Contexte

Depuis l’entrée en vigueur de la Directive européenne 95/46, et sa transcription dans la Loi Informatique et Libertés en 2004, les transferts de données en dehors de l’Union européenne (UE) sont devenus l’une des plus grandes difficultés, sinon le casse-tête, voire le cauchemar des Correspondants à la protection des données (CIL) puis des Délégués à la protection des données (DPD/DPO).

Pour mémoire, comme cela est confirmé depuis l’entrée en application en 2018 du RGPD, le transfert de données personnelles est libre entre pays membres de l’UE, réputés appliquer les mêmes règles de protection. Mais les transferts en dehors de l’UE ne sont possibles qu’en application de l’une des méthodes suivantes :
– l’adéquation du pays de destination par la Commission européenne ;
– le recours à un instrument juridique établi entre autorités politiques ;
– l’utilisation des règles d’entreprise contraignantes (BCR) entre entités d’un même groupe ;
– l’application d’un code de conduite, une certification ou des clauses contractuelles approuvées par les autorités de contrôle ;
– le recours à des clauses contractuelles types (CCT) définies par la Commission européenne.

Pour les transferts avec les États-Unis, la Commission européenne a très vite conclu avec les autorités américaines l’accord dit « Safe Harbor », puis le « Privacy Shield », tous deux successivement invalidés par la Cour de Justice de l’Union européenne (CJUE).

Dans sa décision liée au dossier « Schrems II », la CJUE a considéré que la législation américaine (c’est-à-dire la section 702 du FISA et l’Executive Order 12333) ne permettait pas d’assurer une protection suffisante des données.

Pour les transferts de données vers les États-Unis, il reste donc les CCT.

Nouvelles CCT : « LA » solution

Les premières versions des CCT, publiées en 2001 puis en 2004 pouvaient sembler suffisantes pour garantir la conformité des transferts vers des pays non adéquats : il suffisait que le destinataire (l’importateur) et le responsable de traitement (l’exportateur) signent ces clauses pour se sentir en règle et garantir une bonne protection des données.

Mais si le jugement de la CJUE a invalidé le « Privacy Shield », il n’a pas interdit le recours aux CCT. Il a cependant tenu à préciser comment interpréter la notion de « garanties appropriées » exigées par l’article 46 du RGPD en indiquant que lors d’un transfert de données, « les garanties appropriées, les droits opposables et les voies de droit effectives […] doivent assurer que les droits des personnes […] bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne […] » et que « l’évaluation du niveau de protection […] doit, notamment, prendre en considération […] en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers […] les éléments pertinents du système juridique de celui-ci ».

La Commission européenne a donc proposé de réviser ces CCT en conséquence.
Cette évolution était très attendue, en particulier par les Délégués à la protection des données, impatients de disposer d’un outil fiable pour assurer la conformité des transferts. Plus particulièrement vers les États-Unis d’où sont issues les multiples solutions technologiques sur lesquelles s’appuient les entreprises, comme les suites collaboratives ou l’hébergement externalisé de données.

Le projet de nouvelles CCT a fait l’objet de réserves de la part du CEPD/EDPB (le comité des CNIL européennes) et du CEPD/EDPS (le DPO des instances européennes), et dans une résolution adoptée le 20 mai 2021 à une très large majorité, le Parlement européen attirait l’attention de la Commission européenne sur ces réserves et formulait des recommandations importantes.

Se faisant l’écho des PME et de nombreuses structures de taille modeste, le Parlement rappelait en particulier qu’en ayant recours aux CCT ces organismes « ont un besoin urgent de lignes directrices claires et d’une aide, de sorte à garantir la sécurité juridique lors de l’application et de l’interprétation de l’arrêt de la Cour », et demandait à la Commission de « veiller à ce que sa proposition relative aux clauses contractuelles types soit pleinement conforme à la jurisprudence applicable de la Cour ».
Le Parlement émettait même des réserves de fond, estimant qu’en raison « de la loi américaine sur la surveillance et le renseignement étranger (loi FISA), un transfert de données à caractère personnel en provenance de l’Union n’est pas possible dans le cadre de ces clauses contractuelles types, en raison du risque élevé de surveillance de masse », et rappelait « qu’aucun contrat entre entreprises n’est à même d’offrir une protection contre l’accès indiscriminé, par les services de renseignement, au contenu des communications électroniques, pas plus qu’un contrat entre entreprises n’offre suffisamment de voies de recours judiciaires contre la surveillance de masse ».
Et à l’unisson des Délégués à la protection des données, le Parlement soulignait que « les PME européennes, ainsi que les organisations et associations à but non lucratif, disposent d’un pouvoir de négociation et de capacités juridiques et financières limités, alors qu’on attend d’elles qu’elles évaluent en autonomie l’adéquation de la protection des données dans des pays tiers, ce qui implique d’appréhender les cadres juridiques complexes de divers pays tiers ».
Et pourtant, depuis la publication des nouvelles CCT de la Commission européenne, les médias se font l’écho d’une satisfaction générale. Ainsi a-t-on pu lire : « À vous l’Amérique », ou « les nouvelles CCT permettent de simplifier les exigences contractuelles avec les sous-traitants », voire « une sécurité juridique avec cette nouvelle version, sous certaines conditions ».

Dans la vraie vie, « Débrouillez-vous ! » : les DPD/DPO frustrés et inquiets

En pratique, si l’on peut en juger par les échanges sur le forum privé de l’AFCDP, les DPD/DPO et autres professionnels de la protection des données sont loin d’être rassurés par ces CCT, et leurs réactions sont le reflet d’une intense frustration et d’inquiétudes non dissimulées.

En réalité, il semble bien que ces modèles de clauses contractuelles ne règlent rien. Si elles permettent de fixer des règles communes pour les situations les plus classiques, elles passent entièrement sous silence le fond du problème : alors que c’est bien la surveillance étatique des États-Unis qui a conduit à l’invalidation du « Privacy Shield », ce point n’est pas traité dans les CCT. Ou plutôt, il est évoqué et laissé à l’appréciation de chaque entreprise. Une démarche perçue par les DPD/DPO comme très hypocrite de la part de la Commission.

Comme la CNIL le résume dans sa FAQ sur les nouvelles CCT, celles-ci prennent en compte la législation du pays tiers de destination des transferts de données : « Les nouvelles clauses contractuelles types intègrent aussi la jurisprudence de la CJUE dans l’affaire dite “ Schrems II ” et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets. »

On ne peut pas être plus clair : c’est bien à l’exportateur, par exemple la PME ou l’association qui utilise les services d’un prestataire américain, de vérifier si la législation américaine n’est pas contraire aux obligations du RGPD et ne fait pas courir de risques aux données transférées.

En signant ces CCT, l’exportateur accepte en particulier la clause 14a :
« Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. […] ».

Mais aussi la clause 14b :
« Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants : […] des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables ».

C’est donc bien au responsable de traitement européen de s’assurer par ses propres moyens, que la législation américaine ne risque pas de le faire entrer dans une démarche non conforme.

Mais tout n’est pas perdu, car en cas d’accès aux données par ces autorités, il sera prévenu, grâce à la clause de notification (15.1). Hélas, c’est sans compter le paragraphe b :
« Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande. »

Autrement dit, si le prestataire américain a l’interdiction d’informer le client européen qu’il a fait l’objet d’un accès à des données, il s’engage à batailler avec la justice étatsunienne pour obtenir une dérogation. De qui se moque-t-on ?

En conclusion, les membres de l’AFCDP, DPD/DPO et professionnels de la protection des données, restent comme leurs homologues européens, frustrés par les clauses contractuelles de la Commission européenne, et inquiets des conséquences qui restent leur incomber pour assurer la protection des données transmises à des partenaires étrangers, en particulier américains. Sans se faire trop d’illusions, ils attendent les réactions du Parlement européen qui devraient être très critiques, mais sans effet opérationnel sur la situation à court terme.