Selon le GDPR, pour transfĂ©rer des donnĂ©es personnelles en dehors de l’Union europĂ©enne, vous devez vous assurer que des normes spĂ©cifiques de protection des donnĂ©es sont en place. Si ce n’est pas le cas, les transferts ne sont pas autorisĂ©s.
Toutefois, pour rendre les transferts possibles, il existe plusieurs bases juridiques sur lesquelles vous pouvez vous appuyer. L’une d’entre elles est constituĂ©e par les clauses contractuelles types (CCS).
Dans ce petit guide, nous vous expliquons tout ce que vous devez savoir sur les clauses contractuelles types, dans quels cas vous pouvez avoir besoin de recourir aux CCS et ce que vous devez faire pour transfĂ©rer des donnĂ©es en dehors de l’UE.
Quelles sont les clauses contractuelles types ?
Les clauses contractuelles types (CCS) sont des clauses standardisĂ©es, approuvĂ©es par la Commission europĂ©enne, qui permettent les transferts de donnĂ©es en dehors de l’Espace Ă©conomique europĂ©en (EEE).
Les deux parties impliquĂ©es dans le transfert doivent signer un accord contenant les clauses contractuelles types, sans en modifier le texte. Comme l’indique la Commission europĂ©enne, les CSC peuvent ĂŞtre ajoutĂ©es dans tout « arrangement contractuel » entre les parties.
Un peu de contexte juridique
👉 Les clauses contractuelles types ont Ă©tĂ© mentionnĂ©es pour la première fois dans la Directive sur la protection des donnĂ©es de 1995.. Selon cette directive, les transferts de donnĂ©es en dehors de l’UE n’Ă©taient autorisĂ©s que lorsque certaines normes de protection des donnĂ©es Ă©taient respectĂ©es, ou lorsqu’il existait des clauses contractuelles types. En 2018, le GDPR a remplacĂ© la directive sur la protection des donnĂ©es, en gardant la mĂŞme mention aux CCN..
👉 Avance rapide jusqu’en juillet 2020, l’arrĂŞt Schrems II a invalidĂ© l’accord de transfert entre l’UE et les États-Unis, le Privacy Shield. Les CCN sont devenus essentiels pour tout type de transfert de donnĂ©es entre ces pays. Cependant, ils ne sont pas contraignants pour le gouvernement amĂ©ricain, mais seulement pour la sociĂ©tĂ© qui signe l’accord.
👉 Afin de faire face aux dĂ©fis actuels et de faciliter le transfert de donnĂ©es entre l’UE et les États-Unis, la Commission europĂ©enne a rĂ©visĂ© les clauses. Le 4 juin 2021, la Commission a adoptĂ© deux sĂ©ries de clauses contractuelles types:
- Les CCS qui régissent les relations entre les contrôleurs et les processeurs ;
- Les CCN comme outil pour les transferts de donnĂ©es en dehors de l’EEE.
Quand les clauses contractuelles types sont-elles nécessaires ?
Les CSC ne sont pas toujours nécessaires.
En fait, vous devez d’abord vĂ©rifier si une dĂ©cision d’adĂ©quation est en place. Habituellement, lorsque le niveau de protection des donnĂ©es est identique Ă celui du GDPR, la Commission europĂ©enne Ă©met une dĂ©cision d’adĂ©quation. Dans ce cas, il n’y a pas besoin de clauses contractuelles types.
đź’ˇ Jusqu’Ă prĂ©sent, les seuls pays pour lesquels la Commission europĂ©enne a Ă©mis une dĂ©cision d’adĂ©quation sont les suivants : Andorre, Argentine, Canada (organisations commerciales), Ă®les FĂ©roĂ©, Guernesey, IsraĂ«l, Ă®le de Man, Japon, Jersey, Nouvelle-ZĂ©lande, RĂ©publique de CorĂ©e, Suisse, le Royaume-Uni et Uruguay.
Une fois que vous ĂŞtes sĂ»r de cet aspect, vous devez Ă©galement vous assurer que les CCN sont le mĂ©canisme qui s’applique Ă votre activitĂ©. Si c’est le cas, vous devez alors signer un accord contenant des clauses contractuelles types.
Comment divulguer les transferts de données dans votre politique de confidentialité ?
Si vous transfĂ©rez des donnĂ©es en dehors de l’EEE, vous devez Ă©galement l’indiquer dans votre politique de confidentialitĂ©. Avec iubenda, c’est très facile :
- Recherchez les clauses dans le Générateur
- Cliquez sur « + » et ajoutez-les à votre document
- Sauvez !
Comment puis-je créer un SCC ?
Comme nous l’avons dĂ©jĂ mentionnĂ©, vos clauses contractuelles types peuvent ĂŞtre ajoutĂ©es Ă tout accord que vous avez avec la partie Ă laquelle vous transfĂ©rez des donnĂ©es, ou elles peuvent constituer un document Ă part entière.
Créer vos CSC est plus facile que vous ne le pensez, car vous devez suivre strictement le texte proposé par la Commission européenne.
Existe-t-il des alternatives aux CSC ?
Oui, les clauses contractuelles types ne sont pas le seul moyen de transfĂ©rer des donnĂ©es en dehors de l’EEE, vous avez d’autres possibilitĂ©s :
- Règles d’entreprise contraignantes (BCR) : politiques de protection des donnĂ©es adoptĂ©es par les entreprises multinationales. Les BCRs permettent aux entreprises de transfĂ©rer des donnĂ©es Ă l’Ă©chelle internationale au sein d’un mĂŞme groupe de sociĂ©tĂ©s. Les règles d’entreprise contraignantes sont destinĂ©es Ă un usage interne uniquement, mais l’article 47 du GDPR les mentionne comme une mĂ©thode adĂ©quate pour assurer la conformitĂ©.
- DĂ©rogations : selon l’article 49 du RGPD, il existe Ă©galement des cas spĂ©cifiques dans lesquels vous pouvez transfĂ©rer des donnĂ©es personnelles sans aucune garantie. Quoi qu’il en soit, ces dĂ©rogations ne s’appliquent qu’Ă un transfert de donnĂ©es spĂ©cifique ou Ă un ensemble de transferts, et il existe des exigences que vous devez respecter, par exemple :
- vous avez le consentement explicite de votre utilisateur et vous l’avez informĂ© de tous les risques possibles du transfert ;
- le transfert est nĂ©cessaire Ă l’exĂ©cution d’un contrat ;
- le transfert est nĂ©cessaire pour des raisons importantes d’intĂ©rĂŞt public.
Compliance tip
Si vous transférez des données, vous devez le divulguer dans votre politique de confidentialité ! Ne pas le faire, pourrait invalider votre activité.
About us
Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.