Wie Google, Microsoft und Salesforce die neuen SCC umsetzen und was dies für Verantwortliche im EWR und in der Schweiz bedeutet – datenrecht.ch

Une contribution de Lena Götzinger et Hannes Meyle

Depuis le 27 septembre 2021, les “nouvelles” clauses contractuelles types (“CCN”) publiées le 4 juin 2021 doivent en principe être utilisées pour le transfert de données à caractère personnel vers des pays en dehors de l’EEE qui n’offrent pas un niveau de protection adéquat du point de vue du RGPD. Une période de transition pour la poursuite de l’utilisation des “anciennes” CCC n’existe que pour les contrats conclus antérieurement, à condition que le traitement faisant l’objet du contrat ne change pas (nous en avons parlé).

Il en va de même pour les transferts de données personnelles de la Suisse vers des pays ne disposant pas d’un niveau de protection des données adéquat (nota bene : Le délai de transition est un peu plus long en Suisse). Entre-temps, le PFPDT a approuvé la CSC – sous réserve d’un “Swiss Finish” (détails iciL’article 6, paragraphe 2, point a), de la loi sur la protection des données prévoit des garanties suffisantes pour la protection des données.

Dans ce contexte, de nombreux grands fournisseurs (de services en nuage) ont entre-temps mis en œuvre les nouvelles CCN dans leurs documents contractuels.

Les modèles de Google, Microsoft et Salesforce

Google CloudPour les clients de Google Cloud Services situés dans l’EEE ou en Suisse (et qui ont fourni à Google une adresse de facturation correspondante), une société Google également située dans l’EEE ou en Suisse (“Google Europe”) agit en tant que partenaire contractuel. Les transferts de données personnelles entre le client et Google Europe ont donc lieu entre des pays offrant un niveau de protection des données adéquat et ne nécessitent pas de garantie par SCC. Toutefois, en fonction des produits choisis, l’accès aux données personnelles peut également avoir lieu en dehors de l’EEE ou de la Suisse, par exemple par la société américaine Google Inc. Pour de tels “onward transfers” dans des pays ne disposant pas d’un niveau de protection des données adéquat, Google Europe conclut le module 3 du nouveau SCC avec les destinataires de données correspondants. Ce module couvre la situation entre un sous-traitant en tant qu’exportateur de données (ici : Google Europe) et son sous-traitant en tant qu’importateur de données (ici : par exemple Google Inc.). Les SCC concrètement convenus par Google sont les suivants disponible sur le site de Google. Le transfert de données en amont des clients à Google Europe Termes de traitement des données couverts.
Le cas où le client est domicilié en Suisse en tant que responsable est également expressément couvert (voir la définition de “Adequate Country”, “supervisory authority” et “European Data Protection Law”). Google explique plus en détail son approche de la mise en œuvre des nouveaux SCC dans ce Livre blanc.

MicrosoftPour les clients des produits et services Microsoft de l’EEE ou de la Suisse, le partenaire contractuel est généralement la société irlandaise Microsoft, Microsoft Ireland Operations Limited (“MIOL”). Dans certaines circonstances, Microsoft fait appel à la société américaine Microsoft Corporation en tant que sous-traitant. Pour la mise en œuvre de la nouvelle CSC, Microsoft choisit donc une voie similaire à celle de Google, en ce sens que MIOL conclut avec Microsoft Corporation le module 3 de la nouvelle CSC (voir le Addendum sur la protection des données). Les clients en Suisse devraient s’assurer que l’amendement ID M329 (“Amendment for Switzerland regarding Microsoft Products and Services Data Protection Addendum”) – accessible uniquement aux clients – est inclus. Ce n’est qu’alors qu’il est garanti contractuellement que les nouvelles CSC (et non (également) les “anciennes” CSC de 2010) sont appliquées.
Microsoft explique plus en détail son approche de la mise en œuvre des nouveaux SCC dans un Blogpost.

