En juillet 2020, la Cour de justice de l’Union Européenne (CJUE) s’est prononcée dans un arrêt Schrems II sur le transfert et la protection des données personnelles des Européens vers les Etats-Unis, et a jugé que la législation américaine ne permettait pas un niveau de protection équivalent au RGPD, en vigueur dans l’Union Européenne. En conséquence le Privacy Shield, accord qui garantissait la libre circulation des données entre les Etats-Unis et l’Union Européenne, a été invalidé..
Cette décision a depuis fortement impacté l’activité des éditeurs SaaS basés en Union Européenne et donc en France, qui intègrent pour la plupart au sein de leurs solutions SaaS des services et logiciels exploités par des entreprises souvent basées aux Etats-Unis, à qui les données personnelles traitées par l’éditeur Saas peuvent être transférées en partie ou en intégralité.
Cet article répondra aux questions les plus fréquentes que se posent les éditeurs Saas au regard de cet arrêt Schrems II : Comment l’activité d’éditeur Saas est-elle impactée ? Quelles mesures concrètes faut-il mettre en œuvre pour être en conformité avec l’arrêt Schrems II et la réglementation RGPD relative aux transferts internationaux ? Quand et comment utiliser les nouvelles clauses contractuelles types (CCT) de la Commission Européenne ? Comment documenter sa conformité vis-à-vis de ses clients ?
Maître Benjamin Znaty, avocat spécialisé en droit des nouvelles technologies, décrypte le sujet pour vous.
Dans quelle mesure l’activité d’un éditeur Saas est-elle impactée par l’arrêt Schrems II ?
Le RGPD (Règlement Général sur la Protection des Données) a pour objectif de réguler la collecte et le traitement des données personnelles des Européens. Il s’adresse donc à toute entreprise basée ou non dans l’Union Européenne, amenée à collecter et traiter des données personnelles d’Européens dans le cadre de ses activités.
Nombreux sont les éditeurs SaaS, notamment français, amenés à collecter les données personnelles de leurs clients français et à traiter ces données au sein de leurs solutions. Ces mêmes clients peuvent par ailleurs eux-mêmes traiter au sein de ces mêmes solutions SaaS les données de leurs propres prospects, clients ou salariés.
Ces éditeurs SaaS sont alors soumis, en tant que responsables de traitement ou en tant que sous-traitants, en fonction des données concernées, aux règles imposées par le RGPD, parmi lesquelles les règles encadrant les transferts de données à l’international.
La plupart de ces éditeurs SaaS recourent en ce sens souvent à des tiers pour exploiter leurs solutions SaaS et fournir leurs propres services. On peut en premier lieu penser logiquement aux fournisseurs d’hébergement cloud, reposant le plus souvent sur les infrastructures des GAFAM. Mais au-delà de l’hébergement, les éditeurs SaaS intègrent souvent une multitude de composants logiciels tiers au sein de leurs propres solutions, comme notamment des outils de communication, des interfaces de chat ou SMS, des outils d’analyse de données, de débogage, d’interconnexion…
Or ces composants sont généralement fournis par des éditeurs tiers, qui sont très souvent des entreprises américaines, et qui peuvent alors stocker ou même simplement avoir accès, afin de fournir leurs services, aux données personnelles traitées par l’éditeur SaaS au sein de sa solution. Lorsque ce stockage ou même ce simple accès se fait depuis un pays tiers à l’Union Européenne, notamment aux Etats-Unis, cela constitue un “transfert” au sens du RGPD.
Et c’est précisément ici que le RGPD et la jurisprudence Schrems II vont avoir un impact direct sur la conformité à laquelle doit répondre l’éditeur SaaS, vis-à-vis des autorités Européennes mais également vis-à-vis de ses clients, notamment lorsqu’il agit en tant que sous-traitant de ces derniers au titre du traitement des données personnelles concernées.
Avant l’arrêt Schrems II, l’accord Privacy Shield qui était en place entre l’Union Européenne et les Etats-Unis permettait de transférer librement les données aux entreprises américaines soumises au Privacy Shield.
