Les responsables de traitement et les sous-traitants soumis au RGPD, y compris ceux établis en dehors de l’EEE,[1] peuvent se fonder sur les clauses contractuelles types (« CCT », en anglais « standard contractual clauses » ou « SCC ») émises par la Commission européenne.[2] [3]
Les CCT suivent une approche modulaire pour permettre de répondre à plusieurs scénarios de transfert. Ils contiennent quatre ensembles de clauses (modules) en fonction du rôle de l’exportateur et de l’importateur de données en tant que sous-traitant ou responsable du traitement :
- Module 1 : transfert d’un responsable du traitement à un responsable du traitement (« C2C »),
- Module 2 : transfert d’un responsable du traitement à un sous-traitant (« C2P »),
- Module 3 : transfert d’un sous-traitant à un sous-traitant (« P2P »),
- Module 4 : transfert d’un sous-traitant à un responsable du traitement (« P2C »).
Les CCT doivent être signées avec qu’un transfert n’ait lieu. Il convient de noter que les CCT contiennent une clause d'amarrage qui permet à d'autres exportateurs ou importateurs de données d'adhérer aux CCT tout au long du cycle de vie du contrat (article 7 des CCT).
Les CCT aident les exportateurs et les importateurs de données à se conformer à l’exigence d’une analyse d’impact du transfert et à mettre en œuvre des mesures supplémentaires, comme indiqué dans l’arrêt Schrems II.
Ainsi, la section III (« législations et obligations locales en cas d’accès par les autorités publiques ») des CCT énonce ce qui suit :
- l’exportateur de données (avec l’aide de l’importateur de données) est tenu de tenir compte du niveau de protection dans le pays tiers en question, des circonstances spécifiques du transfert et de toute mesure technique et organisationnelle à mettre en place pour compléter les CCT, et
- l’importateur de données a l’obligation de notifier à l’exportateur de données tout changement dans la situation dans le pays tiers qui crée une incapacité à se conformer aux CCT. Dans ce cas, l'exportateur doit adopter des mesures appropriées pour remédier à la situation ou suspendre le transfert.
En outre, les CCT contiennent des exemples pratiques de mesures techniques supplémentaires, telles que le cryptage.
[1] Sous réserve du RGPD en vertu de l'article 3 du RGPD.
[2] Décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil.
[3] Les CCT ont été mises à jour le 4 juin 2021 et remplacent les CCT précédemment applicables.