Nouvelles Clauses Contractuelles Types : les conséquences pour les entreprises européennes

Clarification des CCT

La CJUE avait demandé, dans l’arrêt, une clarification des CCT.

Après révision des CCT, le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données ont rendu des avis conjoints le 14 janvier 2021 sur ces projets.

Le 4 juin dernier, les deux nouveaux modèles de CCT ont été publiés :

• pour les contrats conclus entre les responsables de traitement et les sous-traitants
• pour le transfert de données à caractère personnel vers des pays tiers.

Les décisions ont été publiées au Journal Officiel de l’UE le 7 juin 2021, et remplacent les CCT existant depuis 2010.

L’objectif de ces clauses est de simplifier l’encadrement des transferts. Selon la Commission : « Ces nouveaux outils offriront une plus grande prévisibilité juridique aux entreprises européennes et aideront en particulier les PME à garantir le respect des exigences en matière de transferts sécurisés de données, tout en permettant aux données de circuler librement par-delà les frontières, sans barrières juridiques ».

Une sécurité juridique retrouvée, mais sous certaines conditions

En effet, les entreprises bénéficient d’une sécurité juridique avec cette nouvelle version, sous certaines conditions.

Les nouvelles séries de CCT exigent de préciser, dans une annexe, les mesures recommandées par le Comité européen de protection des données en janvier 2021. Il s’agit de mesures techniques, organisationnelles et juridiques qui contribuent à sécuriser les données.

En pratique, ces nouveaux textes permettent juridiquement la transmission de données vers des pays tiers en contrepartie d’une exigence forte, pour les entreprises, de mise en œuvre de mesures de sécurité des données.

Les exigences de sécurité des données ne sont pas nouvelles, car elles représentaient déjà un impératif, dans le RGPD, et même historiquement depuis la loi Informatique et Libertés de 1978. La nouveauté des textes européens est l’exigence que les mesures soient documentées dans une annexe des CCT.

La nouveauté des textes européens est l’exigence que les mesures soient documentées dans une annexe des CCT.

Les mesures techniques, organisationnelles et juridiques restent au choix des entreprises exportatrices, en fonction des caractéristiques du traitement et de l’analyse de risque effectués. Sur ce plan, la Recommandation du Comité européen de Protection des Données du 10 novembre 2020 reste éclairante pour s’assurer de la conformité des transferts (« EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data »).

Des exemples de mesures techniques et organisationnelles sont cités dans cette Recommandation, comme des mesures de chiffrement, de pseudonymisation, de protection des données pendant le stockage ou la transmission, journalisation, configuration du système, gouvernance de l’informatique interne, mesures de certification, de qualité des données ou de conservation.

Quant aux mesures juridiques, les exemples figurant dans la Recommandation sont : la transparence des mesures légales applicables, l’obligation de recours à des mesures techniques spécifiques pour l’importateur, l’assurance de l’application du droit d’accès des personnes, etc.

Conclusion

Quelles sont les conséquences pratiques pour les entreprises ?

La nouvelle série de CCT permet d’assurer les entreprises de la conformité au RGPD. Mais cette assurance n’est valide qu’à la condition de la mise en œuvre de mesures de sécurité du traitement.

Les mesures de sécurité techniques, organisationnelles et juridiques doivent figurer dans l’annexe des nouvelles CCT.

La conformité au RGPD, sans exiger un renforcement des mesures de cybersécurité, exige un renforcement du formalisme et une documentation des moyens spécifiques appliqués à chaque traitement.

Les entreprises ont 18 mois pour se mettre en conformité avec ces textes.

Me Sabine Marcellin est avocate associée au cabinet DLGA.