Mais cet accord a été dénoncé devant la CJUE par Max Schrems, un citoyen autrichien activiste militant pour la protection des données. Cette décision a alors conduit à l’invalidité du Privacy Shield en raison des risques relevés dans sa décision par la CJUE au regard des transferts de données vers les Etats-Unis et des potentiels accès à ces données par les autorités américaines.
Ainsi, lorsqu’un éditeur SaaS Européen transfère des données personnelles stockées sur sa solution à des tiers situés aux Etats-Unis, ce dernier ne peut plus se reposer sur le Privacy Shield et doit donc désormais respecter obligatoirement les règles posées par le RGPD et par la CJUE dans son arrêt Schrems II pour être conforme à la réglementation Européenne.
Quelles sont les règles que doit respecter l’éditeur SaaS depuis l’arrêt Schrems II ?
L’arrêt Schrems II n’a évidemment pas pour effet d’interdire tout transfert de données vers les Etats-Unis. Les transferts des données en dehors de l’UE restent possibles mais doivent être encadrés par des “garanties appropriées”, parmi celles expressément prévues par le RGPD.
Dans le cadre d’un éditeur SaaS souhaitant transférer des données vers des prestataires ou entreprises tierces situées hors Europe, notamment américaines, les garanties appropriées constitueront la plupart du temps en la mise en place des clauses contractuelles types (CCT) de la Commission Européenne avec chaque tiers à qui les données peuvent être transférées. Toutefois, depuis l’arrêt Schrems II, ces CCT ne sont plus suffisantes en elles-mêmes et doivent être complétées par des mesures supplémentaires.
La mise en place des CCT
L’éditeur Saas qui souhaite transférer tout ou partie des données qu’il traite via son logiciel SaaS vers un prestataire ou éditeur situé dans un pays tiers à l’Union Européenne, ne bénéficiant pas d’une décision d’adéquation adoptée par la Commission Européenne (comme en son temps le Privacy Shield), peut donc conclure avec l’importateur des données, un contrat intégrant les CCT de la Commission Européenne.
Ces CCT permettent de soumettre contractuellement aux grands principes du RGPD des entreprises étrangères qui ont accès aux données personnelles d’Européens mais qui ne sont en principe pas soumises au RGPD car elles ne s’adressent pas directement aux personnes concernées. En effet, elles reçoivent ces données d’un exportateur de données, comme par exemple un éditeur SaaS, qui lui est bien soumis au RGPD. Les CCT permettent ainsi d’étendre, par le biais d’un accord contractuel conclu entre l’exportateur et l’importateur des données, le champ d’application territorial du RGPD.
Ces CCT ont par ailleurs été récemment mises à jour par la Commission Européenne le 4 juin 2021. Cette mise à jour a notamment consisté à prendre en compte l’arrêt Schrems II et à moderniser les précédentes CCT de la Commission Européenne qui avaient été adoptées plusieurs années avant l’entrée en vigueur du RGPD. Les nouvelles CCT permettent également de prendre en compte certaines situations non prévues jusqu’ici et qui posaient de vraies difficultés en pratique.
A titre d’exemple, un éditeur Saas faisant appel à un éditeur américain en qualité de sous-traitant aura très souvent lui-même la qualité de sous-traitant vis-à-vis de son client responsable de traitement utilisant sa solution SaaS. Or jusqu'à l’adoption des nouvelles CCT, il n'existait que deux modèles applicables, des CCT “responsable de traitement à responsable de traitement” et des CCT “responsable de traitement à sous-traitant”. Or dans l’exemple cité, il s’agit d’un transfert de sous-traitant à sous-traitant. Cette lacune posait beaucoup de difficultés en pratique aux éditeurs SaaS, notamment dans leurs discussions avec leurs clients. Les nouvelles CCT résolvent ce problème en prévoyant une approche modulaire avec des clauses spécifiques applicables aux relations sous-traitant à sous-traitant.
Les mesures supplémentaires aux CCT
L’arrêt Schrems II est venu toutefois mettre un terme aux pratiques consistant à simplement signer des CCT pour permettre de transférer des données vers certains pays, notamment les Etats-Unis. En effet, dans son arrêt Schrems II, la CJUE a rappelé que les CCT ne suffiront pas pour empêcher les autorités américaines d’accéder aux données personnelles transférées, ces autorités n’étant pas liées par les CCT.
