Le 12 novembre dernier, la Commission européenne a publié deux projets de décisions d’adoption de « Clauses Contractuelles Types » (« CCT »). L’un applicable aux transferts de données vers des pays tiers à l’Union européenne (« UE »), l’autre aux relations entre un responsable du traitement et un sous-traitant situés au sein de l’UE.
Jusqu’à présent, les CCT avaient pour objet d’encadrer les transferts de données personnelles vers des pays tiers à l’UE, soit de responsable du traitement à responsable du traitement, soit de responsable du traitement à sous-traitant.
La Commission européenne, qui n’avait pas actualisé ses CCT depuis l’entrée en vigueur du RGPD, a, le 12 novembre dernier, publié un projet de CCT applicable dans le cadre d’un transfert de données personnelles en dehors de l’UE entre plusieurs organismes. Par ailleurs, elle propose un projet de CCT ayant pour objet d’encadrer les relations entre un responsable du traitement et un sous-traitant, indépendamment de l’existence d’un transfert de données personnelles hors UE.
1. S’agissant des CCT pour les transferts vers des pays tiers à l’UE
Le projet publié par la Commission européenne (accessible ici) a pour objectif de remanier les CCT jusqu’alors utilisées pour encadrer les transferts de données personnelles en dehors de l’UE, à la lumière de la décision de la CJUE le 16 juillet dernier « Schrems II » (la décision est accessible ici et notre résumé ici).
La publication de ce projet intervient deux jours après la publication des recommandations du Comité européen à la protection des données (« CEPD ») relatives aux mesures supplémentaires devant être mises en œuvre dans le cadre de ces transferts (les recommandations sont accessibles ici et notre résumé ici).
Les principaux apports de ce projet sont :
- L’encadrement dans un document unique, des transferts :
– De responsable du traitement à responsable du traitement ;
– De responsable du traitement à sous-traitant ;
– De sous-traitant à sous-traitant ;
– De sous-traitant à responsable du traitement.
- Une clause (indiquée comme « optionnelle ») permettant aux CCT d’évoluer au cours de leur exécution en offrant aux tiers, la possibilité d’adhérer aux CCT, à tout moment, sous réserve de l’accord des parties.
- Des clauses spécifiques pour répondre aux préoccupations soulevées par la décision de la CJUE « Schrems II », telles que :
– L’obligation d’évaluer si les CCT permettent de garantir un niveau de protection équivalent à celui du RGPD en tenant compte (i) des lois nationales du pays tiers, (ii) des « circonstances particulières du transfert » et, (iii) des garanties supplémentaires mises en œuvre (telles que des mesures techniques ou organisationnelles) et, de documenter cette évaluation.
– Des obligations spécifiques aux importateurs de données en cas de tentatives des autorités publiques de son pays d’accéder à des données personnelles provenant de l’UE comme notamment, (i) l’obligation pour l’importateur d’informer, dans la mesure du possible, l’exportateur de données et la personne concernée qu’il a reçu une demande d’accès à ces données de la part d’une autorité publique ; (ii) l’obligation d’évaluer la légalité de la demande au regard du droit national et, le cas échéant, de contester cette demande ; et (iii) l’obligation de divulguer le minimum de données personnelles, raisonnablement possible, à l’autorité publique.
Le projet de décision d’adoption des CCT prévoit que les organismes qui utilisent actuellement des CCT pour garantir le transfert de données personnelles en dehors de l’UE, auront un délai d’un an pour mettre en place les nouvelles clauses.
2. S’agissant des CCT entre responsables du traitement et sous-traitants situés dans l’UE
Parallèlement, la Commission européenne a publié un projet de décision d’adoption de CCT (accessible ici) pouvant être utilisé pour encadrer les relations entre un responsable du traitement un sous-traitant, situés dans l’UE.
Ce projet comporte des clauses permettant de satisfaire aux exigences imposées par l’article 28 du RGPD, notamment relatives à la détermination des caractéristiques des traitements opérés par le sous-traitant pour le compte du responsable du traitement, aux mesures de sécurité mises en œuvre, au recours à la sous-traitance ultérieure, au transfert des données personnelles en dehors de l’UE, etc.
Le projet de décision d’adoption des CCT prévoit que l’utilisation de ces clauses ne sera pas obligatoire.
Ces documents sont soumis à consultation jusqu’au 10 décembre 2020.
