Cet article de blog approfondit les recommandations du CEPD suite à l’arrêt Schrems II et les nouvelles clauses contractuelles types (CCT).
Regardez la discussion maintenant : réaction face aux retombées de Schrems II et analyse des nouvelles directives du CEPD
Un guide sur les nouvelles CCT
Pour la première fois en dix ans, la commission a publié un nouvel ensemble de CCT pour le transfert de données à caractère personnel depuis l’EEE. On ne sait pas encore quand ces nouvelles CCT seront appliquées et adoptées. Contrairement aux deux ensembles de CCT actuels, qui sont basés sur le fait que l’importateur est un sous-traitant ou un responsable du traitement, les nouvelles CCT adoptent une approche modulaire combinée à une disposition générale pour répondre à quatre scénarios de transfert différents et distinguer les responsabilités au regard des CCT dans les cas suivants :
Module 1 : transfert de responsable du traitement à responsable du traitement
- Ce module est basé sur le scénario d’un transfert de données entre deux responsables du traitement
Module 2 : transfert d’un responsable du traitement à un sous-traitant
- Ce module est basé sur le scénario d’un transfert de données entre un responsable du traitement et un sous-traitant
Module 3 : transfert de sous-traitant à sous-traitant ultérieur
- Ce module est basé sur le scénario d’un transfert de données entre un sous-traitant et un sous-traitant ultérieur
Module 4 : transfert d’un sous-traitant à un responsable du traitement
- Ce module est basé sur le scénario d’un transfert de données entre un sous-traitant et un responsable du traitement
Bien que cela n’est pas encore totalement entériné, il semble que les responsables du traitement et les sous-traitants devront choisir le module le mieux adapté à leur situation. La commission indique que cette possibilité permet aux parties d’adapter leurs obligations en vertu des présentes CCT à leurs rôles et responsabilités spécifiques.
Ces CCT sont complexes car on cherche à documenter les données pour différents scénarios de transfert de données avec des clauses différentes s’appliquant à chaque situation. Les sociétés vont devoir travailler avec la version préliminaire des CCT et déterminer ce qui s’applique à elles.
Lire le blog : décision Schrems II : le CEPD publie ses recommandations
Les nouvelles CCT et les garanties de protection des données
La section II des nouvelles CCT concerne l’obligation des parties et comprend neuf clauses. La 1ère clause est essentielle car elle définit les garanties pour la protection des données. Ces garanties protègent les données à caractère personnel qui sortent de l’EEE. La 1ère clause commence par la garantie de l’exportateur qu’il a déployé des efforts raisonnables pour déterminer si l’importateur est en mesure de satisfaire aux exigences des CCT. Cela renvoie à l’analyse d’impact du transfert de données qui est un élément clé des recommandations du CEPD que nous avons déjà évoquées.
Ces garanties de protection des données concernent :
- La finalité : l’importateur ne doit pas utiliser les données à des fins incompatibles avec la finalité annoncée
- La transparence : l’importateur doit informer la personne concernée de son identité et des destinataires des données
- La précision : les parties doivent garantir que les données sont exactes, pertinentes et limitées à ce qui est nécessaire
- Le stockage : l’importateur ne conservera pas les données plus longtemps que nécessaire
- La sécurité : l’importateur (et l’exportateur pendant la transmission) doit mettre en œuvre des mesures organisationnelles appropriées
- Les données particulières : l’importateur doit appliquer des restrictions et garanties spécifiques
- Les transferts ultérieurs : les données ne peuvent être transférées à une tierce partie que si celle-ci accepte de respecter les CCT
- Les traitements sous l’autorité de l’importateur : l’importateur doit garantir que toute personne agissant sous son autorité agit uniquement suivant ses instructions
- La documentation : les parties doivent être en mesure de démontrer qu’elles respectent les CCT, qu’elles conservent la documentation appropriée et la mettent à la disposition des autorités de contrôle sur demande
Il est important de noter que l’application de ces garanties est différente pour chaque module.
Lire le blog : Schrems II - Gestion des transferts internationaux
Dernières réflexions sur les nouvelles CCT et recommandations du CEPD
Disposer maintenant de CCT qui couvrent tous les types de transferts de données et de solutions pour les exportateurs hors-EEE constitue une avancée positive. La plus grande question à prendre en compte maintenant est : les entreprises vont-elles attendre que les nouvelles CCT soient finalisées avant de les adopter pleinement pendant la période de déclassement des anciennes directives des clauses contractuelles types ?