SalesforceLes clients Salesforce de l’EEE et de la Suisse concluent généralement leurs contrats avec la filiale irlandaise “Salesforce Ireland”. Selon les produits achetés, des données peuvent être transmises à la société américaine salesforce.com, Inc. (“Salesforce Inc.”), ou des accès peuvent être effectués à partir de Salesforce Inc. Salesforce suit toutefois une autre voie que Google et Microsoft : selon la nouvelle loi sur la protection des données, Salesforce ne peut pas utiliser les données de ses clients. Addendum sur le traitement des données (“DPA”), les SCC sont convenues directement entre le client et Salesforce Inc. Pour les clients qui sont responsables de la protection des données, Salesforce propose logiquement le module 2 des nouvelles CCC. Le module 2 a été développé en premier lieu pour la conclusion entre le responsable et le responsable du traitement. L’utilisation dans la relation entre le responsable et SurL’utilisation d’un nom d’utilisateur et d’un mot de passe par le responsable du traitement des commandes n’est toutefois pas illégale et correspond à la pratique sous les anciennes CCN.

Comparaison avec la situation avant l’application du nouveau SCC

Le module 3 du nouveau CCN permet aux fournisseurs d’utiliser le CCN dans la relation contractuelle dans laquelle le transfert de données pertinent et devant être sécurisé par le CCN a lieu. Sous les “anciennes” CCC, qui ne couvraient stricto sensu que la constellation responsable EEE en tant qu’exportateur de données et sous-traitant de pays tiers en tant qu’importateur de données (et non la relation entre sous-traitants et sous-traitants secondaires), les CCC étaient donc parfois conclus directement entre le responsable et le sous-traitant secondaire, comme c’est encore le cas aujourd’hui chez Salesforce.

Suite à l’arrêt Schrems II de la Cour de justice des Communautés européennes (“CJCE”), de nombreux responsables ont dû se demander s’il fallait prendre des mesures contractuelles, techniques et/ou organisationnelles en plus de ces “anciens” CCS (en particulier en tenant compte de la probabilité que les autorités du pays destinataire aient accès aux données transférées) afin de garantir un niveau de protection des données adéquat (“Transfer Impact Assessment” ou “TIA” en abrégé).

Les considérations de la CJCE selon lesquelles une utilisation générique de la CCC peut ne pas être suffisante en fonction du droit local du pays destinataire sont donc reflétées dans les nouvelles CCC. La clause 14 prévoit que les parties à la CCC s’engagent à ne pas avoir de raison de croire que le droit local du pays de destination (et les pratiques juridiques qui y sont en vigueur) empêche l’importateur de données de remplir ses obligations en vertu de la CCC. Cette assurance suppose un AIT entre les parties.

Conséquences pour les responsables dans l’EEE et en Suisse : Transfer Impact Assessment ?

Si les CSC sont conclus entre le sous-traitant CH/EEE et le sous-traitant d’un pays tiers (et que le responsable n’est donc pas partie aux CSC), la question se pose de savoir si le responsable peut se fier à ce que son sous-traitant effectue un EIT et prenne des mesures supplémentaires si nécessaire. Ou le responsable reste-t-il tenu de procéder lui-même à un contrôle dans ces cas également ?

Pour répondre à cette question, il faut partir des principes de la protection des données. La transmission de données personnelles à l’étranger ne doit pas abaisser le niveau de protection des données personnelles. Les destinataires des dispositions relatives à la transmission de données personnelles à l’étranger sont donc les responsables de traitement. et Sous-traitants (art. 44 et suivants du RGPD, art. 6 de la LPD).

L’obligation de prévoir des garanties appropriées pour le cas où le pays de destination n’offrirait pas un niveau de protection des données adéquat incombe toutefois au responsable du traitement.exportateur (art. 46, al. 1 RGPD et art. 6 LPD). Cela parle prima facie pour que le responsable du traitement n’ait pas d’obligation de vérification dans le cas d’un “transfert à terme” entre son sous-traitant et son sous-traitant ultérieur.

Une telle vision est toutefois trop limitée. L’art. 6 LPD et l’art. 46, al. 1 RGPD ne dispensent pas de respecter les autres dispositions légales en matière de protection des données. Parmi celles-ci figure l’obligation de s’assurer que le sous-traitant ne traite les données personnelles que de la manière dont le responsable serait lui-même autorisé à le faire (art. 10a LPD ; art. 28 RGPD). En cas de délégation de tâches au sous-traitant, le responsable doit donc le choisir avec soin et veiller, par des instructions et des contrôles, à ce que les dispositions légales en matière de protection des données soient respectées. Dans le cas contraire, le délégant pourrait tout simplement se débarrasser de ses obligations légales par le biais d’une délégation.

