La Commission européenne a publié le 4 juin 2021 deux nouvelles séries de clauses contractuelles types (CCT). La première série est destinée à encadrer les transferts de données des responsables de traitement ou des sous-traitants de l’UE/EEE (soumis au RGPD) à des responsables du traitement ou des sous-traitants établis en dehors de l’UE/EEE (et non soumis au RGPD). La deuxième vise à encadrer les relations entre les responsables du traitement et leurs sous-traitants au sein de l’Union européenne.
Clauses contractuelles types pour les transferts vers des pays tiers
Les nouvelles CCT remplaceront les trois séries de CCT qui ont été adoptées sur la base de la directive 95/46 sur la protection des données. Les versions précédentes des CCT ont dû être mises à jour afin de les mettre en conformité avec les exigences du RGPD, ainsi que pour tenir compte de l’arrêt «Schrems II» de la CJUE, et mieux refléter le recours généralisé à de nouvelles opérations de traitement plus complexes impliquant souvent de multiples importateurs et exportateurs de données. En particulier, les nouvelles CCT prévoient des garanties plus spécifiques dans le cas où les lois du pays de destination ont une incidence sur le respect des clauses, notamment en cas de demandes contraignantes de la part des pouvoirs publics en vue de la divulgation de données à caractère personnel.
Elles peuvent être utilisées dès à présent par les entreprises, organismes publics et associations luxembourgeoises qui entendent transférer certaines données qu’ils sont amenés à traiter vers des pays tiers (en dehors de l’UE/EEE). Une période de transition est toutefois prévue pour pouvoir continuer à invoquer les anciennes clauses contractuelles types adoptées sur base de la directive 95/46 sur la protection des données, jusque fin 2022.
Clauses contractuelles types pour les relations de sous-traitance
Les CCT ont un effet à l’échelle de l’UE et visent à garantir une harmonisation totale et la sécurité juridique dans l’ensemble de l’UE en ce qui concerne les relations entre les responsables du traitement et leurs sous-traitants au sein de l’Union européenne.
Les entreprises, organismes publics et associations luxembourgeoises qui font appel à des sous-traitants luxembourgeois ou au sein d’autres pays de l’Union européenne, peuvent utiliser ces CCT comme « modèles de contrat » à signer avec leurs sous-traitants, afin de se conformer à leurs obligations en matière de sous-traitance. Ils restent toutefois libres de signer des contrats ne se basant pas sur ces CCT, à condition de respecter les exigences de l’article 28, paragraphe (3) du RGPD.