Par une décision d’exécution du 4 juin 2021, la Commission européenne a rendu public la nouvelle version des clauses contractuelles types permettant d’encadrer les transferts de données personnelles hors de l’Union européenne.
Ces clauses seront applicables à compter du 27 juin 2021.
Les clauses actuelles pourront toujours être conclues jusqu’au 27 septembre 2021, et resteront en vigueur jusqu’au 27 décembre 2022.
Pour rappel, les clauses contractuelles types encadrent les transferts de données en dehors de l’Union européenne, afin de garantir un niveau de protection des données transférées équivalent à celui mis en œuvre sur le territoire de l’Union européenne.
Suite à l’Arrêt C-311/18 de la Cour de justice de l’Union européenne du 16 juillet 2020 (dit Arrêt Schrems II), la validité des anciennes versions des clauses contractuelles type était en discussion.
La Cour s’était notamment inquiétée des garanties apportées aux personnes concernées en cas de demande d’accès aux données formée par une autorité gouvernementale du pays de destination.
Afin de renforcer les clauses contractuelles types, la Commission européenne a soumis fin 2020 un projet de nouvelles clauses pour consultation. La version définitive de ces clauses s’écarte très peu de ce premier projet et contient des changements essentiels.
Une communication du Comité européen de la Protection des données est également attendue d’ici la fin du mois, et devrait apporter un complément d’information sur les attentes à l’égard des importateurs et exportateurs de données.
Parmi les changements principaux introduits par ces nouvelles clauses, on notera :
• L’élargissement des transferts pouvant bénéficier des clauses : sont désormais concernés les transferts de Responsable de traitement à Responsable de traitement, de Responsable de traitement à Sous-traitant, de Sous-traitant à Responsable de traitement et de Sous-traitant principal à Sous-traitant ultérieur ;
• L’introduction d’une clause dite de « docking » permettant à des tiers de s’engager ultérieurement à l’égard des signataires initiaux des clauses et d’être tenus par leurs dispositions ;
• L’ouverture des clauses contractuelles types aux entités situées en dehors de l’Union européenne ;
• La prise en compte de la situation légale dans le pays de destination, et des éventuelles atteintes aux données pouvant en résulter ;
• Le renforcement des engagements des parties en matière de responsabilité, notamment s’agissant de la conformité du droit du pays d’exportation des données avec les engagements pris aux termes des nouvelles clauses.
Les nouvelles clauses maintiennent cependant le format de leurs précédentes itérations, à savoir, (i) un corps principal de clauses applicables à toutes les situations et (ii) des clauses applicables selon le « module » sélectionné, c’est-à-dire les parties concernées.
Elles sont complétées de trois annexes.
L’annexe 1 permet la description des transferts, la désignation de l’autorité de contrôle compétente et la description pour les sous-traitants secondaires de l’objet, de la nature et de la durée des transferts qui leur sont confiés.
L’annexe 2 doit contenir la description détaillée et spécifique des mesures de sécurité techniques et organisationnelles mises en œuvre pour protéger les données transférées.
L’annexe 3 doit contenir une liste des sous-traitants de rang 2 de l’importateur de données, lorsque le recours à des sous-traitants de rang 2 fait l’objet d’une autorisation au cas par cas de l’exportateur de données.
Ces nouvelles clauses s’appliqueront par ailleurs à toutes les situations où l’exportateur de données est tenu au respect du RGPD, qu’il y soit tenu du fait de sa localisation géographique (exportation depuis l’UE) ou d’obligations légales (traitement des données de ressortissants de l’Union européenne depuis l’étranger par exemple).
Les nouvelles clauses introduisent également des obligations renforcées pour l’importateur et l’exportateur de données. Ceux-ci doivent garantir n’avoir aucune raison de croire que les lois et réglementations du territoire de destination des données pourraient empêcher le respect par l’importateur de ses engagements.
Les parties devront à ce titre tenir compte des conditions spécifiques du transfert, des pratiques du pays de destination ainsi que des mesures techniques et organisationnelles mises en place par elles.
Cette vérification doit être documentée et mise à disposition des autorités de protection des données compétentes sur demande.
En cas de demande d’accès, l’importateur est également tenu d’en informer l’exportateur, si cela lui est légalement permis, et doit également fournir ses meilleurs efforts pour s’opposer à l’accès. Si celui-ci ne peut pas être évité, l’importateur doit réduire autant que possible la quantité de données communiquée.
En cas de doute de l’importateur quant à sa capacité à recevoir des données conformément aux dispositions des clauses, celui-ci doit notifier l’exportateur de ses inquiétudes. L’exportateur peut mettre en place des mesures supplémentaires, et lorsque cela est impossible, doit suspendre ou résilier les clauses.
Les obligations supplémentaires mises à la charge des parties par les nouvelles clauses contractuelles type sont donc nombreuses et concernent tous les aspects du transfert.
Il est dès lors plus que jamais essentiel pour les entreprises concernées de disposer d’une cartographie claire et à jour de leurs traitements, de leurs sous-traitants et des flux de données.
Dans ce cadre, un accompagnement est recommandé afin d’organiser le passage aux nouvelles clauses et le respect de leurs dispositions.
Sources : Nouvelles Clauses Contractuelles Types
Consultez nos offres.