Décision d’exécution (UE) 2021/914 de la Commission, 4 juin 2021
Décision d’exécution (UE) 2021/915 de la Commission, 4 juin 2021
Par deux décisions d’exécution du 4 juin 2021, publiées le 7 juin 2021, la Commission européenne a adopté :
- des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers à l’Union Européenne (« UE ») ;
- des clauses contractuelles types entre les responsables de traitement et les sous-traitants situés au sein de l’UE.
- Sur les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers à l’UE
Pour mémoire, en l’absence de décision d’adéquation, les transferts de données à caractère personnel vers des pays tiers à l’UE ne peuvent avoir lieu que s’ils présentent des garanties appropriées, lesquelles peuvent être fournies par des clauses types de protection de données adoptées par la Commission.
Des clauses contractuelles types avaient déjà été prises en 2001 et en 2010 sur le fondement de la Directive 45/46/CE abrogée par le RGPD.
Une mise à jour de ces clauses s’imposait pour tenir compte du RGPD, mais également de l’évolution de l’économie numérique. Le récent arrêt de la CJUE du 16 juin 2020 (affaire dite « Schrems » II) invitait en particulier à revoir les exigences en termes de niveau de protection requis par l’UE et des garanties fournies par les clauses contractuelles type au regard de la législation de certains pays tiers concernés (en l’occurrence celle des Etats-Unis).
C’est dans ce cadre et avec cet objectif qu’ont été prises ces nouvelles clauses contractuelles types.
Sans rentrer dans une analyse détaillée de ce nouveau référentiel, quelques particularités sont à relever.
- Il contient des clauses générales selon une approche dite « modulaire », dans le sens où un unique modèle couvre les « différents scénarios de transfert » :
- de responsable de traitement à responsable de traitement ;
- de responsable de traitement à sous-traitant ;
- de sous-traitant à sous-traitant ;
- de sous-traitant à responsable de traitement ;
avec la possibilité de les contractualiser à deux parties ou plus, mais aussi de permettre à un tiers d’y adhérer à tout moment.
- Il comporte des clauses spécifiques pour répondre aux préoccupations de l’arrêt de la CJUE susvisé « en particulier des garanties concernant la manière de traiter les demandes contraignantes émanant des autorités publiques du pays tiers en vue de la divulgation des données à caractère personnel transférées». Les recommandations du CEPD, à ce sujet, ont notamment été prises en compte. De nombreuses obligations strictes doivent ainsi être observées, en particulier par l’importateur des données.
Cette première décision d’exécution (2021/914) est entrée en vigueur le 27 juin dernier.
Les décisions d’exécution relatives aux anciennes clauses contractuelles types (2001/497/CE et 2010/87/UE) seront, quant à elles, abrogées le 27 septembre 2021.
Pour autant, ces anciennes décisions pourront encore être invoquées jusqu’au 27 décembre 2022 pour l’exécution des contrats conclus avant leur abrogation « à condition que les opérations de traitement faisant l’objet du contrat demeurent inchangées et que l’invocation de ces clauses garantisse que le transfert de données à caractère personnel est soumis à des garanties appropriées au sens de l’article 46 [du RGPD] ».
- Sur les clauses contractuelles types applicables aux relations entre responsables du traitement et sous-traitants (indépendamment du transfert de données vers des pays tiers à l’UE)
Prises en application de l’article 28,7. du RGPD, ces clauses contractuelles types encadrent les relations entre responsable de traitement et sous-traitant en contenant des obligations permettant de satisfaire aux exigences posées par l’article 28 du RGPD.
L’utilisation de ces clauses n’est toutefois pas obligatoire : en effet, les responsables de traitement/sous-traitants ont le choix ou bien de conclure un « contrat de sous-traitance » spécifique négocié contenant les éléments obligatoires visés à l’article 28 du RGPD, ou bien de se fonder sur ces clauses contractuelles types (lesquelles peuvent être incluses dans un contrat plus large et complétées de garanties supplémentaires).
Ces clauses apportent, en particulier, des précisions sur la détermination des caractéristiques du traitement, les mesures de sécurité mises en œuvre, le recours à des sous-traitants ultérieurs (avec l’obligation, notamment pour le sous-traitant de disposer d’une autorisation spécifique préalable ou d’une autorisation écrite pour réaliser certaines tâches), l’assistance au responsable de traitement ou encore la notification de violations de données à caractère personnel.
Cette seconde décision d’exécution (2021/915) est également entrée en vigueur le 27 juin 2021.
Ces deux nouveaux référentiels, incontournable dans certaines situations pour le premier et riche d’enseignements pour le second, sont à prendre en compte dans le cadre de vos actions de mise en conformité RGPD.
Section du site internet : Données personnelles.
