[Chronique] Transferts de données hors de l’UE : Mikado juridique à partir du 27 septembre

Notre chroniqueur Eric Barbry revient sur la prochaine échéance juridique qui doit préoccuper les entreprises en transformation numérique : l’évolution des modalités encadrant les flux de données à caractère personnel qui quittent l’Europe.

Transferts-de-données-hors-de-l’UE- 27 septembre 2021 : la date ne vous dit rien ? Dommage, c’est la deadline pour les nouvelles règles sur les flux de transfert de données hors de l’UE ou… quand la Commission européenne décide de faire compliqué alors qu’elle pouvait faire simple !

Rappel du contexte

Comme vous le savez (enfin j’espère) il est interdit – je dis bien interdit – de procéder à des transferts de données à caractère personnel en dehors de l’EU sans entrer dans un cadre particulier ou une exception.

Et il faut le dire, les exceptions ne sont pas légions : consentement de la personne, exécution d’un contrat pour la personne, motif d’intérêt public, défense de droit en justice et sauvegarde de la vie humaine.

A défaut, dura lex sed lex, le transfert ne peut être réalisé que dans 3 cas :

  • Cas 1 – Le transfert est opéré vers des entreprises établies dans des pays à niveau de protection adéquat : Suisse – Liechtenstein – Norvège – Islande – Andorre – Argentine – Guernesey – île de Man – les îles Féroé – Jersey – Israël – Nouvelle-Zélande – Uruguay – Japon – Canada (pour les traitements soumis à la loi canadienne « Personal Information Protection and Electronic Documentation Act ») ;
  • Cas 2 – Vous avez mis en œuvre des BCR (Biding corporate rules) ! Good luck… Armez-vous de patience.
  • Cas 3 – vous adoptez des CCT… Clauses contractuelles types telles que validées par la Commission européenne.

Détaillons ce dernier point. Les CCT sont un document de nature contractuelle qui viendra s’associer ou s’adosser à votre contrat de base (contrat de service la plupart du temps).

L’art et la manière…

Ainsi si vous utilisez les services d’un prestataire qui héberge vos données en dehors de l’EU ou si vous faites appel à de la tierce maintenance depuis un pays hors EU ou encore lorsque vous adressez des données RH d‘une filiale EU vers une maison mère hors EU ou encore (j’ai bientôt fini la liste) quand vous utilisez les services d’un centre d’appel hors EU…  Vous devez en plus de votre contrat faire signer par votre prestataire ces fameuses CCT.

A lire aussi : Data clients : AG2R La Mondiale rattrapée par le RGPD

La commission européenne a adopté en juin 2021 de nouvelles CCT suite à l’entrée en vigueur du RGPD, sachant que la dernière version datait auparavant de 2010. Alors me direz-vous qu’est-ce qui motive mon courroux ?  Le fait qu’il ait fallu attendre des années pour avoir de nouvelles CCT ? Non ! Le fait qu’il faille toujours passer par des CCT ? Que nenni !

Ce qui m’énerve, c’est la manière de faire ! Pourtant la Commission a prévue 4 possibilités au lieu des deux précédentes, ce qui est une bonne nouvelle. Elle prévoit donc 4 situations :

  • relations de responsable de traitement à responsable de traitement (RT/RT)
  • relation de responsable de traitent à sous-traitant (RT/ST)
  • relation de sous-traitant à responsable de traitement (ST/RT)
  • relation de sous-traitant à sous-traitant. (ST/ST)

Mais au lieu de faire 4 documents différents clairs pour faciliter la vie des entreprises la Commission nous « pond » (car je n’ai pas d’autre mots) un document unique avec 4 « modules » et en fonction des modules RT/RT, ST/RT, RT/ST ou ST/ST ! Et évidemment, c’est à vous d’effectuer le travail, pour adopter les bons modules et supprimer les autres !

Un vrai mikado juridique, donc… Et on se demande alors : pourquoi ? Aucune idée ! Alors j’ai décidé de vous aider. J’ai fait le job. Donc pour ceux que cela intéresserait, il vous sera adressé avec plaisir en français ou en anglais si besoin. N’hésitez pas à me demander : ebarbry[[at]]racine.eu

Les entreprises n’ont pas pris la mesure de cette réglementation sur les flux

Quoiqu’il en soit, disposer des CCT est la partie émergée de l’iceberg car le plus dur reste à venir :

  • Identifier les cas de flux transfrontières ;
  • Compléter les CCT car il y a des annexes
  • Et le pire : de faire comprendre à des entreprises hors EU qu’elles doivent signer un contrat imposé par la Commission européenne …

Quels sont les délais, me demanderez-vous ? Il existe deux cas :

  • 27 septembre 2021 pour tout nouveau projet de transfert après cette date
  • 27 décembre 2022 pour tous les traitements existants qui sont basés sur des CCT.

La réalité est que bon nombre d’entreprises n’ont pas pris la mesure de cette règlementation sur les flux et donc sont tenus d’utiliser les nouvelles CCT d’urgence.

Et qu’en est-il spécifiquement avec les USA ? Le Privacy Shield étant mort, aucun transfert ne peut avoir lieu avec nos voisins outre-Atlantique, sans des CCT.

Enfin, dernier point d’alerte : si vous devez compléter impérativement les annexes des CCT, ne modifier pas les clauses des CCT elles-mêmes. Car si vous modifiez le document tel que la Commission européenne l’a adopté vous devrez les adresser à la Cnil et obtenir son autorisation… Une situation à éviter donc à tout prix.