Diverses possibilités s'offrent aux responsables de traitement ou sous-traitants qui souhaitent transférer des données personnelles vers un pays en dehors de l’Espace économique européen ne disposant pas d’un niveau de protection adéquat: parmi celles-ci, l'utilisation d’un des modèles de « contrats-type » de la Commission européenne ou l'utilisation de clauses contractuelles proposées par l'entreprise.
1.1.1. Clauses types de protection des données
Afin d’aider les responsables de traitement, la Commission européenne met à leur disposition des modèles de « contrats-type » qui sont automatiquement considérés comme offrant des garanties suffisantes au regard de la réglementation en vigueur sur la protection des données.
Voici les modèles de contrats qui sont disponibles :
- clauses pour le transfert depuis un responsable de traitement dans l’U.E./E.E.E. vers un responsable de traitement hors U.E./E.E.E. (« C-to-C », deuxième modèle, tel qu’annexé dans la décision 2004/915/CE de la Commission européenne);
- clauses pour le transfert depuis un responsable de traitement dans l’U.E./E.E.E. vers un responsable de traitement hors U.E./E.E.E. (« C-to-C », premier modèle , tel qu’annexé dans la décision 2001/497/CE de la Commission européenne );
- clauses pour le transfert depuis un responsable de traitement dans l’U.E./E.E.E. vers un sous-traitant hors U.E./E.E.E. (« C-to-P », modèle annexé dans la décision 2010/87/UE de la Commission européenne).
Depuis le 25 mai 2018, il n’est plus nécessaire de demander l’autorisation préalable de la CNPD. Toutefois, le responsable de traitement ou le sous-traitant doit toujours être en mesure de transmettre ces clauses à la CNPD si elle le demande (par exemple, en cas de contrôle ou d’audit).
1.1.2. Clauses contractuelles « ad hoc »
Si le responsable de traitement n’opte pas pour un modèle de la Commission européenne, il peut néanmoins rédiger ses propres clauses contractuelles (clauses « ad hoc ») qui devront apporter des garanties suffisantes au regard de la protection des données. Ces clauses doivent conformément à l'article 46 paragraphe (3) lettre (a) du RGPD être autorisées par la CNPD, et soumises conformément à l'article 46 paragraphe (4) du RGPD au mécanisme de cohérence, c'est-à-dire que ces clauses devront être approuvées par l'EDPB.
Pour en savoir plus :