actualisé suite au RGPD

Via des clauses contractuelles

Lorsque le niveau de protection du pays où l’on souhaite transmettre des données n’est pas considéré clairement par la Commission européenne comme assurant un niveau de protection adéquat, cela ne veut pas nécessairement dire que tout transfert sera impossible.

Introduction


En effet, il existe une série de dérogations permettant le transfert de données vers des pays n'assurant pas un niveau de protection adéquat. En vue d'assurer la sécurité juridique des acteurs économiques, la pratique nationale dans l'Union européenne est de requérir l'application de ces dérogations aux transferts vers des pays tiers non reconnus comme offrant un niveau de protection adéquat même s'ils n'ont pas formellement été identifiés comme n'offrant pas un tel niveau. Parmi ces dérogations existe la possibilité pour le responsable du traitement d'offrir lui-même, par la voie contractuelle, une protection appropriée. La protection peut ainsi être assurée au moyen d’un contrat liant celui qui envoie les données et celui qui les reçoit et contenant des garanties suffisantes au regard de la protection des données.

Deux possibilités s'offrent au responsable de traitement : l'utilisation de Modèle de contrat-type de la Commission européenne ou l'utilisation de clauses contractuelles proposées par l'entreprise.

1. Modèles de contrats-type de la Commission européenne

Afin d’aider les responsables de traitement, la Commission européenne met à leur disposition des modèles de contrats-type qui sont automatiquement considérés comme offrant des garanties suffisantes au regard de la réglementation en vigueur sur la protection des données.

Voici les modèles de contrat qui sont disponibles :

• clauses pour le transfert depuis un responsable de traitement vers un responsable de traitement
(premier modèle : 2001/497/CE) ;
• clauses pour le transfert depuis un responsable de traitement vers un responsable de traitement
(deuxième modèle : 2004/915/CE) ;
• clauses pour le transfert depuis un responsable de traitement vers un sous-traitant
(pour les contrats avant le 15 mai 2010 : 2002/16/CE; et pour les nouveaux contrats à partir du 15 mai 2010 : 2010/87/UE). Pour information le Groupe de travail Article 29 a adopté des FAQs (WP176) à propos des clauses 2010/87/UE.

La notification préalable des modèles de contrats-type auprès l’Autorité n’est plus requise. Toutefois, le responsable de traitement ou le sous-traitant doit toujours être en mesure de transmettre ces clauses à l’Autorité si elle le demande.

2. Clauses contractuelles proposées par l'entreprise

Si le responsable de traitement n’opte pas pour un modèle de la Commission européenne, il peut néanmoins rédiger ses propres clauses contractuelles (clauses ad hoc) qui devront apporter des garanties suffisantes au regard de la protection des données. Ces clauses doivent conformémentà l'article 46.3 a) RGPD être autorisées par l'APD et soumises conformément à l'article 46.4 RGPD au mécanisme de cohérence c'est-à-dire que ces clauses devront être approuvées par l'EDPB.