Clauses contractuelles types
Si une entreprise souhaite transférer des données à caractère personnel vers un pays tiers en dehors de l'Union européenne ou de l'Espace économique européen, elle a besoin, en plus de la base juridique pour le traitement des données, d'une garantie de protection des données pour le transfert de données. En l'absence d'une décision d'adéquation de la Commission européenne, les clauses contractuelles types de l'UE, également connues sous le nom de clauses standard de protection des données de la Commission européenne (en abrégé "SCC" pour Standard Contractual Clauses), sont donc utilisées depuis des années. Ces documents, qui ont maintenant 25 ans, ont été mis à jour.
Cet article a pour but de répondre aux questions qui se sont posées dans ce contexte et d'offrir ainsi une aide pour une utilisation des nouvelles clauses conforme à la protection des données.
Si vous avez d'autres questions ou si vous avez besoin d'aide pour effectuer les adaptations nécessaires, n'hésitez pas à nous contacter.
Quand mon entreprise a-t-elle besoin de SCC ?
Dès qu'une entreprise, en tant que responsable du traitement et/ou sous-traitant, transfère des données à caractère personnel vers un pays dit "tiers", des garanties de protection des données à caractère personnel sont nécessaires conformément aux articles 44 et suivants du RGPD. RGPD, des garanties appropriées pour la protection de ces données sont nécessaires afin d'assurer que le niveau de protection des données des personnes physiques garanti par le RGPD ne soit pas compromis.
Dans la mesure où il n'existe pas de décision d'adéquation de la Commission européenne pour le pays tiers, les CCN seront le plus souvent un élément essentiel à cet effet.
Comme l'a clairement montré l'arrêt Schrems II de la Cour de justice des Communautés européennes (arrêt du 16.07.2020, affaire C 311/18), les dispositions des articles 44 et suivants du RGPD ne sont pas suffisantes. RGPD ne suffisent toutefois pas à eux seuls. Il convient plutôt de se pencher sur la situation en matière de protection des données dans le pays destinataire et d'examiner et de déterminer quelles autres mesures techniques et organisationnelles (cryptage, anonymisation, pseudonymisation) sont nécessaires en plus pour chaque cas.
L'un des résultats possibles d'une telle évaluation des risques peut également être la décision de ne pas procéder au transfert de données prévu et de trouver à la place une solution européenne.
En quoi les nouveaux SCC sont-ils différents des anciens ?
Les anciennes clauses contractuelles types datent de 1996. Les nouvelles CSC ont désormais été adaptées au texte et aux exigences du RGPD.
Les nouveaux CCC ont une structure modulaire et offrent beaucoup plus de possibilités d'adaptation individuelle, mais aussi plus de travail avant de pouvoir être utilisés pour le transfert de données en question. Alors qu'avec les SCC précédents, le travail d'adaptation s'arrêtait généralement au moment où les données relatives aux deux parties contractantes étaient complétées, avec les nouveaux SCC, c'est seulement à ce moment-là que commence la rédaction proprement dite des clauses contractuelles.
Dans les nouvelles CCN, pour la première fois, d'autres entités peuvent adhérer à un contrat conclu sur la base des clauses contractuelles types en tant qu'importateurs ou exportateurs de données.
Jusqu'à présent, il manquait des clauses pour la constellation "sous-traitant et sous-traitant ultérieur". Les nouvelles clauses contractuelles types sont modulaires et donc applicables à un plus grand nombre de contrats qu'auparavant et incluent également les contrats au niveau des relations de sous-traitance.
Si des prestataires de services traitent des données sur instruction d'une entreprise, il s'agit alors d'un traitement de commande au sens du RGPD. Dans ce cas, un contrat de sous-traitance (en abrégé "CCS") doit être conclu. Les nouvelles clauses contractuelles types correspondent désormais en même temps aux exigences d'un contrat de sous-traitance. Cela signifie que si un contrat est conclu sur la base des clauses contractuelles types, il n'est plus obligatoire de conclure un contrat de sous-traitance supplémentaire.
En particulier, les clauses 14 et 15 de la nouvelle CSC contiennent des mesures de sécurité spécifiques qui correspondent à certains des ajouts déjà proposés par les autorités de protection des données et le Comité européen de protection des données ("EDSA") aux anciennes clauses contractuelles types afin de répondre aux exigences de l'arrêt Schrems II.
Il est désormais heureusement stipulé dans les nouvelles CSC que celles-ci prévalent et remplacent les éventuelles clauses contractuelles ou conditions générales contradictoires (section I, clause 5).
Dans la section II, le chapitre 12 contient des clauses de responsabilité modulaires et établit (avec la règle de la primauté de la CCN) le principe selon lequel la responsabilité des parties contractantes ne peut pas être limitée, par exemple, par des clauses de non-responsabilité externes dans les conditions générales.
Les parties contractantes peuvent maintenant spécifier dans la section IV (clauses 17 et 18) l'application d'un droit national spécifique et la juridiction compétente (au sein de l'UE). Par exemple, il est possible de spécifier que le droit allemand s'applique même si les clauses contractuelles types sont conclues par une filiale en Italie.
