Les nouvelles Clauses Contractuelles Types du point de vue des PME

Les Clauses Contractuelles Types (CCT) de la Commission Européenne constituent en pratique pour les PME la principale méthode pour offrir aux transferts de données personnelles vers les pays tiers qui ne font pas l’objet d’une décision d’adéquation, le même niveau de protection que dans l’UE/EEE. (Voir l’article 46 du RGPD pour le détail)

En effet, dès lors que l’on envisage ces transferts de données personnelles d’une PME de l’UE/EEE vers un un pays tiers, l’application d’un code de conduite ou d’un mécanisme de certification, et a fortiori les règles d’entreprises contraignantes au sein d’un même groupe s’appliquent rarement…

Quant aux “instruments juridiquement contraignants”, le principal en usage est la Convention 108 du Conseil de l’Europe, qui dans sa version RGPD dite Convention 108+ n’est entrée en vigueur dans aucun pays signataire à date de la rédaction de cet article.

Et quand bien même, j’ai pu constater en pratique qu’il était d’usage de considérer cette Convention 108(+) comme une garantie importante mais pas suffisante, comme par exemple pour Monaco selon son autorité de contrôle CCIN - car vous ne le savez peut-être pas, mais Monaco n’est pas un pays considéré comme adéquat par la Commission Européenne, au contraire d’Andorre ou de l’Ile de Man par exemple…

La mise à jour des CCT par la Commission Européenne n’est donc pas anodine, d’autant que 18 mois au plus après leur entrée en vigueur elles remplaceront obligatoirement les anciennes CCT déjà en place.

Sur la forme: comment faire complexe quand on peut faire simple ?

Les anciennes CCT étaient assez simple à mettre en œuvre : pour faire court, il suffisait de remplir les informations désignant les parties, l’exportateur de données de l’UE et l’importateur de données du pays tiers, de ne pas toucher à un mot du texte et d’annexer une description du transfert de données: personnes concernées, finalités du transfert, données  sensibles, destinataires etc.

Il faut reconnaître que les nouvelles CCT lèvent plusieurs manques/ambiguïtés:

  • Les rôles des exportateurs et importateurs de données sont désormais clairement qualifiés comme responsable du traitement ou sous-traitant selon les cas ;
  • Une nouvelle annexe est dédiée spécifiquement aux mesures techniques et organisationnelles mises en œuvre pour garantir la sécurité des données (sauf pour les transferts de sous-traitant à responsable des traitements) ;
  • Une nouvelle annexe liste et décrit les sous-traitants ultérieurs, dans les cas de transfert de responsable du traitement à sous-traitant ou de sous-traitant à sous-traitant.

Par contre tout cela figure dans un même document, qui inclut des choix possibles selon 4 types de modules qui correspondent aux 4 combinaisons possibles entre responsable du traitement et sous-traitant :

  • MODULE 1 : transfert de responsable du traitement à responsable du traitement ;
  • MODULE 2 : transfert de responsable du traitement à sous-traitant ;
  • MODULE 3 : transfert de sous-traitant à sous-traitant ;
  • MODULE 4 : transfert de sous-traitant à responsable du traitement.

Et comme si cela ne suffisait pas, certaines parties rajoutent plusieurs choix ou options possibles, ce qui rend ce document encore plus complexe à étudier…

Heureusement il est possible de supprimer les modules qui ne concernent pas les parties signataires : pour travailler avec ces CCT, il faudra en pratique les “éclater” en 4 version distinctes, et on peut par conséquent légitimement se demander si ça n’aurait pas été plus simple de les proposer directement sous cette forme sans ces fameux modules ?

Sur le fond: vous devez parfaitement connaître votre importateur de données et son contexte local

Dans l’Annexe II, une liste de mesures de sécurisation des transferts de données personnelles proposée à titre d’exemple occupe une page entière, uniquement pour les intitulés et non les mesures en elles-mêmes… Quant aux sous-traitants ultérieurs, quelle PME aura les moyens pour faire un audit sur place afin de s’assurer que tout est conforme ?

Déjà complexe mettre en place pour une PME, cette parfaite connaissance technique et organisationnelle des transferts de données personnelles devient carrément ingérable dès lors qu’il faut avoir en plus une parfaite connaissance du contexte juridique et des pratiques locales : la clause 14 “Législation et pratiques locales ayant une incidence sur le respect des clauses” lui est spécifiquement dédiée, et le court extrait suivant est sans ambiguïtés sur ce point :

Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte (…) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables ;

L'usine à gaz des nouvelles Clauses Contractuelles Types

Est-ce applicable en pratique aux PME qui ont des moyens d’investigation limités? On peut en douter, comme le fait justement remarquer le Parlement Européen dans sa proposition de résolution du 12/05/2021 :

(…) les PME européennes, ainsi que les organisations et associations à but non lucratif, disposent d’un pouvoir de négociation et de capacités juridiques et financières limités, alors qu’on attend d’elles qu’elles évaluent en autonomie l’adéquation de la protection des données dans des pays tiers, ce qui implique d’appréhender les cadres juridiques complexes de divers pays tiers; invite instamment la Commission et le comité européen de la protection des données à fournir des orientations en ce qui concerne l’utilisation pratique de mesures supplémentaires fiables, en particulier pour les PME;

L’enfer étant rempli de bonnes intentions, la louable amélioration de la sécurisation des transferts de données personnelles vers les pays tiers risque de se traduire en pratique par la mise hors la loi des PME européennes qui exportent des données personnelles vers des pays tiers…

La Commission Européenne aurait dû dresser une liste des pays “interdits de transfert de données personnelles même avec des CCT”, pour que les PME n’aient plus qu’à se soucier des aspects techniques et organisationnels des transferts vers des pays simplement “non adéquats”.

Sauf que cela impliquerait en particulier de mettre les Etats-Unis avec leur CLOUD Act (23/03/2018) sur cette liste de pays interdits de transfert de données personnelles même avec des CCT, ce qui semble politiquement difficile à envisager malgré (ou à cause de) la toute puissance des GAFAM…

Si vous voulez en savoir plus, contactez-nous!

Written on September 20, 2021