Privacy Talk

Version pdf Archives Inscrivez-vous
Vos activités • Juin 2021

Le 27 décembre 2022 ?! Date limite pour les nouvelles clauses contractuelles types.

Ce que vous devez savoir.

Le 7 juin 2021, les nouvelles clauses contractuelles types tant attendues pour le transfert de données à caractère personnel en dehors de l'Espace Économique Européen ("EEE") ont été publiées dans le Journal officiel de l'Union Européenne.

Pour se rafraîchir la mémoire, les entreprises ne peuvent transférer des données à caractère personnel en dehors de l'EEE que si les données à caractère personnel y bénéficient d'un niveau de protection équivalent à celui garanti au sein de l'EEE. Un ‘transfert’ comprend également le stockage de données à caractère personnel en dehors de l'EEE, ainsi que le (simple) accès à partir d’un pays hors EEE. Une protection équivalente peut être garantie de plusieurs manières. Les clauses contractuelles types de la Commission Européenne sont une de ces voies : une ou plusieurs entreprises "émettrices" concluent un accord avec une ou plusieurs entreprises "réceptrices" conformément aux clauses contractuelles types.

Les "anciennes" clauses contractuelles types, qui avaient été adoptées avant l'entrée en vigueur du RGPD, prévoyaient deux types de clauses : une pour les transferts entre un responsable du traitement des données dans l'EEE et un responsable du traitement hors de l’EEE, et une pour les transferts entre un responsable du traitement dans l'EEE et un sous-traitant hors de l’EEE. Les nouvelles clauses types ajoutent deux types de clauses (qui sont les bienvenues) : une pour les transferts entre un sous-traitant situé dans 'EEE et un sous-traitant situé hors de l’EEE, et une autre entre un sous-traitant dans l'EEE et un responsable de traitement hors de l’EEE.

Les clauses contractuelles types prévoient désormais (1) des clauses générales applicables à tous les (quatre) types de transferts susmentionnés, (2) des clauses modulaires à sélectionner en fonction du type de transfert et (3) trois annexes à compléter par les parties. Quelques points d'accroche :

  • La Commission Européenne a aligné les clauses contractuelles types avec le RGPD et la jurisprudence Schrems II de la Cour de Justice. Ainsi, les clauses contractuelles types contiennent le langage nécessaire conformément aux articles 28.3 et 28.4 du RGPD. Le cas échéant, un contrat de sous-traitance séparé n'est désormais plus nécessaire. En revanche, cela semble également enlever aux parties la possibilité de négocier elles-mêmes un tel contrat. Suivant la jurisprudence Schrems II, les clauses contractuelles types contiennent également une déclaration selon laquelle, outre les clauses contractuelles types, des garanties supplémentaires peuvent être nécessaires afin d’assurer un même niveau de protection (voir : ce Privacy Talk).
  • Plus de deux parties peuvent adhérer aux nouvelles clauses contractuelles types. Une clause d'adhésion est également prévue. Ce qui est une bonne nouvelle pour les traitements (complexes) impliquant plusieurs parties et pour les transferts intragroupes de données à caractère personnel. Les parties concernées doivent être répertoriées dans l'annexe I des clauses contractuelles types.
  • Les parties doivent établir dans l'annexe II un aperçu des mesures techniques et organisationnelles prises par une ou plusieurs parties. Les clauses types contiennent une liste d'exemples de telles mesures. Malheureusement, la Commission Européenne ne précise pas dans quelles circonstances il est approprié d'utiliser chacune de ces mesures.

Les nouvelles clauses contractuelles types entrent en vigueur le 27 juin 2021. Toutefois, les anciennes clauses contractuelles types peuvent encore être utilisées pour de nouveaux transferts jusqu'au 27 septembre 2021 (bien que cela ne semble peu utile). Pour les transferts existants, les anciennes clauses contractuelles types peuvent encore être utilisées jusqu'au 27 décembre 2022.

En dernier, il est important de rappeler que, suite à l'arrêt Schrems II, les entreprises se basant sur les (anciennes ou nouvelles) clauses contractuelles types doivent réaliser une analyse d'impact du transfert des données personnelles (voir ce Privacy Talk ).

Ce que vous devez faire.

Suite à la publication des nouvelles clauses contractuelles types et l'obligation de réaliser une analyse d'impact du transfert des données personnelles qui ressort de la jurisprudence Schrems II, il n'y a plus aucune raison de se montrer hésitant. Il faut passer à l’action !

