Depuis le 27 décembre 2022, les exportateurs et importateurs de données ne pourront plus utiliser les anciennes clauses contractuelles types (modèles de contrats de transfert de données personnelles adoptés par la Commission européenne).
Ils doivent soit utiliser les clauses mises à jour en 2021, soit utiliser un autre outil de transfert.
- > Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne (renvoi vers la CNIL)
- > [EN] Transfer of data outside the EU: the “old” standard contractual clauses (SCC) are no longer valid
Voici ce qu’écrit la CNIL à ce sujet :
«La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a indiqué qu’en règle générale, les clauses contractuelles types (CCT) peuvent toujours être utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers). Cependant, la CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.
Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.
Concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement (en particulier la section 702 du FISA et l’Executive Order 12333) ne permet pas d’assurer un niveau de protection essentiellement équivalent (voir en particulier le considérant 145 de l’arrêt de la Cour, la clause 4(g) de la décision 2010/87/UE de la Commission, la clause 5(a) de la décision 2001/497/CE de la Commission et l’annexe II (c) de la décision 2004/915/CE de la Commission).
La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent.
Dans tous les cas de transferts (vers les États-Unis ou vers tout pays tiers), si vous arrivez à la conclusion que le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d’éventuelles mesures supplémentaires, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.
En savoir plus : invalidation du Privacy shield : les suites de l’arrêt de la CJUE
Voir aussi :
- Marchés publics : la compatibilité des offres avec le RGPD, au stade de l’exécution, est à vérifier AVANT l’attribution du marché…. selon le Conseil d’Etat… belge
- Commande publique et données numériques [VIDEO]