Après avoir publié en 2021 de nouvelles Clauses Contractuelles Types (« CCT »), la Commission Européenne publie une Foire Aux Questions (« FAQ ») permettant « de fournir des conseils pratiques sur l’utilisation des CCT »
1. Dans cette FAQ, la Commission Européenne rappelle d’abord des « Généralités », et notamment :
- ce que sont les CCT, leurs utilités et avantages, c’est à dire « des clauses types de protection des données standardisées et pré-approuvées », permettant, grâce à un « outil prêt à l’emploi », de transférer des données hors UE « sans qu’ils soit nécessaire d’obtenir une autorisation préalable » ;
- le fonctionnement des CCT, en évoquant la possibilité de les modifier uniquement pour (i) sélectionner les modules, (ii) remplir les zones prévues à cet effet, (iii) compléter les annexes et (iv), le cas échéant, ajouter des garanties supplémentaires ;
- la possibilité (i) d’intégrer les CCT à un contrat plus large, ou d’insérer des clauses supplémentaires ne contredisant pas les dispositions initiales et (ii) de supprimer les modules et options qui ne s’appliquent pas à la situation ;
- la capacité de changer ou d’ajouter des parties aux CCT grâce à la clause d’amarrage.
2. La Commission Européenne se penche ensuite sur les questions relatives aux CCT signées entre un responsable du traitement et un sous-traitant. Elle indique notamment que :
- les « instructions » données par le responsable du traitement peuvent prendre n’importe quelle forme, tant que ces dernières sont documentées ;
- le sous-traitant a l’obligation de fournir au responsable du traitement le nom de ses sous-traitants ultérieurs et que, dans une situation « d’autorisation générale » pour l’engagement de sous-traitants ultérieurs, le responsable du traitement doit pouvoir s’opposer au changement de ces derniers dans un délai raisonnable déterminé par les parties.
3. Enfin, et surtout, la Commission Européenne revient sur les conséquences de l’arrêt Schrems II de la Cour de Justice de l’Union Européenne (C-311/18), et rappelle la nécessité de procéder à une « évaluation de l’impact du transfert » et, si cette évaluation est négative, de mettre en place des « mesures supplémentaires », en ne citant que le chiffrement des données comme exemple.
Plus encore, l’importateur de données doit informer l’exportateur et la personne concernée (i) de toute « demande juridiquement contraignante » provenant d’une autorité publique de divulguer les données en sa possession, ou (ii) dès qu’il en a connaissance d’un accès direct aux données personnelles par cette dernière.
Pour conclure, l’importateur, s’il n’est pas tenu de contester chaque demande de divulgation qu’il reçoit d’une autorité publique, doit au préalable vérifier si la demande est légale et, s’il estime qu’il existe des motifs raisonnables de considérer la demande comme illégale, doit utiliser les procédures disponibles en vertu de son droit national pour contester la demande.
Source (en anglais) : ici
