Blog Données personnelles
Publication de clauses contractuelles types révisées de la Commission européenne
Le 4 juin 2021, la Commission européenne a publié la version finale de deux ensembles de clauses contractuelles types (« CCT »).
D’abord et en application de l’article 28.7 du RGPD qui dispose : « La Commission peut établir des clauses contractuelles types pour les questions visées aux paragraphes 3 et 4 du présent article et conformément à la procédure d’examen visée à l’article 93, paragraphe 2 », la Commission a publié des clauses applicables aux relations entre les responsables du traitement et les sous-traitants, applicables dans les relations contractuelles « classiques » entre responsables de traitement et sous-traitants.
En second lieu, la Commission européenne a publié la version finale mise à jour des clauses applicables aux transferts de données personnelles vers des pays tiers.
Les CCT applicables aux relations entre les responsables du traitement et les sous-traitants visent à garantir le respect des exigences de l’article 28 du Règlement européen du 27 avril 2016 (RGPD).
Conformément à l’article 28.6 du RGPD, le responsable du traitement et le sous-traitant peuvent choisir soit de négocier un contrat particulier contenant les obligations prévues à l’article 28, soit de se fonder sur les CCT adoptées par la Commission européenne.
Dès lors, une fois ces nouvelles CCT entrées en vigueur, les responsables du traitement et sous-traitants pourront décider de ne pas se fonder sur ces CCT, à condition que le traitement de données personnelles soit encadré par un contrat reprenant les exigences de l’article 28 du RGPD.
S’agissant des CCT applicables aux transferts de données personnelles vers des pays tiers, celles-ci sont considérées comme offrant des garanties appropriées au sens de l’article 46 du RGPD et tiennent compte de l’arrêt récent de la Cour de justice de l’Union européenne « Schrems II ».
À ce titre, les parties doivent garantir qu’au moment de souscrire les CCT, elles n’ont aucune raison de croire que la législation et les pratiques applicables à l’importateur de données ne sont pas conformes aux exigences prévues par les clauses.
En fournissant cette garantie, les parties doivent notamment tenir compte des circonstances particulières du transfert et des garanties supplémentaires contractuelles, techniques ou organisationnelles mises en place pour compléter les garanties prévues par les CCT.
Lorsque cela est possible, l’importateur de données doit informer l’exportateur de données et la personne concernée s’il reçoit une demande juridiquement contraignante d’une autorité publique en vue de la divulgation de données personnelles transférées au titre des CCT.
En tout état de cause, si l’importateur de données n’est plus en mesure de respecter les CCT, il doit en informer l’exportateur de données, y compris lorsque cette incapacité est la conséquence d’une demande de divulgation.
L’introduction d’une approche modulaire
D’autre part, ces CCT applicables aux transferts de données combinent des clauses générales et une approche modulaire pour tenir compte des différents scénarios de transfert et de la complexité des chaînes de traitements. Outre les clauses générales, les responsables du traitement et les sous-traitants doivent choisir le module applicable à leur situation, de manière à adapter leurs obligations à leur rôle et responsabilités dans le traitement des données en question.
À ce titre, les clauses relatives aux transferts vers des pays tiers prévoient quatre « modules » :
- un transfert de données de responsable du traitement à responsable du traitement,
- un transfert de données de responsable du traitement à sous-traitant,
- un transfert de données de sous-traitant à sous-traitant,
- un transfert de données de sous-traitant à responsable du traitement.
Les CCT relatives aux relations entre responsables du traitement et sous-traitants ainsi que celles relatives aux transferts de données entrent en vigueur le vingtième jour suivant celui de leur publication au Journal officiel de l’Union européenne (à noter que nous restons à ce jour dans l’attente de la publication officielle des CCT).
Cependant, les responsables du traitement et sous-traitants pourront continuer à fonder les transferts de données vers des pays tiers sur les anciennes CCT durant une période de 15 mois à compter de l’entrée en vigueur des nouvelles CCT applicables aux transferts de données vers des pays tiers.