Avec l’avènement des nouvelles technologies provenant de l’extérieur de l’Espace économique européen (« EEE »), la collecte des données personnelles des européens (nom, images, adresse mail, adresse IP, habitudes d’achat, etc.) se révèle plus simple. Consciente que les données personnelles sont une richesse convoitée dont la mauvaise utilisation pourrait être préjudiciable aux individus et à leurs intérêts économiques, l’Union Européenne a renforcé son arsenal juridique en 2018 avec le Règlement Général sur la Protection des Données (RGPD).
C’est dans la continuité du RGPD et dans le cadre de sa mise en œuvre que la Commission Européenne a publié en 2001[1] et 2010[2] des Clauses Contractuelles Types (CCT) destinées à encadrer le transfert de données personnelles vers des pays tiers à l’Espace économique européen. En 2020 pourtant, l’utilisation de ces clauses a été remise en cause à la suite de la décision de la Cour de justice de l’Union européenne dans l’affaire Schrems II.[3] Dans cette affaire, la Cour de justice a invalidé le Privacy Shield, l’un des mécanismes les plus utilisés permettant aux sociétés commerciales de transférer des données personnelles entre l’UE et les États-Unis.[4] Les doutes se sont alors multipliés sur la question des mécanismes devant être mis en place pour assurer un transfert adéquat des données personnelles vers des pays tiers.
Un an plus tard, le 4 juin 2021, la Commission européenne a apporté un élément de réponse en adoptant une décision d’exécution instituant de nouvelles clauses contractuelles types pour remplacer l’ancien régime de transfert.[5] Cette décision s’inscrit ainsi parfaitement dans la volonté de l’Union Européenne de fournir une réponse suite à l’incertitude laissée par l’arrêt Schrems tout en renouvelant ses garde-fous pour faire face à la complexité des transferts internationaux et des acteurs pouvant être impliqués.
Désormais, en cas de transfert de données en dehors de l’Espace économique européen, la mise en œuvre de garanties destinées à préserver le niveau de protection des personnes assuré par le RGPD est nécessaire. Ainsi, les transferts de données ne peuvent avoir lieu que vers des pays bénéficiant d’une décision d’adéquation (tels que l’Argentine, le Japon, Israël etc.) ou disposant de protections adéquates, lesquelles peuvent se matérialiser par des “clauses contractuelles types”.[6]
Ces nouvelles CCT cherchent notamment à assurer la protection des données contre les tentatives d’accès par des autorités publiques.[7] Pour ce faire, les exportateurs de données sont tenus de procéder à une évaluation préalable des règles applicables dans le pays de l’importateur pour garantir que ce dernier soit en mesure de respecter les clauses contractuelles types.[8] Lorsque cela est opportun, les exportateurs sont également amenés à déployer des mesures techniques et organisationnelles supplémentaires (tels que le cryptage des données, la pseudonymisation, etc.) afin de garantir un niveau de protection des données suffisant et adéquat vis-à-vis des exigences du droit de l’Union européenne.[9]
Aujourd’hui, ce sont près de 90% des entreprises (PME comme entreprises de plus de 250 employés) qui utilisent les CCT pour encadrer les transferts internationaux[10] car il s’agit d’un mécanisme simple ne nécessitant pas un encadrement supplémentaire auprès des autorités de contrôle européennes.[11] Avec l’avènement des nouvelles CCT, ces entreprises sont cependant confrontées à un nouveau défi coûteux en temps et en argent. Depuis le 27 septembre 2021, les utilisateurs des CCT ont l’obligation de recourir aux nouvelles CCT, et ils ont jusqu’au 27 décembre 2022 pour remplacer l’ensemble de leurs CCT existantes. Les exportateurs devront alors se livrer à un travail minutieux et ardu pour (i) choisir le bon module ; (ii) effectuer un « data transfer risk assessment » portant sur la législation du pays de l’importateur ; et (iii) mettre en place des mesures supplémentaires en cas de besoin.
Pour solutionner ces difficultés, SimplyClause propose une plateforme accessible en mode SaaS permettant aux différents acteurs et partenaires (directions d’entreprise, juristes, responsables informatiques ou DPO), de respecter leurs obligations en matière de protection des données telles que l’évaluation des risques du transfert vers un pays tiers,[12] la mise en place des nouvelles CCT,[13] ou encore l’élaboration de fiches pour le registre des activités de traitement.[14]
Parmi les services proposés figurent notamment :
(i) l’aide à la rédaction des CCT permettant aux utilisateurs d’identifier les parties contractantes et de sélectionner le module pertinent ;
(ii) la création de modèles de CCT prêts à l’emploi qui sont propres à l’entreprise ;
(iii) l’évaluation des risques liés aux pays tiers contenant une analyse des lois applicables à l’importateur des données, notamment sur l’existence d’éléments, dans la législation ou dans les pratiques du pays de l’importateur, pouvant compromettre l’application des CCT ;
(iv) des propositions de mesures organisationnelles supplémentaires à mettre en oeuvre par l’importateur pour assurer, en combinaison avec les garanties apportées par les CCT, le respect d’un niveau suffisant de protection exigé par le droit de l’Union européenne ;
(v) l’aide à la collaboration entre les services juridiques, les DPO et les responsables de la sécurité des systèmes d’information ;
(vi) et la mise à disposition d’une base de connaissances juridiques issue d’une veille continue de la législation des pays tiers vers lesquels les données personnelles sont transférées et qui pourrait affecter l’évaluation initiale du niveau de protection ainsi que les décisions prises par les parties.
SimplyClause apparait donc comme un outil innovant qui centralise les ressources et les outils nécessaires pour assurer la sécurité des transferts de données personnelles. Dans un premier temps, seuls les transferts vers les États-Unis sont concernés par l’offre SimplyClause (les États-Unis étant la première destination en termes de transferts internationaux).[15] Dans ses perspectives de développement, SimplyClause a par la suite vocation à étendre son champ d’action pour simplifier les transferts de données vers d’autres régions telles que l’Asie ou encore le Moyen Orient.
[1] 2004/915/CE: Décision de la Commission du 27 décembre 2004 modifiant la décision 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers
[2] 2010/87/: Décision de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil.
[3] CJUE 16 juill. 2020, aff. C-311/18, D. 2020. 2432.
[4] Id.
[5] Comm.UE, déc. (UE) 2021/914, 4 juin 2021, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil.
[6] RGPD, art. 46, § 2, c.
[7] Nouvelles CCT, clause 14.
[8] Id.
[9] Id.
[10] IAPP-FTIConsultingAnnual Privacy Report 2020 : https://iapp.org/media/pdf/resource_center/IAPP_FTIConsulting_2020PrivacyGovernanceReport.pdf.
[11] Les mécanismes de transfert en dehors de l’EEE prévus par les articles 46 et 47 du RGPD [ex. BCRs], supposent l’intervention d’une autorité de contrôle ou d’un tiers.
[12] Nouvelles CCT, clause 14.
[13] Comm. UE, déc. (UE) 2021/914, 4 juin 2021, art. 4.
[14] RGPD, art. 30.
[15] Schrems II : Impact Survey Report, Business Europe, DIGITALEUROPE, the European Round Table for Industry, and European AutomobileManufacturers Association : www.digitaleurope.org/wp/wpcontent/uploads/2020/11/DIGITALEUROPE_Schrems-II-Impact-Survey_November-2020.pdf.