Il serait donc excessif d’exiger du responsable du traitement une évaluation complète de l’impact du transfert dans le cas d’un “transfert à terme” du sous-traitant vers un pays tiers non sûr. Le responsable ne peut toutefois instruire et contrôler de manière appropriée le sous-traitant dans l’optique du respect de la protection des données que s’il a une vue d’ensemble des flux de données. En outre, seul le responsable sait quelles données personnelles sont transmises en détail, à quelles fins elles sont traitées et si le contexte du traitement présente des risques particuliers. Le responsable ne peut donc pas laisser au seul sous-traitant le soin d’évaluer le risque en matière de protection des données dans un cas concret.

Les étapes suivantes peuvent servir de points de repère pour une procédure de “meilleure pratique” :

Tracer les flux de données et vérifier quels sous-traitants ont accès aux données personnelles ;
Évaluation des garanties contractuelles ou autres existant entre le sous-traitant de l’EEE/CH et les destinataires situés dans des pays tiers non sûrs ;
Examen des risques en matière de protection des données en partant des circonstances réelles (par exemple, transmission de données sensibles sur la santé ou de contenus d’investigation, accès connus des autorités à certains fournisseurs) ;
Examiner si les risques éventuels peuvent être minimisés par des mesures techniques supplémentaires optionnelles mises à disposition par le fournisseur (“enhanced customer controls”, qui ne sont pas déjà préréglés) ou si d’autres mesures techniques/organisationnelles doivent être prises ;
Documentation des considérations correspondantes et révision de l’évaluation des risques à intervalles réguliers.

Spécialement pour les responsables suisses : Les SCC doivent-ils être munis d’un “Swiss Finish” ?

Si un responsable suit les recommandations de “bonnes pratiques” ci-dessus et examine les garanties contractuelles ou autres entre sous-traitants et sous-traitants, la question se pose de savoir si ces SCC doivent être dotés d’un “Swiss Finish”, c’est-à-dire d’adaptations qui tiennent compte du droit suisse de la protection des données.

Le PFPDT a une position claire à ce sujet. Il a, dans son Document de travail du 27 août 2021 ne reconnaît la CSC qu’à la condition que “les adaptations et compléments nécessaires à une utilisation dans le cadre de la législation suisse sur la protection des données soient apportés” (nous en avons parlé). Le PFPDT estime qu’il est par exemple “nécessaire” de préciser que le terme “État membre” désigne (également) la Suisse.

Selon l’avis défendu ici, les adaptations proposées par le PFPDT ne sont pas, stricto sensu, “nécessaires” (au sens de juridiquement obligatoires), car les contenus correspondants découlent déjà de principes légaux et contractuels :

Selon le document de travail, l’“autorité de contrôle compétente à l’annexe I.C selon la clause 13” de la CSC est (au moins également) le PFPDT La compétence du PFPDT ne peut toutefois pas être établie par contrat, contrairement à une convention d’élection de for. La compétence territoriale et les pouvoirs du PFPDT sont plutôt déterminés par la LPD en vertu du principe de légalité. En vertu de la LPD en vigueur, le PFPDT ne peut exercer sa surveillance que sur des faits qui se rapportent en Suisse se produisent. En ce qui concerne les transmissions de données à l’étranger (art. 6 LPD), la surveillance du PFPDT ne s’étend en principe qu’aux transmissions de données à partir de la Suisse. En cas de “onward transfers” (p. ex. d’un sous-traitant de l’UE à un sous-traitant américain), le PFPDT pourrait éventuellement prendre des mesures (limitées sous l’actuelle LPD) contre un responsable établi en Suisse (cf. art. 29, al. 1, let. c, LPD et art. 31, al. 1, let. e, LPD). Sous l’ancien droit, une adaptation de l’annexe I.C est donc superflue, alors que sous le droit révisé, elle est obsolète : la LPD révisée s’applique à tous les faits qui se produisent en Suisse. ont un impact (art. 3 LPrD) et la surveillance du PFPDT s’étend à toutes les violations du droit de la protection des données (art. 49, al. 1, LPrD). D’une manière ou d’une autre, l’ajout du PFPDT en tant qu’autorité de surveillance n’est donc pas juridiquement obligatoire. Il pourrait toutefois – du point de vue du PFPDT – apporter des allégements si l’on considère la clause 13(b) de la CSC comme une disposition au sens d’un véritable contrat en faveur de tiers. Le PFPDT pourrait alors agir directement contre l’importateur de données en se fondant sur l’accord contractuel des parties, au lieu de devoir emprunter la voie de l’entraide administrative et judiciaire.
Selon les directives du PFPDT, les CSC doivent en outre être complétées par une annexe selon laquelle les références au RGPD doivent être comprises comme des références à la LPD (dans la mesure où les transferts de données sont soumis à la LPD) et “la notion d’ ”État membre” ne doit pas être interprétée de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits sur leur lieu de résidence habituelle (Suisse) conformément à la clause 18 c”.
Mais si les CCP sont utilisées pour sécuriser (également) les transferts de données selon la LPD et protéger les droits des personnes concernées en Suisse, on parviendrait au même résultat sans cette clarification explicite.
Du point de vue du PFPDT, il convient de choisir comme droit applicable soit “le droit suisse, soit le droit d’un pays qui admet et accorde des droits en tant que tiers bénéficiaire”. Cela ne constitue pas une adaptation par rapport à la CSC inchangée, étant donné que la clause 17 de la CSC prescrit déjà un choix de droit correspondant. Le fait que la clause 17 fasse référence à un État membre de l’UE n’est pas préjudiciable, car la véritable intention des parties est déterminante.
Enfin, le PFPDT demande des adaptations afin d’inclure la protection des données des personnes morales d’ici l’entrée en vigueur de la LPD. Dans de nombreux cas, cela ne se justifie guère. Les ordres juridiques étrangers contiennent souvent des dispositions visant à protéger les données des personnes morales, par exemple par des dispositions sur la protection des secrets, le droit de la concurrence déloyale ou le droit d’auteur. Enfin, la révision de la LPD, qui ne s’applique plus qu’aux données personnelles des personnes physiques, confirme qu’une protection supplémentaire des données n’est pas nécessaire.