Compte tenu des discussions en cours sur les transferts de données vers les États-Unis ou d'autres pays tiers, l'importateur de données s'engage notamment, dans la clause 15, à
- de faire tout ce qui est en son pouvoir pour lever l'interdiction d'informer l'exportateur de données/la personne concernée. L'objectif doit être de pouvoir communiquer le plus d'informations possible et le plus rapidement possible. L'importateur de données s'engage donc à documenter ses efforts afin de pouvoir les prouver à la demande de l'exportateur de données.
- de vérifier la légalité de la demande de divulgation, en particulier si la demande s'inscrit dans le cadre des pouvoirs conférés à l'autorité requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de croire que la demande est contraire à la législation du pays de destination, est illégale au regard des obligations internationales applicables et des principes de la "courtoisie internationale" (actes, pratiques et règles observés dans les relations internationales entre États en raison de leur souveraineté fondée sur l'amitié, le voisinage et le respect mutuel). Dans les conditions susmentionnées, l'importateur de données doit exercer les recours possibles. Lorsqu'il conteste une demande, l'importateur de données obtient des mesures provisoires pour suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente se soit prononcée sur son bien-fondé. Il ne divulgue les données à caractère personnel demandées que lorsque les règles de procédure applicables l'exigent.
Cette obligation peut entraîner des coûts considérables pour l'importateur de données (si des décisions de divulgation sont effectivement prises).
Les deux parties s'engagent, à la clause 14, à avoir dûment pris en compte, notamment, les aspects suivants :
- les circonstances particulières du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés, les transferts ultérieurs de données envisagés, le type de destinataire, les finalités du traitement, les catégories et le format des données à caractère personnel transférées, le secteur économique dans lequel le transfert a lieu, l'emplacement des données transférées,
- les lois et pratiques du pays tiers de destination pertinentes au vu des circonstances particulières du transfert (y compris celles qui imposent la divulgation de données aux autorités publiques ou autorisent l'accès de celles-ci à ces données), ainsi que les restrictions et garanties applicables
- toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant le transfert et le traitement des données à caractère personnel dans le pays de destination.
Ces trois points doivent donc être pris en compte, en particulier pour les transferts vers des pays tiers, dans le cadre de l'évaluation des risques et de la réflexion, et cela doit être documenté.
Puis-je réutiliser les anciens SCC ?
Si vous êtes en train de négocier un contrat et qu'une renégociation des nouveaux CCC entraînerait des retards, vous pouvez encore utiliser les anciens CCC jusqu'au 27 septembre 2021. Ceux-ci devraient toutefois être remplacés par les nouveaux CCC au plus tard le 27 décembre 2022.
À partir du 27 septembre 2021, les nouveaux CCN devront être utilisés sans exception.
Combien de temps puis-je utiliser d'anciens SCC ?
Pour tous les nouveaux contrats conclus, les nouvelles clauses contractuelles types devront être prises en compte à partir du 27 septembre 2021. Jusqu'à cette date, les anciens CCC pourraient encore être utilisés, mais ils devraient alors être remplacés par les nouveaux CCC au plus tard le 27 décembre 2022.
J'ai un contrat avec d'anciens SCC. Dois-je les remplacer par les nouveaux ?
Oui, le remplacement des anciens CCN par les nouveaux CCN doit être effectué au plus tard le 27 décembre 2022. Dans la mesure où le contrat se termine avant cette date, le remplacement n'est donc pas obligatoire.
En cas de modification pertinente du contrat, l'exportateur de données doit immédiatement profiter de l'occasion pour remplacer le CCN existant par le nouveau. Par exemple, en cas de sous-traitance d'opérations de traitement faisant l'objet du contrat à un sous-traitant.
Quand dois-je remplacer les anciens SCC par les nouveaux ?
Pour les contrats déjà existants, le remplacement doit avoir lieu dans les 18 mois, c'est-à-dire au plus tard le 27 décembre 2022. Si le contrat correspondant ou le traitement prend fin avant cette date, le remplacement n'est donc pas obligatoire.
Que faire si mon contractant ne souhaite pas mettre à jour la CSC ?
En particulier, si la coopération et l'échange de données qui en découle avec le cocontractant doivent se poursuivre au-delà du 27 décembre 2022, il convient d'informer le cocontractant des risques juridiques (voir point 3.9) et de s'enquérir des raisons concrètes de son refus.
Après 25 ans de bons et loyaux services, les anciens CCN ne sont plus adaptés et ne sont guère en mesure de répondre aux différentes configurations contractuelles dans un format et une individualité actuels. Les nouvelles CSC répondent mieux aux défis actuels et aident les parties contractantes à concevoir des transferts vers des pays tiers conformes à la protection des données. Ainsi, la mise à jour des CSC serait dans l'intérêt des deux parties.
Si le partenaire contractuel refuse malgré tout, il serait judicieux de réévaluer le maintien de la poursuite de la relation contractuelle en tenant compte des risques supplémentaires qui en découlent pour l'entreprise elle-même.
