Les nouvelles clauses contractuelles types de la Commission européenne sont arrivées !

Comment encadrer les transferts de données en dehors de l'Union Européenne ?

Les transferts de données de l’UE vers des pays tiers doivent obéir aux dispositions du Chapitre V du RGPD – « Transferts de données à caractère personnel vers des pays tiers […]».

L’article 44 du RGPD introduit ce chapitre en édictant le principe général selon lequel aucun transfert de données personnelles vers un pays tiers ne peut avoir lieu sans la mise en œuvre de l’un des instruments d’encadrement définis aux articles suivants. Ces instruments garantissent les personnes concernées d’un transfert encadré et adéquat en matière de protection de données personnelles.

Voici un petit tour d’horizon des solutions d’encadrement de vos transferts de données vers des pays tiers, au sens du RGPD :

    1 –   LES DÉROGATIONS

L’article 49 du RGPD prévoit un mécanisme de “dérogations” sous condition. Tout d’abord, le transfert peut avoir lieu si :

• la personne concernée a donné son consentement explicite à ce transfert après avoir été informée des risques qu’il pourrait revêtir ;
• le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures pré-contractuelles prises à la demande de la personne concernée ;
• le transfert est nécessaire à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
• le transfert est nécessaire pour des motifs importants d’intérêt public;
• le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;
• le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement.

Cependant, ce transfert “dérogatoire” doit répondre à 4 conditions cumulatives et strictes :

1. Avoir un caractère occasionnel et non-répétitif ;
2. Ne toucher qu’un nombre limité de personnes concernées ;
3. Être nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée ;
4. Avoir fait l’objet d’une évaluation des risques pesant sur ce transfert et d’offrir, sur la base de cette évaluation, des garanties appropriées en matière de protection des données.

Conseil : Comme toute dérogation, celles-ci sont à utiliser avec modération et précaution. La CNIL précise par ailleurs que « les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties ».  Ces dérogations font donc l’objet d’une interprétation stricte de la part de l’autorité de protection des données.

    2 –   LES DÉCISIONS D’ADÉQUATION DE LA COMMISSION

L’article 45 du RGPD admet également que des transferts de données personnelles vers des pays tiers puissent avoir lieu lorsque la Commission européenne constate par voie de décision que le pays tiers en question offre un niveau de protection adéquat. Aucune autre démarche n’est alors nécessaire, comme si le pays en question était au sein de l’Union européenne.

La liste des pays faisant aujourd’hui l’objet d’une décision d’adéquation de la Commission européenne est accessible ici. On y retrouve notamment la Suisse, l’Argentine, le Canada, le Japon, la Nouvelle-Zélande ou Israël.

En revanche, si votre transfert ne bénéficie ni d’un régime dérogatoire, ni de la couverture d’une décision d’adéquation de la Commission européenne, alors vous devrez mettre en place des mécanismes permettant d’apportées des garanties appropriées à la protection des données transférées. Les principaux mécanismes sont :

   3 –   LES CLAUSES CONTRACTUELLES TYPES

Des modèles de clauses contractuelles relatives à la protection des données ont été adoptés par la Commission européenne et pourront servir – une fois signées par les parties – de fondement aux transferts de données. Ces clauses peuvent également être adoptées par l’autorité de contrôle nationale, ce que la CNIL, en France, a décidé de ne pas faire, préférant renvoyer aux clauses types de la Commission européenne.

Attention, toutes entreprises souhaitant se prévaloir de ces clauses se doit de les signer telles quelles, sans modification. Il est tout de même possible pour ces entreprises d’inclure ces clauses dans un contrat plus large, comprenant d’autres clauses.

Conseil : Ces clauses types viennent tout juste d’être mise à jour par la Commission européenne (juin 2021) et seront donc un très bon moyen de sécuriser contractuellement vos transferts. Toutefois, la seule signature d’une CCT ne suffit pas : il vous faudra également analyser les garanties présentées par l’entité destinataire des données.

   4 –   LES CLAUSES CONTRACTUELLES AD HOC

Sur la base des clauses types précédemment évoquées, nous trouvons les clauses dites « ad hoc ». Toute clause contractuelle type ayant fait l’objet de modifications sera considérée comme une clause contractuelle ad hoc. De telles clauses sont tout à fait permises par le RGPD mais elles devront être préalablement approuvées par l’autorité de contrôle nationale – à savoir, la CNIL, pour les entreprises françaises.

Conseil : Ce processus d’approbation par une autorité de contrôle alourdi considérablement la mise en place effectives des transferts de data. Cependant, lorsque cela est nécessaire, les clauses ad hoc restent un très bon outil permettant une adaptation du contenu contractuel aux spécificités métiers ou secteurs.

    5 –   LES RÈGLES D’ENTREPRISE CONTRAIGNANTES

Cet instrument concerne les transferts de données au sein d’un même groupe d’entreprises. Ces transferts pourront être fondés sur ce qu’on appelle des « règles d’entreprise contraignantes » ou Binding Corporate Rules (BCR). Il s’agit de politiques de protection des données personnelles auxquelles adhèrent des groupes d’entreprises dans le but de sécuriser leurs transferts à l’intérieur du groupe, y compris hors UE.

Conseil : Si vous comptez mettre en place ces « règles », il vous faudra alors suivre les instructions de la CNIL et obtenir son approbation. La CNIL met à disposition les formulaires d’instruction et référentiels d’approbation propres à chaque rôle : Groupes agissant en qualité de Responsables de traitement et Groupes sous-traitants.

    6 –   LES CODES DE CONDUITE ET CERTIFICATIONS

C’est une nouveauté du RGPD. Les transferts de données peuvent également se baser sur des codes de conduites ou sur des mécanismes de certification approuvés. L’approbation de ces instruments est nécessaire à leur validité et se fait par une autorité de contrôle nationale ou par un organisme de certification agréé par cette autorité.

Ces deux instruments seront réputés offrir les garanties suffisantes uniquement s’ils contiennent des engagements contraignants et exécutoires pris par les entreprises destinataires hors UE.

Conseil : Privilégiez le code de conduite qui présente l’avantage non négligeable de prendre en considération les spécificités techniques propres à chaque secteur d’activité.

 Avoconseil, au travers de son offre Avodata, reste à votre écoute et se tient prêt à vous accompagner dans vos démarches entourant vos transferts de données hors UE.