Données personnelles & Clauses Contractuelles Types

20 novembre 2020

Données personnelles & Clauses Contractuelles Types. La Commission européenne a établi de nouveaux projets de clauses contractuelles types et les a soumis pour avis au CEPD (CEPD, session plénière, 20 novembre 2020)

La Commission Européenne a adopté deux nouveaux modèles de Clauses Contractuelles Types : le premier vise à encadrer la relation entre un responsable de traitement de données personnelles et le ou les sous-traitants de ce traitement, c’est-à-dire le prestataire qui traite les données au nom et pour le compte du responsable de traitement. L’article 28 du RGPD impose, en effet, que cette situation soit encadrée contractuellement selon des modalités qu’il définit assez précisément.

C’est ainsi que depuis l’entrée en vigueur de ce texte et pour s’y conformer, les opérateurs ont conçu et mis en œuvre un grand nombre de contrats souvent dits « DPA », (pour Data Protection Agreement »). La sous-traitance de traitements de données personnelles, comme la prose de M. Jourdain, est plus fréquente qu’on le croit parfois : pour exemple, il est rare qu’un prestataire informatique ne réalise pas d’opérations de traitement de données personnelles pour le compte de ses clients.

La Commission Européenne entend donc, pour faciliter la tâche des opérateurs, proposer son propre modèle de contrat entre responsable de traitement et sous-traitant, dont elle a soumis le projet pour avis au Comité Européen de la Protection des Données (« CEPD ») le 20 novembre 2020.

La Commission a également soumis au CEPD, par la même occasion, un projet de nouvelles Clauses Contractuelles Types (« CCT ») permettant d’encadrer les transferts de données personnelles vers des pays n’offrant pas un niveau de protection adéquat, qu’elle a élaborés pour tenir compte des nouvelles exigences résultant de l’arrêt de la Cour de Justice de l’Union Européenne du 16 juillet 2020. Dans cette décision, la Cour de Justice a en effet décidé que si les précédentes Clauses Contractuelles Types de la Commission étaient valables, elles n’étaient pas suffisantes en elles-mêmes, le responsable de traitement devant vérifier au cas par cas si des mesures complémentaires ne sont pas nécessaires pour assurer aux données transférées hors de l’UE un niveau de protection adéquat.

La Commission a donc élaboré de nouvelles clauses contractuelles types pour les transferts de données hors UE, qui ont vocation à se substituer aux anciens modèles en répondant aux exigences de la Cour de Justice.

On lira donc avec attention le prochain avis du CEPD sur ce projet.