Votre société exporte des données personnelles vers des pays hors de l’Union Européenne (« UE ») ? Ne passez pas à côté des nouvelles clauses contractuelles types de la Commission Européenne.
Pour rappel, le transfert de données personnelles hors de l’UE est encadré.
En effet, un tel transfert ne peut être mis en œuvre que si le pays destinataire assure un niveau de protection équivalent à celui offert par le Règlement Général sur la Protection des Données (« RGPD ») grâce notamment à une décision d’adéquation adoptée par la Commission Européenne. Une telle décision autorise de façon générale les transferts de données personnelles vers le pays concerné.
Sans décision d’adéquation en faveur du pays dans lequel elle est établie, la société qui reçoit des données personnelles, doit présenter des garanties appropriées. Dans ce cadre, elle peut s’engager contractuellement à respecter les principes du RGPD. A cette fin, la Commission Européenne propose des clauses contractuelles types (« CCT »), qui comportent l’ensemble des obligations attendues pour présenter des garanties équivalentes à la protection offerte par le RGPD.
Le 4 juin 2021, la Commission Européenne a mis à jour ses modèles de CCT pour apporter des garanties suffisantes au regard du RGPD.
Il faut retenir que les nouvelles CCT :
- couvrent de plus nombreuses hypothèses de transfert de données que les anciennes, notamment pour les sous-traitants dans l’UE ;
- sont structurées par modules pour encadrer les différentes situations.
Les anciennes CCT seront abrogées le 27 septembre 2021 mais une période transitoire de 15 mois sera mise en place jusqu’au 27 décembre 2022. Durant cette période, les exportateurs et importateurs de données pourront continuer à invoquer les anciennes clauses pour les contrats déjà signés.
Pour vos nouveaux contrats, il est d’ores et déjà recommandé d’utiliser les nouvelles CCT.
Pour vos contrats en cours, vous pouvez maintenir les anciennes CCT mais devrez entamer des négociations pour intégrer les nouvelles CCT avant le 27 décembre 2022.
La conformité au RGPD implique également la mise en place d’une documentation contractuelle. Si elle est inexistante ou inadaptée, le risque de sanctions est fort. Récemment, la société Monsanto a été condamnée par la CNIL à une amende administrative de 400.000 € notamment pour manquement à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués pour son compte par son sous-traitant.
Dune vous accompagne si vous avez des questions pour appliquer dans vos contrats les nouvelles CCT ou, plus généralement, pour toute question sur la conformité au RGPD.