Comme nous vous l’avions déjà recommandé dans notre Privacy Talk, nous vous conseillons de :

  • Identifier("cartographier") les transferts internationaux de données à caractère personnel effectués par votre entreprise. Garder à l’esprit que le concept de "transfert" a une portée très large. Identifier à la fois les transferts à des tiers et les transferts intragroupes. Tout transfert ultérieur doit également être identifié (par exemple, lorsqu'un fournisseur situé en dehors de l'EEE transfère à son tour les données à caractère personnel à un sous-traitant situé dans un pays en dehors de l'EEE).
  • Vérifier si ces transferts internationaux sont absolument nécessaires et, si c’est le cas, quel mécanisme de transfert peut être utilisé pour les effectuer : si une décision d'adéquation ou l'une des exceptions de l'article 49 du RGPD est applicable, votre entreprise ne doit rien faire d'autre. Il est tout de même intéressant de constater que le juge rapporteur dans les affaires Schrems (Von Danwitz) au début de cette année, lors d'un séminaire du Ministère Allemand de l'Intérieur a déclaré (en son propre nom) que les exceptions de l'article 49 du RGPD sont particulièrement intéressantes pour les transferts internationaux dans un contexte intragroupe. Le juge rapporteur laisse entendre que les possibilités de l'article 49 du RGPD n'ont pas encore été pleinement explorées et qu'elles ne doivent pas être interprétées de manière trop restrictive.
  • Si votre entreprise utilise les clauses contractuelles types, une analyse de l'impact du transfert des données et des mesures de protection supplémentaires sont nécessaires (voir ce Privacy Talk ). Il est recommandé de demander l'aide de spécialistes pour cette étape.
  • Mettre en œuvre les nouvelles clauses contractuelles types à partir du 27 juin 2021 pour tous les nouveaux transferts et remplacer les anciennes clauses contractuelles types avant le 27 décembre 2022.

Pour plus de détails ou toutes questions, nous vous invitons à consulter notre site web ou à contacter notre équipe :

Consultez notre "GDPR Tookit"

GDPR toolkit

Recevez notre "Privacy Talk" directement par e-mail

Inscrivez-vous

Découvrez les éditions précédentes dans les Archives

Archives
In the Picture - Février 2025

Mieux vaut un bon guide pour respecter le droit de la concurrence
Books

Share Purchase Agreements - Belgian Law and Practice
Articles

Standpunt revisited: Kunnen notulen worden opgesteld in een andere taal dan één van de nationale talen?
More Newsletter

Connectez-vous à votre compte

Mot de passe oublié? Pas encore membre?

Mot de passe oublié?

Demandez un nouveau mot de passe en indiquant votre adresse électronique.

Connectez-vous à votre compte

Réinitialisation du mot de passe

Entrez votre mot de passe nouveau.

Enregistrement du mot de passe

Entrez un mot de passe pour protéger vos pages personnelles.

Activez votre compte

Activez votre compte en fournissant votre adresse électronique.

Merci

Vous recevrez un e-mail avec un lien pour entrer un nouveau mot de passe.

Close

Merci

Votre mot de passe nouveau a été enregistré avec succès.

Close
Close

Cookies

This website uses cookies to improve your browsing experience and to better tailor the website to your preferences. For more information about cookies and the list of cookies used on this website, see our Cookie Statement.

Below you can indicate your cookie preferences:

ON

Essential cookies are cookies that are necessary for the correct functioning of the website (e.g., to avoid overload on the website, keeping it functional and accessible). These cookies can be placed without your consent.

ON

Functional cookies are cookies that are necessary to improve your browsing experience or to provide a functionality explicitly requested by you (e.g. remembering your settings). These cookies can also be placed without your consent.

Analytical cookies are cookies that collect information about how you use the website to improve search engine hits and the functioning of the website (e.g. we see how visitors move around the website when they are using it to ensure that visitors find what they are looking for easily). These cookies are only placed if you have given your consent.

Advertising cookies are cookies that collect information about your surf and search behaviour in order to offer you personalised advertising in ad spaces on websites based on your personal interests. These cookies are only placed if you have given your consent.

Social media cookies are cookies that make it possible to share certain features from the website on social media networks (e.g. Facebook). Furthermore, these cookies collect information about your surf and search behaviour on the website in order to offer you personalised promotions and advertising about our products on these social media networks. These cookies are only placed if you have given your consent. It is possible that these social media networks also use the information they collect through these cookies for their own purposes. You can find more information about this in the privacy statements of the respective social media networks.

   

You can always change these preferences via your Cookie preferences.