3.1. Clauses contractuelles

Diverses possibilités s'offrent aux responsables de traitement ou sous-traitants qui souhaitent transférer des données personnelles vers un pays en dehors de l’Espace économique européen ne disposant pas d’un niveau de protection adéquat: parmi celles-ci, l'utilisation d’un des modèles de « contrats-type » de la Commission européenne ou l'utilisation de clauses contractuelles proposées par l'entreprise.

3.1.1.       Clauses types de protection des données

Afin d’aider les responsables de traitement, la Commission européenne met à leur disposition des modèles de « contrats-type » qui sont automatiquement considérés comme offrant des garanties suffisantes au regard de la réglementation en vigueur sur la protection des données.

Voici les modèles de contrats qui sont disponibles :

Depuis le 25 mai 2018, il n’est plus nécessaire de demander l’autorisation préalable de la CNPD. Toutefois, le responsable de traitement ou le sous-traitant doit toujours être en mesure de transmettre ces clauses à la CNPD si elle le demande (par exemple, en cas de contrôle ou d’audit).

3.1.2.       Clauses contractuelles « ad hoc »

Si le responsable de traitement n’opte pas pour un modèle de la Commission européenne, il peut néanmoins rédiger ses propres clauses contractuelles (clauses « ad hoc ») qui devront apporter des garanties suffisantes au regard de la protection des données. Ces clauses doivent conformément à l'article 46 paragraphe (3) lettre (a) du RGPD être autorisées par la CNPD, et soumises conformément à l'article 46 paragraphe (4) du RGPD au mécanisme de cohérence, c'est-à-dire que ces clauses devront être approuvées par l'EDPB.

Conformément au règlement N°7/2020 du 3 avril 2020 fixant le montant et les modalités de paiement des redevances dans le cadre de ses pouvoirs d’autorisation et de consultation de la CNPD, tout responsable du traitement ou sous-traitant, établi sur le territoire luxembourgeois, qui soumet pour autorisation des clauses contractuelles à la CNPD conformément à l'article 46, paragraphe 3, lettre a) du RGPD, doit verser une redevance d’un montant de 1.500 € à la CNPD.

Pour en savoir plus :

Dernière mise à jour