RGPD : adoption de deux ensembles de clauses contractuelles types par la Commission européenne.

La Commission a publié deux séries de clauses contractuelles types : l’une pour le transfert de données à caractère personnel vers des pays tiers et l’autre pour les contrats conclus entre les responsables du traitement et les sous-traitants.


Cet article est issu de Solution Compliance et éthique des affaires.

Pour tester gratuitement Solution Compliance et éthique des affaires pendant 2 semaines, cliquez ici.

Par deux décisions d’exécution du 4 juin 2021, la Commission européenne a adopté :
- des clauses contractuelles types applicables à tout transfert de données personnelles vers des pays tiers à l’Union européenne (Déc. d’exécution (UE) 2021/914 de la Commission, 4 juin 2021 : JOUE n° L 199, 7 juin) ;
- des clauses contractuelles types applicables aux relations entre les responsables du traitement et les sous-traitants (Déc. d’exécution (UE) 2021/915 de la Commission, 4 juin 2021 : JOUE n° L 199, 7 juin).

Les clauses applicables en cas de transfert vers des pays tiers
A la suite de l’adoption du RGPD et de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020 « Schrems II » (CJUE, grande ch., 16 juill. 2020, aff. C 311/18, Facebook Ireland et Schrems), un réexamen des clauses contractuelles types permettant le transfert de données hors de l’Union était devenu nécessaire.

La Commission répond à cette nécessité en publiant de nouvelles clauses, lesquelles présentent les spécificités principales suivantes.

Premièrement, la Commission abandonne la dichotomie de textes opérée sur le fondement de la qualité des acteurs pour adopter un seul texte, incluant les divers cas de transferts possibles. Ainsi, la décision d’exécution est dite « modulaire » en ce qu’elle précise les clauses respectivement applicables aux quatre types de transferts envisageables :
- le transfert de responsable du traitement à responsable du traitement ;
- celui de responsable du traitement à sous-traitant ;
- celui de sous-traitant à sous-traitant ; et
- celui de sous-traitant à responsable du traitement.

Deuxièmement, il devient possible pour un tiers d’adhérer aux clauses contractuelles types, soit en tant qu’exportateur de données soit en tant qu’importateur de données.

Troisièmement, la Commission apporte aussi et surtout des éclaircissements en réponse à l’arrêt de la CJUE du 16 juillet 2020. Cette décision, outre qu’elle a invalidé le Privacy Shield ou bouclier de protection des données UE-États-Unis, aboutit à soumettre le transfert fondé sur des clauses contractuelles types à la mise en place de mesures supplémentaires dès lors que la législation du pays tiers ne permet pas le respect du niveau de protection requis. Cette difficulté se pose notamment à l’égard des États tiers dont les législations autorisent les autorités publiques à prendre connaissance des données personnelles traitées.

La Commission crée une section III dans les clauses pour apporter un cadre à cette situation. Il en ressort une charge importante imposée aux acteurs en présence, notamment :
- une obligation d’opérer une évaluation de la législation du pays tiers en matière de divulgation et d’accès aux données par des autorités publiques afin de garantir que cette législation n’est pas de nature à empêcher l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des clauses contractuelles types conclues. Cette obligation s’accompagne, pour l’importateur des données, de l’obligation d’informer l’exportateur s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont plus compatibles avec les clauses signées. Des garanties appropriées peuvent alors être prévues. A défaut, le transfert doit être suspendu et le contrat peut être résilié ;
- une obligation de notification pour l’importateur en cas d’accès ou de demande d’accès juridiquement contraignante par les autorités publiques de l’État vers lequel les données ont été transférées ;
- une obligation, pour l’importateur des données, de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale.

Quatrièmement, la Commission donne une liste non exhaustive des mesures techniques et organisationnelles pouvant être mises en œuvre pour garantir la sécurité des données (Annexe II).

Les clauses applicables aux relations entre responsables du traitement et sous-traitants

Avec ce document, la Commission vient préciser les modalités de la relation contractuelle entre le responsable du traitement et le sous-traitant visée à l’article 28, § 7 du RGPD.

Elle prévoit la possibilité pour un tiers d’adhérer aux clauses.

Elle précise également les mesures de sécurité qui doivent être mises en œuvre (Annexe III) et s’intéresse tout particulièrement au cas où il serait fait recours à un sous-traitant ultérieur, avec l’obligation pour le premier sous-traitant d’obtenir du responsable une autorisation générale ou spécifique de sous-traiter une partie de ses missions.

La Commission précise ensuite les modalités de l’assistance apportées par le sous-traitant au responsable du traitement et revient sur les notifications des violations de données, en apportant des précisions sur le contenu de la notification.

Pour les responsables du traitement et les sous-traitants qui utilisent actuellement d’anciennes séries de clauses contractuelles types, une période de transition de 18 mois est prévue.

Jessica EYNARD, Maître de conférences en droit, Directrice des études du Master 2 Droit et numérique (UT1 Capitole)
Marine MONTEIL, Docteur en droit

Cet article est issu de Solution Compliance et éthique des affaires.

Pour tester gratuitement Solution Compliance et éthique des affaires pendant 2 semaines, cliquez ici.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

1 vote

LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs