Le CEPD et l’EDPS publient un avis conjoint sur les clauses contractuelles types

Il s’agit de la première fois en dix ans que la Commission publie une nouvelle série de clauses pour le transfert de données personnelles à partir de l’EEE.

La dernière série de clauses contractuelles types (CCT) étaient fondées sur la nature de l’importateur des donnes : c’est-à-dire, de sa qualitè de sous-traitant ou de responsable du traitement.

En revanche, les nouvelles clauses contractuelles types adoptent une approche modulaire combinée à une disposition générale permettant de répondre à quatre scénarios de transfert différents, tout en distinguant les responsabilités au titre de ces clauses.

Les nouvelles CCT remplaceront les CCT précédents qui ont été adoptées avec la directive 95/46 et devaient être mises à jour pour les rendre conformes aux exigences du RGPD, ainsi que pour répondre à l’arrêt Schrems II de la CJUE.

Les modules des nouvelles CCT sont les suivants :

• Module 1 : Transfert de données entre responsables du traitement européens et responsables du traitement étrangers ;

• Module 2 : Transfert de données entre responsables du traitement européens et sous-traitants étrangers ;

• Module 3 : Transfert de données entre sous-traitants européens et étrangers ;

• Module 4 : Transfert de données entre sous-traitant européen et responsables du traitement étranger.

Les responsables du traitement et les sous-traitants doivent choisir le module le plus adapté selon leur activité et transfert de données.

La section II des nouvelles CCT concerne les obligations des parties et comprend neuf clauses. La clause 1 est très importante dans la mesure où elle définit les garanties en matière de protection des données. Il s’agit de dispositions qui protègent les données à caractère personnel transférées hors de l’EEE.

Ces mesures de protection des données comprennent :

Finalité : l’importateur ne doit pas utiliser les données à des fins incompatibles avec les objectifs de l’entreprise.

Transparence : l’importateur doit informer la personne concernée de son identité et de ses destinataires.

Exactitude : les parties doivent veiller à ce que les données soient exactes, pertinentes et limitées à ce qui est nécessaire.

Conservation : l’importateur ne conservera pas les données au-delà de la période nécessaire à l’exploitation.

Sécurité : l’importateur (et l’exportateur pendant la transmission) doit mettre en œuvre des mesures organisationnelles et techniques appropriées.

Données spéciales : l’importateur doit appliquer des restrictions et des protections spécifiques.

Transferts ultérieurs : les données ne peuvent être transférées à un tiers que si celui-ci accepte d’être soumis aux CCT

Traitement sous l’autorité de l’importateur : l’importateur doit s’assurer que toute personne agissant sous son autorité n’agit que sur ses instructions

Documentation : les parties doivent être en mesure de prouver qu’elles respectent les CCT, de conserver la documentation appropriée et de la mettre à la disposition des autorités de surveillance sur demande

Avec le dernier avis conjoint du CEPD et du EDPS, qui fait l’objet d’une consultation publique, on pourrait avoir de CCT qui couvrent tous les types de transferts de données et qui offrent des solutions aux exportateurs hors EEE, qui n’étaient pas considérés dans le cadre des CCT antérieurs.