Avec qui les CCC doivent-ils être conclus ?
Dès qu'un transfert de données vers un pays en dehors de l'UE / de l'EEE doit avoir lieu, les nouveaux CCS doivent être conclus entre les parties concernées.
Les nouveaux SCC prévoient à cet égard quatre constellations de traitement différentes (modules), qui doivent être sélectionnées en conséquence dans les SCC :
- Module un C2C contrôleur à contrôleur
Transfert d'un responsable du traitement (dans l'UE) à un autre responsable du traitement (dans un pays tiers) - Module deux C2P contrôleur à processeur
Transfert du responsable du traitement (dans l'UE) au sous-traitant (dans un pays tiers) - Module trois P2P Processeur à processeur
Transfert d'un sous-traitant (dans l'UE) à un autre (sous-)traitant (dans un pays tiers) - Module Quatre Processeur à contrôleur P2C
Transfert d'un sous-traitant (dans l'UE) vers le responsable du traitement (dans un pays tiers)
Puis-je adapter ou supprimer des clauses dans les CSC ?
Les nouveaux SCC sont modulaires et doivent être adaptés individuellement dans le cadre des modules disponibles.
Aucune autre modification ou suppression ne peut être effectuée, à l'exception de la sélection du ou des modules concernés ou de l'ajout ou de la mise à jour d'informations dans l'annexe.
Mais les clauses contractuelles types peuvent être incluses dans un contrat plus large (par exemple en annexe). En outre, d'autres clauses ou garanties supplémentaires peuvent être ajoutées, pour autant qu'elles ne soient pas directement ou indirectement en contradiction avec les autres dispositions de la CCP ou qu'elles ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées, comme par exemple les droits des personnes concernées (articles 15-22 et suivants du RGPD).
Dans quelle langue dois-je utiliser les nouveaux SCC ?
La nouvelle version du SCC est disponible sur https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=en est disponible dans toutes les langues européennes et peut être utilisé en conséquence. Nous vous recommandons d'utiliser la version linguistique que vous utilisez le plus souvent dans votre communication avec la partie contractante concernée ou la langue dans laquelle vous avez rédigé les autres documents contractuels.
Si vous souhaitez utiliser deux versions linguistiques en parallèle (par exemple, l'anglais pour votre cocontractant au Royaume-Uni et l'allemand pour votre exemplaire), il est judicieux de désigner l'un des deux documents qui prévaudra en cas de discussion sur l'interprétation.
Dois-je remettre les nouveaux CSC aux personnes concernées ?
Comme c'était le cas jusqu'à présent, l'article 13, paragraphe 1, point f), du RGPD exige que soit portée à la connaissance de la personne concernée "une référence aux garanties appropriées ou adéquates et à la possibilité d'en obtenir une copie ou à l'endroit où elles sont disponibles". Par exemple :
Dans les cas où les données sont transférées en dehors de l'UE, nous avons conclu des clauses contractuelles standard européennes correspondantes. Vous pouvez nous demander une copie de ces clauses par e-mail à SCC-Kopie@unternehmen.de ou les trouver sur notre site web à l'adresse www.unternehmen.de/scc.
Puis-je désormais transférer des données à caractère personnel vers des pays tiers, comme les États-Unis, sans mesures supplémentaires, grâce aux nouvelles CCP ? Puis-je renoncer à des mesures de protection supplémentaires ?
Non. La situation en matière de protection des données dans le pays destinataire doit être évaluée dans le cadre d'une évaluation des risques obligatoire et des mesures de protection appropriées doivent être définies sur cette base, ou le traitement des données ne doit en principe pas avoir lieu, notamment selon l'avis du président de la conférence sur la protection des données.
Quel risque court mon entreprise si je renonce à la CCN ou si je l'utilise mal ?
Outre le risque de mise en demeure par des groupes d'intérêt et des concurrents (droit de la concurrence) et d'atteinte à la réputation en cas de couverture médiatique d'un traitement de données non conforme à la protection des données, il existe notamment un risque de sanctions par l'autorité de contrôle compétente en matière de protection des données.
Les possibilités de sanction (art. 58 RGPD) comprennent à cet égard
- la possibilité de mener des enquêtes sous la forme d'audits de protection des données,
- de prononcer un avertissement,
- donner des instructions pour que les opérations de traitement soient conformes aux exigences légales, le cas échéant, d'une manière spécifique et dans un délai donné,
- d'ordonner la suspension du transfert de données à un destinataire situé dans un pays tiers ou à une organisation internationale,
- d'imposer une limitation temporaire ou définitive du traitement, y compris une interdiction, et/ou
- en cas de violation des dispositions relatives au transfert de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale (articles 44 à 49 du RGPD), une amende pouvant atteindre 20 000 000 EUR ou, dans le cas d'un groupe d'entreprises ou d'un groupe de sociétés, 4 % de son chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Lors du choix d'une sanction, l'autorité de surveillance tiendra certainement compte du fait qu'il y a eu des efforts pour utiliser correctement la CCN ou que la CCN a été totalement abandonnée malgré son caractère manifestement nécessaire.