Dans un monde de plus en plus numérisé et connecté, les transferts de données sont devenus routiniers et fondamentaux pour le bon fonctionnement de l’activité de traitement enregistré dans un registre rgpd spécifique dans le contexte des entreprises et de l’administration.
Les clauses contractuelles
Les clauses contractuelles types (CCT) sont des ensembles de conditions contractuelles types auxquelles l’expéditeur et le destinataire de données à caractère personnel souscrivent tous deux. Elles visent à protéger les données à caractère personnel qui quittent l’Espace économique européen (EEE) par des obligations contractuelles conformes aux exigences de la loi RGPD sur des territoires qui ne sont pas considérés comme offrant une protection adéquate des droits et libertés des personnes concernées. Les CCT sont particulièrement importants dans le domaine de la protection des données en contribuant à une approche harmonisée qui concerne le traitement transfrontalier ou le traitement qui affecte la libre circulation des données à caractère personnel ou des personnes physiques au sein de l’EEE lui-même, ce qui permet une mise en œuvre cohérente des dispositions spécifiques du RGPD.
Ces clauses visent à fournir des garanties appropriées pour les transferts internationaux de données en vertu de l’article 46 du RGPD, à condition que les CCT soient adoptées intégralement et sans modification. Leur adoption n’empêche pas non plus au responsable du traitement ou au DPO de les inclure dans un contrat plus large et/ou d’inclure des garanties supplémentaires ou d’autres clauses, à condition que cela se fasse sans contrevenir, directement ou indirectement, aux CCT ou aux droits des personnes concernées.
À ce jour, la Commission européenne a publié trois séries de CCT, dont deux sont destinées aux transferts de données des responsables du traitement de l’UE vers des responsables du traitement de pays tiers : Ensemble I, la décision 2001/497/CE, dans laquelle les deux parties engagent leur responsabilité conjointe et solidaire pour les obligations en matière de protection des données et Ensemble II, la décision 2004/915/CE, qui est considérée comme étant plus favorable aux entreprises en raison de son développement en coopération avec différentes associations professionnelles. D’autre part, le troisième ensemble, est utilisé pour les transferts de données des responsables du traitement de l’UE vers des sous-traitants de pays tiers, et ils permettent la possibilité d’externaliser des activités à un sous-traitant secondaire, si cela assure un niveau approprié de protection des droits et libertés des personnes concernées.
Les principaux avantages
L’un des principaux avantages des CCT, encore non actualisés, est qu’ils sont faciles à utiliser et qu’ils suppriment pratiquement la nécessité de négocier des conditions contractuelles individuelles ou d’adopter des règles d’entreprise contraignantes, autre méthode de transfert de données vers un pays tiers qui a été marginalement adoptée dans la pratique. On estime que seules 136 entreprises ont entamé la procédure d’adoption de règles d’entreprise contraignantes.
En outre, les règles d’entreprise contraignantes contiennent des clauses réglementant le transfert et le traitement des données à caractère personnel qui sont réputées être conformes au RGPD. Compte tenu du fait qu’elles doivent être adoptées de manière inaltérée et complète pour offrir la protection requise aux personnes concernées, la norme légale de protection des données ne peut être modifiée négativement au cours des négociations entre les parties. Leur adoption crée effectivement une base contractuelle pour les transferts entre les responsables de traitement exportateurs de données et les responsables de traitement importateurs de données, quelle que soit leur relation individuelle, tout en assurant le respect des obligations légales de ces entités et en prévoyant des garanties effectives pour la personne concernée, quel que soit le lieu où l’activité de traitement peut finalement avoir lieu.
Pour en savoir plus sur la protection des données personnelles et la conformité au RGPD, consultez notre page dédiée à : avocat spécialisé RGPD.