par le CEPD et être approuvé par les représentants des États membres de l’UE. Si cette décision d’adéquation est adoptée, le transfert aux US pourra se faire sans garanties supplémentaires. Mais d’ici là, les organismes doivent veiller à bien protéger les transferts de données vers les Etats-Unis et à ne les effectuer que si les garanties en place permettent de maintenir un niveau de protection identique à celui de l’UE.
