Clauses contractuelles types dans l'UE pour les transferts vers des pays tiers

Clauses contractuelles types
Catégories :

Clauses contractuelles types

 

Si une entreprise veut données à caractère personnel vers un pays tiers situé en dehors de l'Union européenne ou de l'Espace économique européen, il faut, en plus de la base juridique pour le traitement des données, une garantie de protection des données pour le transfert des données. Dans la mesure où il manque un Décision d'adéquation de la Commission européenne, les clauses contractuelles types de l'UE, également connues sous le nom de clauses standard de protection des données de la Commission européenne (en abrégé "SCC" pour Standard Contractual Clauses), sont utilisées depuis des années. Ces documents, qui ont maintenant 25 ans, ont été mis à jour.

Cet article a pour but de répondre aux questions qui se sont posées dans ce contexte et d'offrir ainsi une aide pour une utilisation des nouvelles clauses conforme à la protection des données.

Si vous avez d'autres questions ou si vous avez besoin d'aide pour effectuer les adaptations nécessaires, n'hésitez pas à nous contacter.

 

 

Quand mon entreprise a-t-elle besoin de SCC ?

 

Dès lors qu'une entreprise, en tant que responsable du traitement et/ou en tant que sous-traitant données à caractère personnel sont transférés dans un pays dit "tiers" conformément aux articles 44 et suivants du RGPD. RGPD des garanties appropriées nécessaires à la protection de ces données afin de garantir que le niveau de protection des données des personnes physiques garanti par le RGPD ne soit pas compromis.

Si le pays tiers ne dispose pas d'un Décision d'adéquation de la Commission européenne, les CCN seront le plus souvent un élément essentiel à cet égard.

Comme le soi-disant Schrems II de la Cour de justice des Communautés européennes (arrêt du 16.07.2020, affaire C 311/18), les dispositions des articles 44 et suivants du RGPD ne sont pas suffisantes. RGPD ne suffisent toutefois pas à elles seules. Il convient plutôt de se pencher sur la situation en matière de protection des données dans le pays destinataire et d'examiner et de déterminer quelles autres mesures techniques et organisationnelles (Cryptage, Anonymisation, Pseudonymisation) sont nécessaires en plus pour le cas en question.

L'un des résultats possibles d'une telle évaluation des risques peut également être la décision de ne pas procéder au transfert de données prévu et de trouver à la place une solution européenne.

 

 

En quoi les nouveaux SCC sont-ils différents des anciens ?

 

Les précédents Clauses contractuelles types datent de 1996. Les nouvelles CSC ont désormais été adaptées au texte et aux exigences du RGPD.

Les nouveaux CCC ont une structure modulaire et offrent beaucoup plus de possibilités d'adaptation individuelle, mais aussi plus de travail avant de pouvoir être utilisés pour le transfert de données en question. Alors qu'avec les SCC précédents, le travail d'adaptation s'arrêtait généralement au moment où les données relatives aux deux parties contractantes étaient complétées, avec les nouveaux SCC, c'est seulement à ce moment-là que commence la rédaction proprement dite des clauses contractuelles.

Dans les nouveaux CCN, pour la première fois, d'autres établissements peuvent suivre un programme basé sur la Clauses contractuelles types Les États membres peuvent adhérer au contrat conclu avec la Commission européenne en tant qu'importateurs ou exportateurs de données.

Jusqu'à présent, il manquait des clauses pour la constellation "sous-traitant et sous-traitant ultérieur". Les nouvelles Clauses contractuelles types sont modulaires et donc applicables à un plus grand nombre de contrats qu'auparavant et incluent également les contrats au niveau de la sous-traitance.

Lorsque des prestataires de services traitent des données sur instruction d'une entreprise, il y a une Traitement des commandes au sens du RGPD. Dans de tels cas, un contrat dit de traitement des commandes (en abrégé "CAT") doit être conclu. Les nouvelles Clauses contractuelles types correspondent désormais également aux exigences d'un contrat de sous-traitance. Cela signifie que si un contrat est conclu sur la base de la Clauses contractuelles types est conclu, la conclusion d'un contrat de sous-traitance supplémentaire n'est plus obligatoire.