Pour ce qui est du transfert des données vers une entreprise basée aux Etats-Unis, des mesures complémentaires aux CCT doivent donc être mises en place. Le Comité européen de la protection des données (CEPD) précise que ces mesures supplémentaires peuvent avoir un caractère «contractuel, technique ou organisationnel ».
Pour un exemple de ce type de mesures, les juridictions françaises ont déjà jugé que les données personnelles étaient suffisamment protégées, dès lors que préalablement à leur transfert aux Etats-Unis, elles étaient chiffrées et que la clé de chiffrement était confiée à un tiers (différent de l’entreprise américaine destinataire des données).
Les mesures complémentaires de nature technique les plus courantes sont le chiffrement ou la pseudonymisation des données. Il en existe toutefois de nombreuses autres et le CEPD a également publié un document très complet avec des exemples de mesures supplémentaires pouvant être utilisées.
Concrètement, que doit donc faire l’éditeur SaaS pour respecter Schrems II ?
Plusieurs étapes très concrètes peuvent être recommandées à l’éditeur SaaS souhaitant respecter Schrems II au titre de l’exploitation de sa solution SaaS :
Étape 1 : S’interroger sur l’opportunité ou non de transférer les données hors UE
L’éditeur Saas qui souhaite transférer des données personnelles stockées sur sa solution à un éditeur ou un prestataire doit tout d’abord s’interroger sur la destination des données à transférer et évaluer les coûts / bénéfices de cette solution ou service hors UE plutôt que d’utiliser une solution équivalente disponible en France ou en UE.
En ce qui concerne l’hébergement, notons à ce titre que la plupart des GAFAM prévoient désormais une offre de localisation des centres de données au sein de l’Union Européenne.
Étape 2 : Comment mettre en place des CCT avec le tiers concerné ?
Si l’éditeur SaaS n’a toutefois pas d’autre choix que d’utiliser les services d’un prestataire ou éditeur tiers stockant ou accédant aux données depuis un pays tiers à l’UE, l’éditeur SaaS devra donc conclure avec cet éditeur et prestataire les CCT adaptées au transfert.
Toutefois, lorsque l’éditeur SaaS utilise des services standards ou solutions dites “sur étagère”, il aura dans la plupart des cas simplement adhérer à des conditions et documents contractuels standards imposés par l’éditeur du module ou service concerné sans avoir eu la possibilité d’en négocier les termes.
Toutefois en pratique, si l’éditeur ou prestataire étranger concerné est sérieux et réputé, il aura très souvent déjà intégré les CCT au sein de ses conditions générales ou documents contractuels relatifs au RGPD. Il appartient néanmoins à l’éditeur SaaS de bien vérifier que les CCT sont bien intégrées aux accords contractuels en place. Certains éditeurs prévoient par ailleurs des mécanismes permettant aux clients d’avoir accès à une version signée des CCT.
Si l’éditeur ou le prestataire tiers n’a pas intégré les CCT à ses documents contractuels, il convient à tout prix de les mettre en place, et ce, idéalement avant que tout transfert de données intervienne. Les CCT devront par ailleurs être complétées pour préciser les détails du transfert, les qualités respectives de l’exportateur et l’importateur des données (responsable de traitement ou sous-traitant) et détailler avec précision les mesures de sécurité venant encadrer le transfert. Attention, les CCT doivent être complétées lorsqu’un champ libre l’impose mais doivent être sinon reprises à l’identique sans modification. Toute modification des CCT nécessite en effet une autorisation préalable de la CNIL.
Étape 3 : Quand et comment les mesures supplémentaires aux CCT doivent-elles être mises en place ?
Lorsque la législation du pays où est situé le tiers importateur des données présente un risque pour la protection des données, il conviendra de mettre en place des mesures supplémentaires aux CCT. Grâce à l’arrêt Schrems II, nous savons désormais que cela est nécessaire pour tout transfert vers les Etats-Unis.
