Le 4 juin 2021, la Commission européenne a publié (pdf) de nouvelles clauses contractuelles standards pour guider les entreprises dans la rédaction de leurs contrats concernant les transferts de données personnelles hors de l’Union européenne. En proposant ces contrats type, le travail des responsables du traitement est facilité et la protection des données est augmentée. Du moins dans la théorie, reste à voir la pratique.
Ces nouvelles clauses contractuelles sont bien évidemment en ligne avec le règlement général sur la protection des données (RGPD) et prennent en compte l’arrêt Schrems II du 16 juillet 2020. Cette décision de justice a entraîné l’invalidité du Privacy Shield, un accord reconnaissant les lois américaines comme équivalentes à celles de l’UE. Dès lors, les données des citoyens européens envoyées vers les États-Unis n’ont plus été plus couvertes par un accord.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Bien que les clauses aient une dimension internationale, les États-Unis sont donc particulièrement visés. Leur adoption en 2018 du Clarifying Lawful Overseas Use of Data Act (CLOUD Act), texte autorisant l’accès aux données des opérateurs télécoms et des fournisseurs de services cloud par les autorités américaines, n’est pas étranger à la création de ces clauses contractuelles. Au contraire. La commission les a même pris en compte en accentuant l’évaluation de l’influence des législations nationales sur les traitements de données.
Le militant pour la vie privée et président de l’association Noyb Max Schrems s’est montré mitigé face à ces nouvelles clauses. Il estime qu’elles « ne feront qu’augmenter la paperasse et la responsabilité des entreprises ». Pointant du doigt qu’il « n’existe pas de base légale pour cette approche dans le RGPD », il considère que les autorités européennes se dédouanent de leurs responsabilités en les laissant aux entreprises et leurs juristes.
At first sight the new #SCCs by @EU_Justice will just lead to more paperwork and responsibility by companies:
They should now make an assessment of laws like FISA themselves and warrant each other that it's all good. The assessment must (amazingly) not be made public..
— Max Schrems 🇪🇺 (@maxschrems) June 4, 2021
Ces clauses contractuelles standards remédient donc à l’absence d’accord entre les États-Unis et l’UE sur les transferts de données. Pour qu’un traitement soit en adéquation avec les règles européennes, l’ensemble des garanties des clauses devront être respectées. En cas de manquement, le traitement des données sera considéré comme illégal. Les responsables du traitement et les sous-traitants européens ont 18 mois pour se conformer aux nouvelles clauses et modifier leurs contrats.