Les clauses 14 et 15 de la nouvelle CCN, en particulier, contiennent des mesures de sécurité spécifiques qui correspondent à certains des ajouts que les autorités de protection des données et le Comité européen de protection des données ("EDSA") ont déjà apportés aux anciennes CCN. Clauses contractuelles types ont été proposés afin de répondre aux demandes de Schrems II.

Il est désormais heureusement stipulé dans les nouvelles CSC que celles-ci prévalent et remplacent les éventuelles clauses contractuelles ou conditions générales contradictoires (section I, clause 5).

Dans la section II, le chapitre 12 contient des clauses de responsabilité modulaires et établit en principe (conjointement avec la règle de la primauté de la CSC) que les Responsabilité civile des parties contractantes n'est pas limitée, par exemple, par des clauses de non-responsabilité externes contenues dans les conditions générales.

Les parties contractantes peuvent à présent déterminer dans la section IV (clauses 17 et 18) l'application d'un droit national spécifique et la juridiction compétente (au sein de l'UE). Par exemple, il est possible de définir l'application du droit allemand, bien que la loi allemande ne soit pas applicable. Clauses contractuelles types être fermé par une filiale en Italie.

Compte tenu des discussions en cours sur les transferts de données vers les États-Unis ou d'autres pays tiers, l'importateur de données s'engage notamment, dans la clause 15, à

  • de faire tout ce qui est en son pouvoir pour lever l'interdiction d'informer l'exportateur de données/la personne concernée. L'objectif doit être de pouvoir communiquer le plus d'informations possible et le plus rapidement possible. L'importateur de données s'engage donc à documenter ses efforts afin de pouvoir les prouver à la demande de l'exportateur de données.
  • de vérifier la légalité de la demande de divulgation, en particulier si la demande s'inscrit dans le cadre des pouvoirs conférés à l'autorité requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de croire que la demande est contraire à la législation du pays de destination, est illégale au regard des obligations internationales applicables et des principes de la "courtoisie internationale" (actes, pratiques et règles observés dans les relations internationales entre États en raison de leur souveraineté fondée sur l'amitié, le voisinage et le respect mutuel). Dans les conditions susmentionnées, l'importateur de données doit exercer les recours possibles. Lorsqu'il conteste une demande, l'importateur de données obtient des mesures provisoires pour suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente se soit prononcée sur son bien-fondé. Il ne divulgue les données à caractère personnel demandées que lorsque les règles de procédure applicables l'exigent.

Cette obligation peut entraîner des coûts considérables pour l'importateur de données (si des décisions de divulgation sont effectivement prises).

Les deux parties s'engagent, à la clause 14, à avoir dûment pris en compte, notamment, les aspects suivants :

  • les circonstances particulières de la TransmissionLes données à caractère personnel sont traitées dans le respect des principes de la protection des données, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés, les transferts ultérieurs de données envisagés, le type de destinataire, la finalité de la collecte, le type de données traitées et la durée de conservation. TraitementLes données à caractère personnel transmises sont enregistrées dans un fichier de données à caractère personnel, les catégories et le format des données à caractère personnel transmises, la branche économique dans laquelle la transmission a lieu, l'emplacement de stockage des données transmises,
  • qui, compte tenu des circonstances particulières de la Transmission la législation et les pratiques pertinentes du pays tiers de destination (y compris celles qui exigent la divulgation de données aux autorités publiques ou autorisent l'accès de celles-ci à ces données), ainsi que les restrictions et garanties applicables,
  • toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures prises au cours du Transmission et lors de la Traitement de données à caractère personnel dans le pays de destination.

Ces trois points doivent donc être pris en compte, en particulier pour les transferts vers des pays tiers, dans le cadre de l'évaluation des risques et de la réflexion, et cela doit être documenté.

 

 

Puis-je réutiliser les anciens SCC ?

