Compte tenu des évolutions technologiques, les transferts de données hors UE sont de plus en plus fréquents et les enjeux sur la protection des données de plus en plus importants. Une actualisation des Clauses contractuelles types – CCT – était alors nécessaire afin de s’adapter à ces évolutions et ainsi de maintenir un niveau élevé de protection des données.
Depuis le 27 décembre 2022, seule la version des CCT mises à jour en 2021 doit être utilisée afin d’encadrer les transferts de données réalisés en dehors de l’Union européenne – UE.
En effet, les responsables de traitements/sous-traitants, dont les contrats étaient conclus avant l’entrée en application de la décision de juin 2021, avaient jusqu’à la fin du mois de décembre 2022 pour se mettre en conformité. Ainsi, les relations contractuelles fondées sur les modèles des CCT de 2001 et 2004 ne sont plus valables et doivent avoir été actualisés sur le modèle de 2021 afin d’être conformes.
Ce début d’année 2023 est l’occasion de refaire le point sur l’encadrement des transferts de données hors UE et notamment, à destination des Etats-Unis.
Comment encadrer les transferts de données hors UE ?
Pour rappel de notre précédente actualité sur les CCT de 2021, les CCT sont des modèles de clauses qui permettent d’encadrer contractuellement les transferts de données réalisés vers un pays situé en dehors de l’UE.
Elles ont vocation à être mises en place dès lors que des transferts de données sont réalisés :
- D’un responsable de traitement vers un autre responsable de traitement ;
- D’un responsable de traitement vers un sous-traitant ;
- D’un sous-traitant vers un autre sous-traitant ;
- D’un sous-traitant vers un responsable de traitement
Toutefois, elles ne sont pas toujours suffisantes pour garantir un niveau de sécurité des données adéquat. En effet, les responsables de traitements/sous-traitants doivent en priorité évaluer si la législation du pays tiers permet de respecter le niveau de protection requis par le RGPD.
Si ce niveau n’est pas atteint, il convient de prévoir des mesures supplémentaires pour garantir un niveau de protection équivalent au RGPD et de s’assurer que la législation du pays tiers ne prenne pas le dessus sur ces règles.
Ainsi, si, après analyse on constate que les CCT couplées à des mesures complémentaires ne sont pas suffisantes pour garantir le respect des principes du RGPD, alors il convient de suspendre ou mettre fin au traitement réalisé.
Et pour les transferts réalisés à destination des Etats-Unis ?
Les CCT doivent obligatoirement être complétées par des mesures supplémentaires afin que la législation américaine ne compromette pas le niveau de protection adéquat. En effet, depuis l’invalidation du Privacy Shield, le contexte juridique américain ne permet pas de garantir un haut niveau de sécurité au regard des exigences du RGPD (accès disproportionné aux données personnelles par les services de sécurité, impossibilité de contester en justices des actes répréhensibles en matière de données personnelles, …).
Ces mesures supplémentaires doivent alors permettre de palier aux actuelles lacunes américaines en matière de protection des données.
Toutefois, un processus d’adéquation est en cours entre l’Union européenne et les Etats-Unis : les évolutions de la législations américaines sont en cours d’analyse par la Commission européenne, qui estime que le nouveau cadre juridique proposé en matière de protection des données aux Etats-Unis serait similaire aux normes européennes.
D’autres institutions au niveau de l’Union européenne doivent également se prononcer afin qu’une décision finale d’adéquation soit prise. Cet avis final n’est cependant pas attendu avant l’été 2023.
En attendant les suites au niveau américain, toute l’équipe d’Optimex Data se tient à votre disposition pour vous accompagner dans l’actualisation ou la mise en place de clauses contractuelles types dans le cadre de vos transferts de données hors UE.