Le 4 juin 2021, la Commission Européenne a publié de nouvelles clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers.
Quelles sont les conséquences sur vos contrats prévoyant des transferts de données hors de l’Union Européenne ?
Mise en avant par le RGPD des clauses contractuelles types
Le Règlement Général sur la protection des données (RGPD) du 27 avril 2016 encadre notamment le transfert des données personnelles vers des pays situés en dehors de l’Union Européenne[1] ou de l’Espace économique européen[2].
Un transfert de données à caractère personnel vers un pays tiers peut avoir lieu lorsque la Commission a rendu une décision d’adéquation, c’est-à-dire lorsque la Commission a constaté que le pays tiers assure un niveau de protection adéquat des données.
En l’absence d’une telle décision, pour qu’il y ait transfert de données à caractère personnel, il revient aux responsables de traitement ou aux sous-traitants de s’assurer qu’ils offrent un niveau de protection des données suffisant et approprié. A cet effet, ils peuvent encadrer ces transferts par le biais des clauses contractuelles types définies par la Commission européenne.
La décision Schrems II conduisant à l’élaboration de nouvelles clauses contractuelles types
Par son arrêt Schrems II du 16 juillet 2020 la Cour de Justice de l’Union Européenne a invalidé l’accord « Privacy Shield » qui permettait jusqu’alors de transférer des données vers les Etats-Unis, considérant que la réglementation américaine ne satisfaisait pas aux exigences requises en matière de protection des données.
A la suite de cette décision, le Privacy Shield ne peut plus servir de fondement pour procéder à un transfert de données personnelles de l’Union Européenne vers les Etats-Unis. La Cour constate également que les Clauses Contractuelles Types ne permettent pas de pallier suffisamment les problèmes soulevés par le transfert vers les Etats-Unis.
Les nouvelles clauses contractuelles types imposent désormais à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets ou si ces clauses devront être accompagnées de mesures supplémentaires de protection.
Les modifications apportées
Les nouvelles clauses contractuelles visent quatre cas de transferts :
- Transfert de responsable de traitement à responsable de traitement (module 1) ;
- Transfert de responsable de traitement à sous-traitant (module 2) ;
- Transfert de sous-traitant à sous-traitant (module 3) ;
- Transfert de sous-traitant à responsable de traitement (module 4)
Les anciennes clauses contractuelles types prévoyaient seulement les deux premiers scénarios de transfert.
Du point de vue des personnes concernées par les traitements de données, leurs droits sur leurs données sont plus détaillés.
Ces nouvelles Clauses Contractuelles Types intègrent notamment une nouvelle clause de tiers bénéficiaire permettant à une partie tierce d’adhérer au contrat sous réserve que les parties initiales expriment leur accord et qu’il y ait un écrit. L’entité adhérente obtient alors les droits et obligations d’un exportateur de données ou d’un importateur de données, selon sa désignation. Cependant, elle n’a aucun droit ou obligation pour la période antérieure à son adhésion.
Les anciennes clauses contractuelles types énuméraient déjà les droits des personnes concernées comme le droit d’accès, le droit à l’effacement ou le droit de rectification des données inexactes ou incomplètes, mais les nouvelles clauses entrent plus en détail sur ces droits, comme le droit de ne pas faire l’objet d’un traitement automatisé, ou encore le droit d’opposition en cas de traitement de données à des fins de prospection directe.
Les nouvelles clauses contractuelles types garantissent plus de transparence. Il est prévu de mettre à disposition des parties une copie des clauses. Elles garantissent également la sécurité du traitement. Elles respectent aussi une logique de conformité ou d’accountability, puisque les parties devront conserver des documents pour démontrer le respect des règles de conformité de traitement.
Portée géographique
Ces nouvelles clauses peuvent être utilisées par des responsables de traitement ou des sous-traitants qui ne sont pas établis dans l’Union européenne, mais qui réalisent des traitements soumis au RGPD.
Quel délai ?
Depuis le 27 septembre 2021, les organisations qui concluent de nouveaux contrats devront utiliser les nouvelles clauses contractuelles types. Les organisations ayant utilisé les anciennes clauses avant cette date bénéficieront encore d’une période de transition de quinze mois, soit jusqu’au 27 décembre 2022, pour revoir leurs contrats et mettre en œuvre les nouvelles clauses.
***
Les clauses contractuelles type sont disponibles sur le site de la Commission Européenne.
[1] Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République Tchèque, Roumanie, Slovaquie, Slovénie, Suède
[2] UE + Islande, Liechtenstein, Norvège
Contact : Stéphanie Berland, Associée en charge du Pôle IP/IT/Data