Bien que les adaptations proposées par le PFPDT ne soient pas juridiquement contraignantes, il est recommandé, pour d’autres raisons, de les reproduire pour les transmissions à partir de la Suisse. Le PFPDT n’a reconnu les SCC que sous réserve des adaptations qu’il a proposées. Si les CSC sont conclus sous une forme inchangée, ils doivent donc être soumis au PFPDT avant leur utilisation – tant selon la LPD que la révision de la LPD. La violation intentionnelle de cette obligation est passible d’une amende (art. 34 al. 2 let. a LPD, art. 61 let. a révLPD).

Dans les constellations de transmissions décrites au début, il ne semble pas nécessaire d’exiger un “Swiss Finish” également des (sous-)traitants ou de le transmettre dans la chaîne contractuelle. Ainsi, le PFPDT renvoie, dans son document de travail du 27 août 2021 à juste titre, que les CSC se réfèrent aux “transferts de données de la Suisse vers un pays tiers conformément à l’art. 6, al. 2, let. a, LPD”, sans se référer à d’éventuels transferts ultérieurs. L’art. 6, al. 2, let. a, LPD ne couvre que les transferts directs de la Suisse vers un pays tiers non sûr. Si, comme dans les constellations présentées ci-dessus, des données personnelles sont d’abord transférées vers un pays sûr, puis de là vers un pays non sûr, la LPD ne s’applique qu’au premier transfert. Ce premier transfert est autorisé par l’article 6, paragraphe 1, LPD, étant donné que la protection dans le pays de destination est reconnue comme adéquate (incontestablement, au moins dans la mesure où il s’agit de données personnelles de personnes physiques). L’exportateur peut donc compter (dans le cadre de ses obligations décrites précédemment) sur le fait que le droit du pays de destination prévoit également les mesures nécessaires pour la réexportation vers des pays tiers peu sûrs. Cela ne peut pas non plus aller jusqu’à exiger une protection identique dans le cadre de la nouvelle CCN, car l’utilité pratique des décisions d’adéquation serait alors annulée. Si, dans les constellations présentées ci-dessus, les sous-traitants utilisent la CCN sans “Swiss Finish”, cela n’empêche donc pas l’admissibilité du transfert selon notre perspective.

Comment Google, Microsoft et Salesforce mettent en œuvre les nouveaux CCN et ce que cela signifie pour les responsables dans l’EEE et en Suisse

Contenu

Com­ment Goog­le, Micro­soft et Sales­force met­tent en œuvre les nou­veaux CCN et ce que cela signi­fie pour les respons­ables dans l’EEE et en Suisse

Contenu

Comment Google, Microsoft et Salesforce mettent en œuvre les nouveaux CCN et ce que cela signifie pour les responsables dans l’EEE et en Suisse