Privacy Talk
Le 27 décembre 2022 ?! Date limite pour les nouvelles clauses contractuelles types.
Ce que vous devez savoir.
Le 7 juin 2021, les nouvelles clauses contractuelles types tant attendues pour le transfert de données à caractère personnel en dehors de l'Espace Économique Européen ("EEE") ont été publiées dans le Journal officiel de l'Union Européenne.
Pour se rafraîchir la mémoire, les entreprises ne peuvent transférer des données à caractère personnel en dehors de l'EEE que si les données à caractère personnel y bénéficient d'un niveau de protection équivalent à celui garanti au sein de l'EEE. Un ‘transfert’ comprend également le stockage de données à caractère personnel en dehors de l'EEE, ainsi que le (simple) accès à partir d’un pays hors EEE. Une protection équivalente peut être garantie de plusieurs manières. Les clauses contractuelles types de la Commission Européenne sont une de ces voies : une ou plusieurs entreprises "émettrices" concluent un accord avec une ou plusieurs entreprises "réceptrices" conformément aux clauses contractuelles types.
Les "anciennes" clauses contractuelles types, qui avaient été adoptées avant l'entrée en vigueur du RGPD, prévoyaient deux types de clauses : une pour les transferts entre un responsable du traitement des données dans l'EEE et un responsable du traitement hors de l’EEE, et une pour les transferts entre un responsable du traitement dans l'EEE et un sous-traitant hors de l’EEE. Les nouvelles clauses types ajoutent deux types de clauses (qui sont les bienvenues) : une pour les transferts entre un sous-traitant situé dans 'EEE et un sous-traitant situé hors de l’EEE, et une autre entre un sous-traitant dans l'EEE et un responsable de traitement hors de l’EEE.
Les clauses contractuelles types prévoient désormais (1) des clauses générales applicables à tous les (quatre) types de transferts susmentionnés, (2) des clauses modulaires à sélectionner en fonction du type de transfert et (3) trois annexes à compléter par les parties. Quelques points d'accroche :
- La Commission Européenne a aligné les clauses contractuelles types avec le RGPD et la jurisprudence Schrems II de la Cour de Justice. Ainsi, les clauses contractuelles types contiennent le langage nécessaire conformément aux articles 28.3 et 28.4 du RGPD. Le cas échéant, un contrat de sous-traitance séparé n'est désormais plus nécessaire. En revanche, cela semble également enlever aux parties la possibilité de négocier elles-mêmes un tel contrat. Suivant la jurisprudence Schrems II, les clauses contractuelles types contiennent également une déclaration selon laquelle, outre les clauses contractuelles types, des garanties supplémentaires peuvent être nécessaires afin d’assurer un même niveau de protection (voir : ce Privacy Talk).
- Plus de deux parties peuvent adhérer aux nouvelles clauses contractuelles types. Une clause d'adhésion est également prévue. Ce qui est une bonne nouvelle pour les traitements (complexes) impliquant plusieurs parties et pour les transferts intragroupes de données à caractère personnel. Les parties concernées doivent être répertoriées dans l'annexe I des clauses contractuelles types.
- Les parties doivent établir dans l'annexe II un aperçu des mesures techniques et organisationnelles prises par une ou plusieurs parties. Les clauses types contiennent une liste d'exemples de telles mesures. Malheureusement, la Commission Européenne ne précise pas dans quelles circonstances il est approprié d'utiliser chacune de ces mesures.
Les nouvelles clauses contractuelles types entrent en vigueur le 27 juin 2021. Toutefois, les anciennes clauses contractuelles types peuvent encore être utilisées pour de nouveaux transferts jusqu'au 27 septembre 2021 (bien que cela ne semble peu utile). Pour les transferts existants, les anciennes clauses contractuelles types peuvent encore être utilisées jusqu'au 27 décembre 2022.
En dernier, il est important de rappeler que, suite à l'arrêt Schrems II, les entreprises se basant sur les (anciennes ou nouvelles) clauses contractuelles types doivent réaliser une analyse d'impact du transfert des données personnelles (voir ce Privacy Talk ).
Ce que vous devez faire.
Suite à la publication des nouvelles clauses contractuelles types et l'obligation de réaliser une analyse d'impact du transfert des données personnelles qui ressort de la jurisprudence Schrems II, il n'y a plus aucune raison de se montrer hésitant. Il faut passer à l’action !
Comme nous vous l’avions déjà recommandé dans notre Privacy Talk, nous vous conseillons de :
- Identifier("cartographier") les transferts internationaux de données à caractère personnel effectués par votre entreprise. Garder à l’esprit que le concept de "transfert" a une portée très large. Identifier à la fois les transferts à des tiers et les transferts intragroupes. Tout transfert ultérieur doit également être identifié (par exemple, lorsqu'un fournisseur situé en dehors de l'EEE transfère à son tour les données à caractère personnel à un sous-traitant situé dans un pays en dehors de l'EEE).
- Vérifier si ces transferts internationaux sont absolument nécessaires et, si c’est le cas, quel mécanisme de transfert peut être utilisé pour les effectuer : si une décision d'adéquation ou l'une des exceptions de l'article 49 du RGPD est applicable, votre entreprise ne doit rien faire d'autre. Il est tout de même intéressant de constater que le juge rapporteur dans les affaires Schrems (Von Danwitz) au début de cette année, lors d'un séminaire du Ministère Allemand de l'Intérieur a déclaré (en son propre nom) que les exceptions de l'article 49 du RGPD sont particulièrement intéressantes pour les transferts internationaux dans un contexte intragroupe. Le juge rapporteur laisse entendre que les possibilités de l'article 49 du RGPD n'ont pas encore été pleinement explorées et qu'elles ne doivent pas être interprétées de manière trop restrictive.
- Si votre entreprise utilise les clauses contractuelles types, une analyse de l'impact du transfert des données et des mesures de protection supplémentaires sont nécessaires (voir ce Privacy Talk ). Il est recommandé de demander l'aide de spécialistes pour cette étape.
- Mettre en œuvre les nouvelles clauses contractuelles types à partir du 27 juin 2021 pour tous les nouveaux transferts et remplacer les anciennes clauses contractuelles types avant le 27 décembre 2022.
L' information était utile? Transmettez-la à un collègue, ou partagez-la avec votre réseau!
Pour plus de détails ou toutes questions, nous vous invitons à consulter notre site web ou à contacter notre équipe :
