La licéité d'un transfert hors UE de données à caractère personnel s'apprécie au regard des garanties appropriées que fournit l'exportateur des données (1). Lorsqu'il n'existe pas de décision d'adéquation de la Commission européenne (2) - c'est-à-dire lorsque le pays d'importation des données est considéré comme offrant un niveau de protection adéquat aux données transférées -, l'exportateur des données a généralement recours aux clauses contractuelles types établies par la Commission européenne, à savoir un ensemble de clauses standardisées et préapprouvées encadrant le transfert. Faciles à mettre en oeuvre, ces clauses peuvent être insérées par voie d'annexe au contrat conclu entre l'exportateur et l'importateur des données hors UE.
Les clauses contractuelles types, adoptées successivement en 2001, 2004 puis 2010 ont été mises à jour par la Commission européenne le 4 juin 2021 (3). Pour l'essentiel, les modifications apportées visent à affiner les types de transferts de données et à intégrer les conséquences de l'arrêt Schrems II de la Cour de Justice de l'Union Européenne (CJUE - CIO, 14 février 2022). Aux cas préexistants de transferts de données entre un responsable de traitement UE et un responsable de traitement hors UE (module 1) et de transferts entre un responsable de traitement UE et un sous-traitant hors UE (module 2), s'ajoutent désormais les cas de transferts entre un sous-traitant UE et un sous-traitant ultérieur hors UE (module 3) et de transfert entre un sous-traitant UE et un responsable de traitement hors UE (module 4). Par ailleurs, outre quelques précisions et des ajustements pour mise en cohérence avec le RGPD, on note quelques nouveautés comme une clause d'amarrage permettant d'intégrer de nouvelles entités au contrat avec l'accord des autres parties ou encore l'obligation pour l'importateur d'informer l'exportateur des données en cas de demande d'accès des autorités publiques.
Remplacer les clauses existantes : un processus long et contraignant
Il était prévu que le nouveau dispositif, entré en vigueur à compter du 27 septembre 2021, pourrait coexister avec le maintien des anciennes clauses jusqu'au 27 décembre 2022 afin de permettre aux responsables de traitement de procéder au remplacement de leurs clauses.
Il est vrai que le processus de mise à jour peut être long et contraignant, tout particulièrement pour les grandes entreprises.
L'exportateur doit tout d'abord recenser l'ensemble des transferts internationaux concernés et les contrats afférents. Cela peut concerner par exemple un contrat d'hébergement de données, l'exportateur responsable de traitement étant en France et l'importateur-hébergeur au Brésil, ou encore un contrat d'externalisation de la paie des salariés entre un exportateur-responsable de traitement situé en Espagne et un importateur-gestionnaire de paie situé au Maroc.
Evaluer l'impact des lois étrangères, comme le Cloud Act
Ensuite, pour les transferts visés par les anciennes clauses contractuelles types comme pour les nouveaux transferts à réaliser, il convient de mener des « Data Transfer Impact Assessment » pour évaluer l'impact des lois étrangères sur l'effectivité des clauses contractuelles types. À titre d'illustration, tel est le cas pour les lois américaines, comme le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA), qui permettent aux services de renseignements américains d'accéder aux données (voir Google Analytics dans le viseur des autorités de contrôle européennes, CIO 21 mars 2022). Pour la méthodologie à mettre en oeuvre, on pourra utilement consulter le site de la CNIL.
Enfin, si au terme de l'analyse d'impact, le respect des clauses contractuelles types est effectif ou qu'elles sont complétées par d'autres garanties techniques (ex. : chiffrement), contractuelles (ex. : ajout de clauses validées par le CEPD) ou organisationnelles (ex. : sensibilisation des équipes) complémentaires suffisantes, l'exportateur doit les signer avec l'importateur.
Conserver les anciennes clauses : le risque d'une lourde amende
On notera que l'exportateur a toujours la possibilité de compléter ces clauses par des obligations et des garanties complémentaires, notamment en précisant le délai dans lequel l'importateur doit informer l'exportateur de la réception d'une demande d'exercice des droits. Le rédacteur doit veiller à ne pas contredire les clauses types, par exemple en insérant une clause permettant à un importateur sous-traitant de se soustraire à l'obligation de contester les demandes d'accès illicites des autorités étrangères. Lorsque les clauses s'écartent des clauses types, elles sont considérées comme des clauses ad hoc qui doivent être soumises à la CNIL (4).
Ainsi, depuis fin décembre 2022, les transferts couverts par les seules anciennes clauses contractuelles types doivent être considérés comme des transferts ne faisant l'objet d'aucune garantie appropriée au sens de l'article 46 du RGPD. On rappellera qu'un tel manquement peut être sanctionné par une lourde amende administrative : jusqu'à 20 000 000 d'euros ou jusqu'à 4% du chiffre d'affaires (5) ! Il est donc urgent de se mettre en conformité si cela n'a pas encore été fait.
(1) RGPD, art. 46
(2) RGPD, art. 45
(3) Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil.
[4] RGPD, art. 46, point 3, a)
[5] RGPD, art. 83, point 5