Le piège classique
L'article 96 est une clause de transition souvent ignorée, mais qui devient un piège quand une organisation invoque un vieil accord intergouvernemental pour justifier un transfert hors UE sans vérifier qu'il respecte toujours le droit de l'Union post-Schrems II. La CNPD et la CNIL ont rappele a plusieurs reprises que la survivance d'accords pre-2016 ne dispense ni de l'analyse de transfert (TIA), ni de la vérification des garanties effectives au sens des articles 44 a 49. L'EDPB, dans ses recommandations 01/2020, exige une évaluation au cas par cas, même lorsqu'un instrument bilateral historique semble couvrir le flux.
Les pièges en pratique
- Invoquer un accord fiscal, douanier ou judiciaire signe avant le 24 mai 2016 comme base autonome de transfert, sans vérifier sa compatibilite avec l'arret Schrems II (CJUE 2020).
- Confondre un accord international entre Etats (article 96) avec un instrument de transfert privé (clauses contractuelles types, BCR) : les regimes juridiques ne se recouvrent pas.
- Oublier que ces accords restent en vigueur jusqu'a leur modification : toute revision post-2016 fait basculer l'accord sous le regime complet du RGPD et exige une reevaluation integrale.
- Négliger la cartographie des flux qui s'appuient implicitement sur ces accords (echanges Europol, accords PNR, accords d'entraide judiciaire, conventions fiscales avec clause d'echange automatique).
- Ne pas documenter dans le registre article 30 la base juridique exacte du transfert, en se contentant d'une mention generique accord international.
Le test 'compatibilite continue' : la clé d'argumentation devant CNPD
Un accord pre-2016 ne survit que s'il respecte toujours le droit de l'Union tel qu'il etait applicable avant cette date. Or le droit de l'Union a evolue (Charte, jurisprudence Schrems I et II, Data Privacy Framework 2023). L'argument l'accord est anterieur, donc il s'applique ne tient pas devant la CNPD si vous ne demontrez pas, preuves a l'appui, que les garanties matérielles restent equivalentes a celles exigees aujourd'hui par les articles 45 a 49.
Comment Luxgap automatise ce risque
Notre Luxgap Legacy Treaty Radar transforme cette zone grise juridique en cartographie opposable : l'outil identifié chaque flux de données qui s'appuie, explicitement ou implicitement, sur un accord international pre-2016, et evalue en continu sa compatibilite avec le droit de l'Union post-Schrems II. Un agent IA juridique croise vos flux reels (logs M365, Azure, AWS, connecteurs SAP et Odoo) avec la base consolidee des accords internationaux luxembourgeois et européens publies au Memorial A et au Journal officiel de l'UE.
- Detecte automatiquement les flux transfrontaliers qui invoquent un accord pre-2016 comme base juridique, en analysant les mentions du registre article 30 et les metadonnees de vos systèmes connectes.
- Classifie chaque accord identifié selon sa nature (fiscal, judiciaire, securitaire, douanier) et son niveau de risque post-Schrems II via la grille EDPB 01/2020.
- Alerte en temps reel via Teams ou Slack des qu'un accord pre-2016 est modifie, remplace ou denonce, declenchant automatiquement une reevaluation du flux concerne.
- Genere un dossier de défense horodate, opposable a la CNPD, qui démontré la vérification continue de la compatibilite de chaque accord avec le droit de l'Union actuel.
- Produit une TIA simplifiee pre-remplie pour chaque flux concerne, integrant les clauses de garantie effective exigees par la CJUE.
- Surveille la jurisprudence CJUE et les décisions EDPB qui pourraient invalider un accord historique et propage l'alerte sur tous les flux impactes.
Disponible en complement d'un mandat DPO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux reels, avec un audit blanc gratuit sous 48h pour cartographier votre exposition aux accords pre-2016 avant tout engagement.
