Transfert de données hors UE : la Commission européenne se prononce enfin !

Transfert de données hors UE : la Commission européenne se prononce enfin !

Transfert de données hors UE : la Commission européenne se prononce enfin ! 960 640 Optimex Data

Optimex Data revient sur l’adoption par la Commission européenne de la décision introduisant les nouvelles Clauses Contractuelles type RGPD.

Clauses Contractuelles type RGPD

Comme vous le savez déjà, le Privacy Shieldl’accord qui permettait depuis 2016 de transférer des données personnelles entre les Etats-Unis et l’Union européenne ; fut invalidé par la CJUE l’année dernière. De nouvelles règles encadrant les transferts de données vers des pays tiers étaient alors très attendues et aujourd’hui nous pouvons vous l’affirmer : les nouvelles clauses contractuelles types – CCT sont arrivées !

En effet, le 4 juin 2021 la Commission européenne a adopté une décision d’exécution introduisant de nouvelles CCT pour le transfert de données à caractère personnel vers des pays tiers. L’objectif de ces dernières est d’offrir des garanties appropriées en matière de protection des données pour les transferts internationaux de données. En ce sens, il en tient de la responsabilité des exportateurs de donnéesEx : société française, et des importateurs de donnéesEx : société américaine, d’inclure au sein des contrats les liant, des CCT comme celles énoncées par la Commission européenne ; et d’en ajouter des supplémentaires s’ils le souhaitent, pourvu qu’elles ne se contredisent pas.

La décision d’exécution rendue par la Commission européenne…

…vise donc à moderniser les clauses contractuelles types déjà existantes au 15 juin 2001 et au 5 février 2010 de manière à être adaptées aux nouvelles exigences du RGPD et à l’évolution de l’économie numérique.

En ce sens, vous pouvez (en tant que responsable de traitement ou sous-traitant) utiliser ces nouvelles CCT présentes dans l’annexe de cette décision. Il conviendra de choisir le module adapté à votre situation :

  1. Transfert de responsable du traitement à responsable du traitement
  2. Transfert de responsable du traitement à sous-traitant
  3. Transfert de sous-traitant à sous-traitant
  4. Transfert de sous-traitant à responsable de traitement

En réponse à l’invalidation du Privacy Shield…

… et lorsque la législation du pays tiers ne permet pas le respect du niveau de protection requis par l’Union Européenne – par exemple les Etats autorisant les autorités publiques à prendre connaissance des données personnelles traitées, la Commission prévoit de nouvelles contraintes :

  • Une évaluation de la législation du pays tiers en matière de divulgation et d’accès aux données par des autorités publiques ;
  • Une obligation de notification pour l’importateur en cas d’accès ou demande d’accès juridiquement contraignantes par les autorités publiques ;
  • Une obligation pour l’importateur de contrôler la légalité de la demande de divulgation.

Mais de combien de temps disposez-vous pour mettre en place ces nouvelles clauses ?

La décision de la Commission européenne entre en vigueur 20 jours après sa publication au journal officiel de l’Union européenne – publication au JO :  7 juin 2021. Les anciennes clauses contractuelles types – de 2001 et 2010, seront dès lors abrogées 3 mois après cette date ; soit vers fin septembre ou courant d’octobre 2021.

  • Concernant les contrats conclus antérieurement à cette décision: ils auront 18 mois pour être mis à jour – soit au plus tard fin 2022 ou début 2023 ; conformément aux nouvelles clauses – à condition que les traitements faisant l’objet du contrat restent inchangés.
  • Concernant les nouveaux contrats: il conviendra d’utiliser ces nouvelles clauses contractuelles types.

C’est à vous de jouer !

Call Now Button