Cybersécurité
Actualités juridiques
Affaires juridiques
La Commission européenne a soumis à contribution du public jusqu’au 10 décembre 2020 deux projets de clauses contractuelles types, d’une part, un projet de mise à jour des clauses contractuelles types concernant les transferts de données à caractère personnel vers un pays tiers, et d’autre part un projet instaurant des clauses contractuelles types concernant la sous-traitance de données personnelles.
Concernant les transferts de données personnelles vers un pays tiers
Le projet de clauses contractuelles types relatives aux transferts de données personnelles vers des pays tiers adopte une approche combinée entre des clauses d’application générales et des modules optionnels afin de s’adapter aux différents scenarios et chaines de traitements.
Il tient notamment compte des conséquences de l'arrêt Schrems II[1], puisque la Clause 3 (Obligations of the data importer in case of government access requests) prévoit entres autres de nouvelles obligations pour l'importateur de données soumis à une demande d'accès de la part de son gouvernement. Ainsi, il aura par exemple l’obligation de notifier une telle demande à l’exportateur de données, de vérifier la légalité de la demande, de la contester si nécessaire et de minimiser les données auxquelles le gouvernement pourra accéder, le cas échéant.
Le projet de décision, qui s'appliquera dès son adoption, introduit une période de transition d'un an pendant laquelle les anciennes clauses[2] restent valides, à condition que le contrat reste inchangé.
Concernant la relation entre responsable du traitement et sous-traitant
Pour la première fois depuis l’entrée en vigueur du Règlement général sur la protection des données[3] (ci-après, « RGPD »), la Commission propose l’instauration de clauses contractuelles types à utiliser dans le cadre des relations contractuelles entre un responsable de traitement de données personnelles et son sous-traitant[4].
Ces clauses sont complétées par une série d’annexes relatives, entre autres, à la description du traitement, aux mesures techniques et organisationnelles destinées à assurer la sécurité des données, aux instructions du responsable de traitement relatives au traitement et à la liste des sous-traitants.
[1] arrêt la Cour de Justice de l’Union européenne du 16 juillet 2020 rendu dans l’affaire C?311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland: dans lequel la Cour de Justice de l’Union européenne a invalidé le bouclier de protection des données (ci-après, le « Privacy Shield ») mis en place entre l'Union européenne et les États-Unis et a par ailleurs affirmé que le transfert de données personnelles vers des pays tiers devait être interrompu lorsque les exigences des clauses contractuelles types n'étaient pas remplies.
[2] La décision 2010/87 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers et la décision modifiée 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/C seront ensuite abrogées.
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[4] Pour mémoire, à ce jour, la CNPD renvoie vers les exemples de clauses proposés par la CNIL, antérieurs à l’entrée en vigueur du RGPD.