Les nouvelles clauses contractuelles types sont arrivées !

Le 4 juin 2021, la Commission européenne a adopté une décision d'exécution introduisant de nouvelles clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du Règlement général sur la protection des données (RGPD) (annexe de la décision d'exécution de la Commission) .

Les transferts de données hors de l’Espace économique européen supposent la mise en place de garanties destinées à s’assurer que le haut niveau de protection des personnes physiques garanti par le RGPD ne soit pas compromis. Aussi, les transferts de données peuvent avoir lieu vers des pays bénéficiant d’une décision d’adéquation (tels que Canada, Japon, Israël, Suisse …) ou présenter des garanties appropriées, qui peuvent être matérialisées par des « clauses types de protection des données » (RGPD, art. 46, § 2, c)).

L’efficacité de l’utilisation des clauses contractuelles types, publiées en 2001 et 2010, en tant que mécanisme de transfert de données vers des pays tiers conforme au RGPD avait été remise en cause suite à la décision de la Cour de justice de l’Union européenne dans l’affaire Schrems II (affaire C-311/18). La publication de nouvelles clauses types a pour objet :

• d’une part de tenir compte de l’entrée en vigueur du RGPD en 2018 ;

• d’autre part de renforcer le niveau de protection attendu de l’importateur.

Ces nouvelles clauses types prennent en compte les recommandations du CEPD (comité européen à la protection des données) sur les mesures supplémentaires à mettre en œuvre, permettant de garantir le niveau de protection des données dans l’UE en cas de transfert. Elles formalisent notamment les garanties devant être mises en œuvre et l’analyse d’impact qui doit être réalisée par tout exportateur de données vers un importateur non soumis au RGPD. La Commission européenne encourage également les exportateurs et importateurs à prévoir des garanties supplémentaires venant compléter les clauses types (par exemple chiffrement de bout en bout, habilitation stricte…).

Les exportateurs ont l’obligation de réaliser une évaluation préalable des règles applicables dans le pays de l’importateur afin de s’assurer que ce dernier est en mesure de respecter les clauses types et, le cas échéant, mettre en œuvre des mesures techniques et organisationnelles supplémentaires afin de garantir un niveau de protection des données efficace et suffisant au regard des exigences du droit de l’Union européenne.

Il existe trois jeux de clauses contractuelles types qui peuvent s'adapter aux différents contexte :

• clause contractuelle type de responsable du traitement vers sous-traitant ;

• clause contractuelle type de sous-traitant vers sous-traitant ;

• clause contractuelle type de sous-traitant vers responsable du traitement.

La Commission européenne a ainsi précisé que ces jeux de clauses doivent permettre de s’adapter à toutes les situations, en permettant notamment à plusieurs acteurs de contractualiser à partir des mêmes clauses.

La décision de la Commission européenne entre en vigueur 20 jours après sa publication au journal officiel de l’Union européenne. Les anciennes clauses contractuelles types seront abrogées 3 mois après cette date et les anciennes clauses types resteront en vigueur 15 mois supplémentaires pour les contrats conclus antérieurement à condition que les traitements faisant l’objet du contrat restent inchangés.