Suite aux débats autour la décision de la CJCE dans l’affaire Schrems II (affaire C-311/18) en ce qui concerne le bouclier de protection des données américain (Privacy Shield), l’efficacité de l’utilisation des clauses contractuelles types (SCC) en tant que mécanisme de transfert de données international conforme au RGPD en vertu de son article 46 avait également été remis en cause.
À la suite des lignes directrices du CEPD sur le niveau de protection adéquat et de mesures supplémentaires garantissant le niveau de protection des données dans l’UE, il était évident que la simple conclusion de clauses types ne pouvait plus être considérée comme suffisante et que les exportateurs européens de données devraient auditer, au cas par cas, la plupart de leurs importateurs de données non EEE, par le biais d’analyses d’impact supplémentaires afin d’évaluer si lesdits importateurs de données seraient en mesure de se conformer effectivement aux clauses standard, en fonction des garanties offertes ou des risques présentés par la cadre national en cause.
En date du 12 novembre 2020, la Commission européenne avait publié un projet de clauses types pour consultation publique. Les nouvelles clauses type ont été adoptés aujourd’hui (voir le site Internet de la Commission européenne).
Le nouvel ensemble de clauses types introduit quatre jeux de clauses régissant les transferts de responsable du traitement vers responsable du traitement, de responsable du traitement vers sous-traitant, de sous-traitant vers sous-traitant et de sous-traitant vers responsable du traitement, permettant aux exportateurs de données d’apporter une nouvelle sécurité juridique à leurs transferts de données après le bouleversement apportés à la suite de la décision Schrems II.
Les nouvelles clauses types introduisent de nouvelles garanties et formalisent l’analyse d’impact introduite par les orientations précédentes du CEPD. Les exportateurs de données peuvent s’appuyer sur les clauses types mais vont devoir évaluer au préalable s’ils devront mettre en place des mesures techniques, organisationnelles ou contractuelles supplémentaires, en fonction de la législation du pays tiers importateur de données concerné, n’offrant pas les garanties appropriées et un niveau suffisant et efficace de protection des données selon les standards de l’UE.
La décision de la Commission européenne entrera en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Mise à jour 08.06.2021
La Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil vient d’être publiée dans le Journal Officiel du 7 juin 2021.
Les anciennes décisions 2001/497/CE et 2010/87/UE relatives aux clauses standard sont abrogées avec effet au 27 septembre 2021.
Les contrats conclus avant le 27 septembre 2021 sur base de ces décisions et les anciennes clauses contractuelles types sont réputées offrir des garanties appropriées au sens de l’article 46, paragraphe 1, du RGPD jusqu’au 27 décembre 2022, pour autant que les opérations de traitement faisant l’objet du contrat demeurent inchangées et que l’invocation de ces clauses garantisse que le transfert de données à caractère personnel est soumis à des garanties appropriées.
Est publiée en parallèle la Décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil contenant des clauses contractuelles types pouvant régir les relations entre un responsable du traitement et son sous-traitant ainsi qu’entre un sous-traitant et un sous sous-traitant, situations visées aux articles 28, §§3 et 4, du RGPD.
Vous avez des questions? Contactez-nous ip@neoviaq.eu.