Les informations personnelles ne peuvent pas être transférées en dehors de l’UE sans de solides garanties. Les organisations peuvent, entre autres, s’appuyer sur des clauses contractuelles types, dont de nouvelles versions ont été publiées en 2021.
La législation européenne sur la protection de la vie privée GDPR exige que les données personnelles des résidents européens soient également protégées en dehors de l’espace UE contre la perte, le vol et l’utilisation abusive.
Il existe deux systèmes pour cela. Soit l’UE reconnaît que la législation d’un pays offre un niveau de protection adéquat (décision d’adéquation), soit les organisations concernées conviennent de garanties appropriées, telles que des « règles d’entreprise contraignantes » (entre sociétés et succursales d’un groupe) ou des « clauses contractuelles types » (en anglais “standard contractual clauses”, ou SCC).
SCC edition 2021
En juin 2021, l’UE a publié de nouvelles versions de ces clauses contractuelles types, obligeant les organisations à les utiliser après le 27 décembre 2022, y compris pour remplacer les accords existants avec SCC.
La décision de l’UE avec les nouvelles clauses contractuelles types explique (dans les annexes) comment les responsables du traitement (contrôleurs) et les sous-traitants (processeurs) doivent traiter les données personnelles, ainsi que les tiers auxquels les données sont ensuite transmises, y compris leurs obligations et responsabilités. Une série de modules prend en compte différents scénarios de transfert de données.
L’utilisation de clauses contractuelles types ne dispense en aucun cas le responsable du traitement et le(s) sous-traitant(s) des devoirs et obligations prévus par le GDPR. Au contraire, la décision conseille de prendre des mesures de sécurité supplémentaires si nécessaire.
La décision de juin 2021 exige également que le respect des clauses contractuelles types puisse être démontré tant par le responsable du traitement que par le(s) sous-traitant(s), dès le début et pendant toute la durée de l’accord (de traitement).
La décision précise un certain nombre d’obligations, y compris (si possible) la notification si un gouvernement en dehors de l’UE souhaite accéder aux données personnelles. Cela signifie que l’utilisation de clauses contractuelles types nécessite un certain temps d’étude et beaucoup d’attention.
Que faire ?
Quelques conseils pratiques, basés entre autres sur les recommandations de l’European Data Protection Board (EDPB) :
- Identifier quels transferts de données impliquent des données à caractère personnel en dehors de l’UE, avec quels mécanismes, à quelles fins
- Vérifier si les SCC sont effectivement nécessaires (peut-être que l’UE a pris une “décision d’adéquation” pour le pays concerné)
- Vérifier si la législation du pays de destination des données personnelles ne rend pas impossible l’application des SCC
- Outre les dispositions générales, les responsables du traitement et les sous-traitants doivent choisir le module qui s’applique à leur situation
- Prévoir un système bien documenté qui démontre la conformité aux SCC. Cela présuppose également des dispositions pour le cas où une personne concernée souhaite faire valoir ses droits, y compris des actions en justice.
Photo: Krzysztof Hepner via Unsplash