Si vous êtes en train de négocier un contrat et qu'une renégociation des nouveaux CCC entraînerait des retards, vous pouvez encore utiliser les anciens CCC jusqu'au 27 septembre 2021. Ceux-ci devraient toutefois être remplacés par les nouveaux CCC au plus tard le 27 décembre 2022.

À partir du 27 septembre 2021, les nouveaux CCN devront être utilisés sans exception.

 

 

Combien de temps puis-je utiliser d'anciens SCC ?

 

Pour tous les nouveaux contrats conclus à partir du 27 septembre 2021, les nouveaux Clauses contractuelles types doivent être pris en compte. D'ici là, les anciens CCN pourraient encore être utilisés, mais ils devraient alors être remplacés par les nouveaux CCN au plus tard le 27 décembre 2022.

 

J'ai un contrat avec d'anciens SCC. Dois-je les remplacer par les nouveaux ?

 

Oui, le remplacement des anciens CCN par les nouveaux CCN doit être effectué au plus tard le 27 décembre 2022. Dans la mesure où le contrat se termine avant cette date, le remplacement n'est donc pas obligatoire.
En cas de modification pertinente du contrat, l'exportateur de données doit immédiatement profiter de l'occasion pour remplacer le CCN existant par le nouveau. Par exemple, en cas de sous-traitance d'opérations de traitement faisant l'objet du contrat à un sous-traitant.

 

 

Quand dois-je remplacer les anciens SCC par les nouveaux ?

 

Pour les contrats déjà existants, le remplacement doit avoir lieu dans les 18 mois, c'est-à-dire au plus tard le 27 décembre 2022. Si le contrat correspondant ou la Traitement déjà auparavant, un remplacement n'est donc pas obligatoire.

 

 

Que faire si mon contractant ne souhaite pas mettre à jour la CSC ?

 

En particulier, si la coopération et l'échange de données qui en découle avec le cocontractant doivent se poursuivre au-delà du 27 décembre 2022, il convient d'informer le cocontractant des risques juridiques (voir point 3.9) et de s'enquérir des raisons concrètes de son refus.

Après 25 ans de bons et loyaux services, les anciens CCN ne sont plus adaptés et ne sont guère en mesure de répondre aux différentes configurations contractuelles dans un format et une individualité actuels. Les nouvelles CSC répondent mieux aux défis actuels et aident les parties contractantes à concevoir des transferts vers des pays tiers conformes à la protection des données. Ainsi, la mise à jour des CSC serait dans l'intérêt des deux parties.

Si le partenaire contractuel refuse malgré tout, il serait judicieux de réévaluer le maintien de la poursuite de la relation contractuelle en tenant compte des risques supplémentaires qui en découlent pour l'entreprise elle-même.

 

 

Avec qui les CCC doivent-ils être conclus ?

 

Dès qu'un transfert de données vers un pays en dehors de l'UE / de l'EEE doit avoir lieu, les nouveaux CCS doivent être conclus entre les parties concernées.

Les nouveaux SCC prévoient à cet égard quatre constellations de traitement différentes (modules), qui doivent être sélectionnées en conséquence dans les SCC :

  • Module un C2C contrôleur à contrôleur
    Transmission d'un responsable (dans l'UE) à un autre responsable (dans un pays tiers)
  • Module deux C2P contrôleur à processeur
    Transmission du responsable du traitement (dans l'UE) au sous-traitant (dans le pays tiers)
  • Module trois P2P Processeur à processeur
    Transmission d'un sous-traitant (dans l'UE) à un autre (sous-)traitant (dans un pays tiers)
  • Module Quatre Processeur à contrôleur P2C
    Transmission d'un sous-traitant (dans l'UE) au responsable du traitement (dans un pays tiers)

Puis-je adapter ou supprimer des clauses dans les CSC ?

 

Les nouveaux SCC sont modulaires et doivent être adaptés individuellement dans le cadre des modules disponibles.

Aucune autre modification ou suppression ne peut être effectuée, à l'exception de la sélection du ou des modules concernés ou de l'ajout ou de la mise à jour d'informations dans l'annexe.

