Brève : Tout savoir sur la révision des CCT encadrant les transferts de données hors UE

Elles sont enfin arrivées, les tant attendues clauses contractuelles types (« CCT »), ces modèles de contrats encadrant les transferts de données personnelles de l'Europe vers un pays tiers avec lequel aucun accord global n'est en vigueur.

Pour rappel, la Commission européenne a mis à jour ses modèles de CCT, ce 4 juin 2021, à la suite de la fameuse décision Schrems II, dans laquelle la CJUE a invalidé le Privacy Shield (pour en savoir plus, retrouvez notre article ici).

Alors que la Cour avait validé le recours aux CCT lors des transferts de données vers un pays tiers, elle avait néanmoins précisé que tant l’exportateur que l’importateur des données devaient évaluer si la législation du pays destinataire permettait en pratique de respecter le niveau de protection conformément aux garanties fournies par les CCT et le Règlement général sur la protection des données (« RGPD »).

 

1)      Ce qui change  

Désormais, les nouvelles CCT couvrent quatre scénarios possibles, soit :

  • les transferts entre responsables de traitement UE et responsables de traitement non UE ;

  • les transferts de responsables de traitement UE à sous-traitants non UE ;

  • les transferts de sous-traitants UE à des responsables de traitement non UE ;

  • les transferts entre sous-traitants UE et sous-traitants non UE.

Ainsi, les responsables des traitements et sous-traitants, devront choisir le module applicable à leur situation en plus des clauses générales.

Il est à noter que les CCT pourront être utilisées tant par les responsables de traitement que les sous-traitants établis dans l’UE, mais également par les responsables de traitement ou sous-traitants hors de l’UE, pour leurs activités de traitement soumis au texte européen.

De plus, afin de se conformer à la pratique, ce nouveau mécanisme permet à plusieurs parties de prendre part au contrat, à tout moment avec l’accord des autres parties.

La réelle modification est le nouveau formalisme des CCT, qui est beaucoup plus contraignant. En effet, les nouvelles CCT imposent des obligations aux responsables de traitements afin de garantir le respect des droits et des libertés du RGPD et d’évaluer la possibilité pour les agences gouvernementales du pays destinataire d’accéder aux données. Il sera par exemple question de renforcer la transparence, l’évaluation de l'impact potentiel de la législation locale sur les données, ou encore les droits des personnes concernées.

En effet, on voit là les apports de la décision Schrems II, car les nouvelles CCT imposent toujours aux contractants d’effectuer une évaluation afin de savoir si la législation locale du pays tiers porte atteinte aux garanties apportées par les CCT.  Si tel est le cas des mesures supplémentaires devront être mises en œuvre.

Dans les cas où les autorités publiques du pays destinataire ont accès aux données, les CCT imposent que l’importateur notifie à l’exportateur toute « demande juridiquement contraignante émanant d’une autorité publique », ou s’il « a connaissance de tout accès direct par les autorités publiques aux données personnelles transférées conformément aux présentes clauses ». De plus, il devra « contester la demande si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer que la demande est illégale ».

Les nouvelles CCT exigent donc un formalisme et une documentation renforcée des mesures mises en œuvre afin de garantir la conformité au RGPD, de traitement de données.

 

2)     Les dates à retenir

Jusqu’au 27 septembre 2021, les anciennes CCT et les nouvelles CCT peuvent être utilisées.

A partir du 27 septembre 2021, les nouvelles CCT sont obligatoires pour les nouveaux transferts de données

A partir du 27 septembre 2022, les nouvelles CCT s’imposent à tous les transferts de données (nouveaux et existants).

Ainsi, durant une période de 18 mois, les exportateurs et les importateurs de données pourront continuer à invoquer les anciennes clauses contractuelles types, mais au-delà de cette période tous auront dû mettre à jour leurs clauses contractuelles types ou un autre outil de transfert.

Il s’avère que Max Schrems, président de l'association Noyb et à l'origine de contentieux contre Facebook a réagi sur Twitter en déclarant que les clauses entraîneront "simplement plus de paperasse et de responsabilité de la part des entreprises" et que les entreprises « devront désormais évaluer elles-mêmes des lois comme la FISA et se garantir mutuellement que tout est bon ».

Toute l’équipe de La Robe Numérique se tient à votre disposition.

Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr


Par Justine Cabanis, DPO certifiée, et Irina Sookun, juriste pour le blog La Robe Numérique

Articles/Infographies sur le sujet :

Invalidation du Privacy Shield par la CJUE : quelles conséquences pour les entreprises transférant des données vers les États-Unis ?

Le bouclier fracturé par les juges européens

Schrems II : Retour sur la saga

Transfert de données hors UE

Sources :

CNIL

“Bruxelles révise ses règles pour les transferts de données personnelles vers les USA”, L’Usine Digitale, 7 juin 2021

Précédent
Précédent

Brève : pas de repos en juillet pour la conformité des entreprises

Suivant
Suivant

Les actus du vendredi : L’avis CNIL relatif à l’utilisation d’outils collaboratifs dans l’enseignement supérieur et la recherche