L’éditeur Saas ayant fait le choix de transférer ses données hors UE doit donc en premier lieu se renseigner sur la législation à laquelle est soumis le tiers importateur de données. Car en effet, si la CJUE a visé spécifiquement les Etats-Unis dans sa décision Schrems II comme étant un état destinataire pour lequel des mesures complémentaires devaient obligatoirement être prises, elle ne s’est pas limitée aux Etats-Unis et a précisé que cette règle pouvait être valable pour d’autres états.
Lorsque le déploiement de mesures supplémentaires est nécessaire, l’éditeur Saas devra alors s’interroger sur la nature des mesures qui pourront être utilisées et la façon de les mettre en œuvre. Lorsque l’éditeur Saas utilise un service ou logiciel standard de marché, il sera toutefois très difficile voire impossible pour l’éditeur SaaS d’imposer de telles mesures. Il semble en effet dérisoire d’imaginer qu’une PME française éditant un logiciel SaaS puisse imposer une mesure organisationnelle ou technique spécifique à une GAFAM ayant accès à ses données.
Cependant il faut noter que les éditeurs américains se sont désormais adaptés et publient généralement sur leurs sites internet les mesures mises en place à leur initiative pour offrir une protection des données équivalente à celle du RGPD et répondre aux exigences de l’arrêt Schrems II. Il est donc recommandé à minima à l’éditeur SaaS en amont d’identifier ces mesures et de les comparer lors du développement de sa solution SaaS et de son éventuel choix d’intégrer des modules/services tiers fournis par des prestataires/éditeurs américains.
De plus, il est recommandé à l’éditeur SaaS de réfléchir aux données qu’il transfère. S’il peut faire en sorte d’envoyer le moins de données possibles aux tiers étrangers et se limiter seulement aux données dont il a besoin pour l’utilisation du logiciel ou du service concerné, c’est un argument qui pourra rassurer grand nombre des clients de l’éditeur SaaS. A son niveau, l’éditeur SaaS doit en effet toujours essayer au mieux de minimiser, partitionner, limiter et si possible crypter (via une clé de chiffrement qu’il maîtrise) les données personnelles ayant vocation à être transférées vers les Etats-Unis.
Étape 4 : Documenter sa conformité
Il est enfin fortement recommandé à l’éditeur SaaS de documenter au mieux sa conformité, et ce notamment lorsque les données qu’il transfère vers les Etats-Unis concernent des clients ayant la qualité de responsable de traitement sur ces données. En effet, la plupart de ces clients demanderont à l’éditeur SaaS, agissant pour leur compte en tant que sous-traitant, de détailler sa conformité au RGPD et à la jurisprudence Schrems II lorsqu’il utilise des sous-traitants localisés aux Etats-Unis.
Outre le fait d’informer ses clients des éventuels transferts existants, l’éditeur Saas pourra par exemple établir et tenir à jour un tableau identifiant, pour chacun des prestataires/éditeurs utilisés, le détail des données qui sont transférées ainsi que les mesures supplémentaires aux CCT mises en place, et ce même si ces mesures sont les mesures standards mises en place par chaque entreprise concernée afin de respecter Schrems II.
Ce tableau pourra notamment être inclus au sein de l’accord de sous-traitance ou “data processing agreement” généralement annexé au contrat SaaS de l’éditeur SaaS agissant en tant que sous-traitant.
Pourquoi se rapprocher d’un expert ?
L’arrêt Schrems II fait donc peser une lourde responsabilité sur les épaules des éditeurs SaaS français et augmente de manière considérable la quantité de documents juridiques et organisationnels à manipuler pour être conforme à la réglementation.
Pour chaque transfert, il convient notamment pour l'éditeur SaaS de s’interroger sur la législation du pays où se situe le tiers concerné et de comprendre quels sont les mécanismes contractuels et souvent extra contractuels à mettre en place. Il conviendra par ailleurs le plus souvent de documenter cette conformité.
Les conseils d’un avocat, DPO ou autre expert en matière de protection des données à caractère personnel seront donc utiles, voir indispensables, pour analyser et être à jour de la législation des différents pays concernés et rédiger et mettre en place les bons instruments contractuels et organisationnels à même d’assurer et documenter cette conformité.
Une question ? Laissez votre commentaire