De nouvelles clauses contractuelles types à mettre en place avec vos prestataires

Le 27 juin, les nouvelles clauses contractuelles types adoptées par la Commission européenne sont entrées en vigueur. La Commission européenne a choisi de créer deux catégories de ces contrats-types :

1/ Une version applicable aux relations entre les responsables du traitement et les sous-traitants.

La signature d’un contrat entre le responsable de traitement et le sous-traitant (ou Data protection agreement – DPA) est obligatoire en application de l’article 28.3 du RGPD. La CNIL avait déjà fourni un modèle de contrat de ce type afin d’aider les entreprises à se mettre en conformité avec le RGPD. Ce nouveau modèle permet d’enrichir les DPA déjà en vigueur notamment en ce qui concerne les mesures de sécurité à mettre en place ou l’étendue de l’assistance qui doit être portée par un sous-traitant au responsable de traitement.

2/ Une version applicable à tout transfert de données personnelles vers des pays tiers à l’Union européenne.

Pour rappel, le transfert de données personnelles vers un pays situé en dehors de l’UE est interdit par le RGPD, sauf exceptions. Au titre de ces exceptions, on retrouve les pays ayant fait l’objet d’une décision d’adéquation de la Commission européenne c’est-à-dire dont le niveau de protection des données personnelles est considéré comme équivalent à celui de l’Union européenne. Une deuxième exception concerne la signature de clauses contractuelles types permettant de garantir contractuellement une protection optimale des données personnelles et donc de rendre licite un transfert de données hors UE.

Pour s’adapter aux exigences du RGPD (notamment la tenue des registres, le guichet unique, la désignation d’un DPO etc.), la Commission européenne a dû refondre les clauses contractuelles types à travers un modèle « à tiroirs » qui permet de les adapter à la réalité du transfert de données (chaine de sous-traitance successive, contrats tripartites…). Elle a également enrichi ce mécanisme au regard de l’arrêt SCHREMS II invalidant le Privacy Shield en intégrant des clauses relatives à la vérification de la législation du pays destinataire et des exemples d’éventuelles mesures additionnelles permettant de rendre le transfert conforme.

Ce nouveau modèle sera obligatoire à compter de septembre 2021 et les entreprises auront 18 mois pour remplacer les versions précédentes des clauses contractuelles type déjà signées avec leurs co-contractants soit jusqu’au 27 décembre 2022.

Partager cet article

Site internet créé sur mesure et avec passion par LeWeboskop