Le torchon brûle entre la Commission européenne et l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) qui regroupe l’ensemble des DPO sur la question des CCT. Ces clauses contractuelles types sont utilisées dans le cadre des transferts de données hors de l’UE et notamment aux Etats-Unis. Le recours à ces clauses a été rendu nécessaire par les invalidations successives du Safe Harbor et du Privacy Shield censés encadrer les échanges de données transatlantiques.
Dans l’arrêt Schrems II, la Cour de justice de l’Union européenne considérait le recours aux CCT comme valable mais avec des « garanties appropriées » comme « un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne » et « un éventuel accès des autorités publiques de ce pays tiers ». La Commission européenne était donc chargée de réviser et d’adapter les CCT à ce contexte.
Les DPO inquiets et frustrés
Las, le travail de l’exécutif bruxellois ne convainc pas l’AFCDP. Dans les discussions entre membres, « leurs réactions sont le reflet d’une intense frustration et d’inquiétudes non dissimulées », explique l’association dans un communiqué. Et la sentence est sans appel, « ces modèles de clauses contractuelles ne règlent rien ». Selon eux, le point le plus important n’est pas traité : la surveillance étatique des États-Unis.
Pour l’AFCDP, ce point est à laisser à l’appréciation de chaque entreprise et donc des responsables des traitements. « C’est bien à l’exportateur, par exemple la PME ou l’association qui utilise les services d’un prestataire américain, de vérifier si la législation américaine n’est pas contraire aux obligations du RGPD et ne fait pas courir de risques aux données transférées. », glisse l’association. Une responsabilité qui leur incombe au titre des clauses 14 a et b des CCT. Les DPO en appellent au Parlement européen pour changer ce cap.