Clauses contractuelles types : la clé des futurs flux de données internationaux

Barbara Cosgrove, Vice President, Chief Privacy Officer chez Workday, nous parle de la version finale des nouvelles clauses contractuelles types (CCT) récemment publiée par la Commission européenne, qui offre une certaine clarté pour les entreprises qui transfèrent des données personnelles en dehors de l'Europe.

Image placeholder

Aujourd'hui, la Commission européenne a publié la version finale des nouvelles clauses contractuelles types (CCT) pour le transfert de données personnelles vers des pays tiers. Les nouvelles CCT offrent une clarté bienvenue pour les entreprises qui transfèrent des données personnelles en dehors de l'Union européenne. Elles font suite à la dernière décision de la Cour de justice de l'Union européenne (CJUE) dans le cadre de l'arrêt Schrems II. Pour nos clients en particulier, les nouvelles CCT permettent aux entreprises de prendre en compte l'absence de demandes antérieures de données de la part des autorités publiques en tant que facteur pertinent lors de la détermination de protections supplémentaires nécessaires en cas de transfert de données. Cette approche s'aligne sur l'approche basée sur les risques de conformité au RGPD (Règlement général sur la protection des données) et aux exigences de l'arrêt Schrems II de la Cour de justice de l'Union européenne. 

Vous trouverez ci-dessous une brève explication des nouvelles CCT, de leur signification dans le contexte de l'arrêt Schrems II ainsi que quelques considérations concernant les transferts de données internationaux. 

Pourquoi de nouvelles CCT ont-elles été publiées ?

Dans le communiqué de presse qui accompagnait la publication des nouvelles CCT, Vera Jourová, Vice-President for Values and Transparency, a déclaré :

« En Europe, nous souhaitons rester ouverts et permettre aux données de circuler, à condition qu'elles soient protégées. Les clauses contractuelles types actualisées permettront d'atteindre cet objectif : elles offrent aux entreprises un outil utile pour garantir leur conformité aux lois de protection des données, pour leurs activités au sein de l'Union européenne comme lors de transferts internationaux. Cette solution était nécessaire dans un monde digital interconnecté où un transfert de données se fait en un clic. »

Les CCT ont été mises à jour en 2004 (clauses de responsable de traitement à responsable de traitement) et en 2010 (clauses de responsable de traitement à sous-traitant). Depuis, le RGPD a introduit des exigences spécifiques qui doivent être incluses dans les contrats de traitement des données. Les nouvelles CCT intègrent les conditions exigées par le RGPD au processus de transfert des données. Par ailleurs, les nouvelles CCT reflètent davantage les réalités professionnelles modernes dans lesquelles les entreprises jouent souvent à la fois le rôle de responsable de traitement et de sous-traitant. Les nouvelles CCT présentent une approche modulaire en simplifiant le processus de contrat tout en couvrant également 2 types de transferts supplémentaires : les transferts de sous-traitant à responsable de traitement et de sous-traitant à sous-traitant. 

Quel est le rôle de l'arrêt Schrems II dans les nouvelles CCT ?

À la suite de l'arrêt Schrems II, les entreprises qui transfèrent des données personnelles européennes vers des pays tiers, tels que les Etats-Unis, doivent effectuer des évaluations au cas par cas pour identifier toute mesure supplémentaire nécessaire pour protéger les données personnelles transférées. Ces évaluations doivent prendre en compte les pratiques de surveillance gouvernementales et les droits individuels dans les pays où les données sont transférées. Les nouvelles CCT reflètent cette exigence et incluent également des protections spécifiques, notamment l'obligation de questionner, dans les cas appropriés, les demandes d'accès aux données de la part des gouvernements, et de tenir l'exportateur de données informé. Nous comprenons que nos clients et les organismes de réglementation exigent des preuves de la mise en place de telles procédures. Conformément à nos valeurs fondamentales en termes de service client et d'intégrité, nous publions nos principes d'accès aux données pour les gouvernements ainsi qu'un rapport de transparence officiel pour nos clients. 

En quoi les CCT sont-elles conformes au Code de conduite Cloud de l'Union européenne récemment approuvé ?

En mai, l'Autorité de protection des données belge a annoncé avoir approuvé le Code de conduite de protection des données de l'UE pour les prestataires de services Cloud (« EU Cloud CoC ») qui représente le premier code de conduite transnational de l'Union européenne depuis l'entrée en vigueur du RGPD. L'EU Cloud CoC complète les CCT en tant que mécanisme de conformité dans le cadre du RGPD, mais ne fait pas office de mécanisme de transfert des données. En août 2019, Workday a été la première entreprise à prouver sa conformité à l'EU Cloud CoC. 

Quelle est la prochaine étape ?

Nous consultons minutieusement les nouvelles CCT et nous proposerons ces engagements contractuels à nos clients dans le délai requis, qui est de 18 mois dans le cas de contrats existants. Le Comité européen de protection des données (EDPB) va également publier plus tard dans le mois les recommandations finales sur les mesures supplémentaires pour les transferts de données et nous restons optimistes quant au fait qu'il prendra en compte si une entreprise a reçu des demandes officielles de données personnelles de la part d'autorités gouvernementales. Selon les archives et les déclarations gouvernementales affirmatives, les données RH, Finance et Analytics d'une entreprise représentent peu d'intérêt pour les autorités gouvernementales.

Par ailleurs, nous espérons qu'un successeur au Bouclier de Protection des Données (« Privacy Shield ») sera voté au cours de cette année. En attendant, Workday a renouvelé sa certification au Bouclier de Protection des Données (« Privacy Shield ») et continue de maintenir ses engagements envers la FTC et ses clients en termes de traitement des données personnelles, conformément aux principes du Bouclier de Protection des Données (« Privacy Shield »). 

Nous souhaitons surtout souligner la confiance de Workday dans les gouvernements des Etats-Unis et de l'Union européenne pour continuer à collaborer afin de permettre le transfert de données en dehors de leurs frontières. Et la publication des nouvelles clauses contractuelles types, ainsi que les efforts continus des 2 gouvernements, vont dans ce sens.

En lire plus