Mais les Clauses contractuelles types peuvent être intégrées dans un contrat plus important (par exemple en tant qu'annexe). De plus, d'autres clauses ou garanties supplémentaires peuvent être ajoutées, à condition qu'elles ne soient pas directement ou indirectement incluses dans le contrat. Opposition sont contraires aux autres règles de la CSC ou portent atteinte aux droits ou libertés fondamentaux des personnes concernées, comme par exemple la Droits des personnes concernées (art. 15-22 et suivants du RGPD).

 

 

Dans quelle langue dois-je utiliser les nouveaux SCC ?

 

La nouvelle version du SCC est disponible sur https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=en est disponible dans toutes les langues européennes et peut être utilisé en conséquence. Nous vous recommandons d'utiliser la version linguistique que vous utilisez le plus souvent dans votre communication avec la partie contractante concernée ou la langue dans laquelle vous avez rédigé les autres documents contractuels.

Si vous souhaitez utiliser deux versions linguistiques en parallèle (par exemple, l'anglais pour votre cocontractant au Royaume-Uni et l'allemand pour votre exemplaire), il est judicieux de désigner l'un des deux documents qui prévaudra en cas de discussion sur l'interprétation.

 

 

Dois-je remettre les nouveaux CSC aux personnes concernées ?

 

Comme c'était le cas jusqu'à présent, l'article 13, paragraphe 1, point f), du RGPD exige que soit portée à la connaissance de la personne concernée "une référence aux garanties appropriées ou adéquates et à la possibilité d'en obtenir une copie ou à l'endroit où elles sont disponibles". Par exemple :

Dans les cas où il y a Transmission Si les données proviennent de l'extérieur de l'UE, nous avons conclu les clauses contractuelles standard de l'UE correspondantes. Vous pouvez nous demander une copie de ces clauses par e-mail à SCC-Kopie@unternehmen.de ou les trouver sur notre site web à www.unternehmen.de/scc.

 

 

Puis-je désormais transférer des données à caractère personnel vers des pays tiers, comme les États-Unis, sans mesures supplémentaires, grâce aux nouvelles CCP ? Puis-je renoncer à des mesures de protection supplémentaires ?

 

Non. Il convient d'évaluer la situation en matière de protection des données dans le pays de destination dans le cadre d'une évaluation des risques obligatoire et de définir des mesures de protection appropriées sur la base de cette évaluation, ou le traitement des données ne doit pas être autorisé, notamment de l'avis du président de la Commission européenne. Conférence sur la protection des donnéesEn principe, il n'y a pas d'autres réunions de ce type.

 

 

Quel risque court mon entreprise si je renonce à la CCN ou si je l'utilise mal ?

 

Outre le risque de Avertissement par des associations d'intérêts et des concurrents (droit de la concurrence) et d'une atteinte à la réputation en cas de couverture médiatique d'un traitement de données non conforme à la protection des données, il existe notamment un risque de sanctions par l'autorité compétente en matière de protection des données. Autorité de surveillance sur le site Protection des données.

Les possibilités de sanction (art. 58 RGPD) comprennent à cet égard

  • la possibilité de mener des enquêtes sous la forme d'audits de protection des données,
  • de prononcer un avertissement,
  • donner des instructions pour que les opérations de traitement soient conformes aux exigences légales, le cas échéant, d'une manière spécifique et dans un délai donné,
  • la suspension de la Transmission de données à un destinataire situé dans un pays tiers ou à une organisation internationale,
  • une restriction temporaire ou définitive de la Traitementy compris une interdiction, et/ou
  • en cas de non-respect des dispositions concernant Transmission de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale (articles 44 à 49 du RGPD), une amende pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'un groupe d'entreprises ou d'un groupe de sociétés, jusqu'à 4 % de son chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Lors de la sélection d'une sanction, la Autorité de surveillance Il faut certainement aussi tenir compte du fait qu'il y a eu des efforts pour utiliser correctement la CCN ou que l'on a complètement renoncé à la CCN malgré une nécessité évidente.

Prendre contact
Les tags :
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages