Cloud et clauses contractuelles types : l’UE vise-t-elle juste ?

Google RGPD Cnil Conseil d'Etat

La Commission européenne vient de moderniser le mécanisme des clauses contractuelles types, destiné à encadrer les transferts de données personnelles hors de l’UE. En quoi consiste cette actualisation ?

Sans le Privacy Shield, point de salut ? Voilà près d’un an que la CJUE a invalidé ce mécanisme utilisable pour transférer légalement des données personnelles de l’Union européenne vers les États-Unis.

Sur Silicon.fr, nous avions pris l’habitude de qualifier le Privacy Shield de « décision d’adéquation » comme il en existe avec le Canada ou Israël. Habitude que nous prendrons soin de perdre après les explications de Benjamin Znaty, du cabinet d’avocats Taylor Wessing.

« Par une décision d’adéquation, la Commission européenne reconnaît que le pays concerné a un cadre législatif adapté [pour y transférer des données personnelles en sécurité] », explique-t-il.
« Le Privacy Shield, en tant que tel, n’en était pas une. C’était un ensemble de principes auxquels les entreprises américaines pouvaient se soumettre ou non [de sorte qu’on pouvait leur envoyer des données librement]. C’est différent de la décision d’adéquation, qui porte sur tout un pays ».

Parallèlement à l’invalidation du Privacy Shield, la CJUE avait réaffirmé la validité d’un mécanisme alternatif, très répandu dans la pratique : les clauses contractuelles types. Elles consistent à soumettre contractuellement l’entité réceptrice aux grands principes de la protection européenne.

 Clauses contractuelles types : 18 mois pour s’aligner

 La Commission européenne vient de moderniser ces clauses, qui dataient de 2001 et de 2010. Elle y a notamment intégré les principes du RGPD. « [Ce règlement] fait une distinction fondamentale entre le responsable de traitement (l’entreprise ou la personne qui va collecter des données pour ses propres finalités) […] et le sous-traitant (celui qui traite des données personnelles pour le compte du responsable de traitement) », rappelle Benjamin Znaty. « Le problème des précédentes clauses, c’est qu’elles ne régissaient pas les transferts de sous-traitant à sous-traitant ultérieur. […] Les autorités avaient trouvé des mécanismes alternatifs – par exemple des mandats – imparfaits qui posaient beaucoup de difficultés en pratique ».

Ces clauses sont intégrées à quasiment tous les accords entre les éditeurs américains et les éditeurs français*. Ou entre les éditeurs américains et les responsables de traitement français (les clients finaux) quand ils contractualisent directement. « Il faut aussi penser aux groupes d’entreprises », précise Benjamin Znaty. « Par exemple, pour une société française qui a une société mère aux États-Unis, une filiale au Brésil – ou dans tout autre pays hors d’Europe. […] Cela passe par ce qu’on appelle des accords internationaux de transfert de données. Généralement, on intègre les clauses contractuelles types à ces accords afin de permettre aux données de circuler au sein d’un groupe international. »

La Commission européenne a donné aux entreprise un délai de 18 mois à partir de juin de cette année pour mettre en place les nouvelles clauses. Et autorisé une période de 3 mois où l’on peut toujours utiliser les anciennes. Un délai qui n’est pas de trop, assure Benjamin Znaty. « Il faut comprendre que pour pouvoir conclure ces clauses, il y a des annexes à compléter. Il va falloir décrire les différents transferts existants, les mesures de sécurité encadrant ces transferts… […] In fine, les entreprises vont vraiment devoir, à partir d’aujourd’hui, réfléchir et remettre à plat leurs transferts hors Europe. De la même manière qu’il y a quelques années, quand le RGPD est entré en vigueur, [elles] ont pu s’interroger sur leurs traitements.

Les clauses… et plus si nécessaire

Ces clauses restent un engagement contractuel. Or, « on sait que le contrat aura toujours ses limites », précise Benjamin Znaty. « Il peut notamment exister un conflit avec un droit étatique. » Et de prendre l’exemple des États-Unis. « La [CJUE], lorsqu’elle a annulé le Privacy Shield, a dit deux choses. D’un : le droit américain ne permet pas de protéger les données des Européens, du fait notamment de potentiels accès aux données par les autorités américaines. De deux : le Privacy Shield ne permettait pas de pallier ce défaut de protection. […] En disant cela, la Cour a invité les entreprises à réfléchir à d’autres mécanismes. Elle a affirmé que les clauses contractuelles pouvaient, selon les cas, assurer effectivement une protection. Mais que pour les États-Unis, le droit américain peut contredire ce contrat. […] Il faut donc des mesures additionnelles, potentiellement extracontractuelles, pour encadrer les transferts ».

Le Conseil d’État a récemment validé un exemple de mesure additionnelle que les autorités de contrôle européennes avaient recommandé en amont : chiffrer les données… et confier la clé de chiffrement à un tiers qui n’est pas aux États-Unis. C’était dans le cadre d’une affaire portant sur Doctolib, qui hébergeait chez AWS des données de prise de rendez-vous pour la vaccination Covid.

Les nouvelles clauses incluent aussi des acquis de la jurisprudence Schrems (du nom de l’arrêt CJUE). Notamment l’obligation de faire une analyse des risques existants au sein du pays vers lequel on souhaite envoyer les données. Ou des mécanismes qui obligent les importateurs à notifier l’exportateur de potentiels accès aux données par une autorité étrangère.

* Cas typique : une entreprise française recourt aux services d’un éditeur SaaS français qui lui-même intègre dans son applicatif des briques « étrangères ». Benjamin Znaty mentionne l’API Segment, « très utilisée pour gérer les données ».

Photo d’illustration © artjazz – Shutterstock