EDPB. Avis conjoint 2/2021 de l'EDPB et du CEPD concernant la décision d'exécution de la Commission européenne relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers pour les questions visées à l'article 46, paragraphe 2, point c), du Règlement (UE) 2016/679. [En ligne] [consulté le 09.02.2023]
EDPB. Recommandations 01/2020 sur les mesures qu complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l'UE. Version 2.0. Adoptées le 18 juin 2021 [En ligne] [Consulté le 12.05.2023]
EUROPEAN COMMISSION. Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil [Clauses contractuelles types]. [En ligne] [Consulté le 09.02.2023]
EUROPEAN COMMISSION. Questions and Answers for the two sets of Standard Contractual Clauses. 25.Mai 2022 [en ligne] [consulté le 09.02.2023]
EUROPEAN COMMISSION. Standard Contractual Clauses for Controllers and Processors in the EU/EEA. C(2021) 3701 [Governing transfers of personal data within the EU] 04 June 2021. [en ligne] [Consulté le 13.08.2021]
EUROPEAN COMMISSION. Standard Contractual Clauses for International Transfers. C2021) 3702 [Governing transfers of personal data outside the EU] 04 June 2021. [en ligne] [Consulté le 13.08.2021]
KASPER, Gabriel, REICHLIN, Jeremy. Reconnaissance des SCC par la Suisse : tour d'horizon pour les entreprises helvétiques. 15 septembre 2021. In : www.swissprivacy.law/91 [en ligne] [consulté le 09.02.2023]
PFPDT. Transfert de données personnelles dans un pays ne présentant pas le niveau de protection des données requis, en application de clauses contractuelles types et de contrats types reconnus. 27 août 2021. [en ligne] [consulté le 09.02.2023]
Il y a deux situations de flux qui peuvent être encadrés par les clauses contractuelles types :
Pour rappel les pays adéquats (hors l'UE) sont :
Andorre - Argentine - Canada - Iles Féroe - Guernesey - Israël - Ile de Man - Japon - Jersey - Nouvelle-Zélande - Suisse - Uruguay - Royaume-Uni (temporaire jusqu'en juin 2025)
!!! Le transfert de données vers des entités américaines soumises à la réglementation FISA (art. 702 de la loi américaine sur la surveillance et le renseignement étranger) n'est pas possible avec la seule signature des CCT au regard de la législation applicable. Il faut mettre en place des garanties supplémentaires (notamment des mesures d'ordre techniques telles que le chiffrement)
Le 27 août 2021, le PFPDT a officiellement reconnu les nouvelles clauses contractuelles types adoptées par l'UE comme offrant des garanties suffisantes permettant le transfert des données dans des pays n'assurant pas un niveau de protection adéquat.
Toutefois, cette reconnaissance entraîne des adaptations :
Ces clarifications peuvent être intégrées dans un avenant qui s'applique dans la mesure où la LPD est également applicable.
Par ailleurs, le PFPDT reconnait que les nouvelles CCT peuvent être utilisées dans les adaptations ci-dessus si les transferts de données concernées sont simultanément régis par la LPD et le RGPD.
Les nouvelles clauses contractuelles types ont été adoptées par la Commission européenne le 4 juin 2021 et publiées le 7 juin 2021.
Elles sont entrées en vigueur le 27 juin 2021.
Les nouveaux contrats devront utiliser les nouvelles CCT dès cette date. Pour les contrats en cours, le délai pour mettre à jour les CCT était le 27 décembre 2021.
Les CCT contiennent 4 scénarios de transfert de données (4 modules) :
Les nouvelles CCT peuvent être utilisées non seulement par les RT et les ST établis dans l'UE mais également par les RT ou ST qui ne sont pas établis dans l'UE, pour leurs activités de traitement soumises au RGPD en application du critère de ciblage de l'art. 3, para. 2.
Le module pour le transfert de RT à ST intègre également les exigences de l'art. 28 RGPD concernant les contrats qui doivent être conclus (indépendamment du transfert international de données) entre ces parties. Donc il n'est pas nécessaire de conclure un contrat séparé supplémentaire (i. e un DPA)
Les CCT exigent d'aller au-delà d'une simple signature : il faut compléter en détail un certain nombre de points.
Les CCT comprennent également 3 annexes qui doivent être complétées : annexe 1 (identité et coordonnées des parties, description du traitement, autorité de contrôle désignée) ; annexe 2 (description des mesures techniques et organisationnelles, réservée aux modules 1,2 et 3, exemples de mesures à retenir selon ce qui est mis en place) ; annexe 3(liste des sous-traitants ultérieurs, réservée aux modules 2 et 3).
Le texte des CCT ne peut être modifié (selon la clause 2) sauf pour sélectionner des modules et/ou des options spécifiques proposés dans le texte, pour compléter le texte, pour compléter les annexes et pour ajouter des garanties complémentaires.
En cas de contradiction avec d'autres clauses/dispositions, la clause 5 fait prévaloir les CCT.
Les personnes concernées sont des tiers bénéficiaires qui peuvent invoquer et faire appliquer les CCT à l'exception des clauses visées à la clause 3.
La clause 7 est facultative et permet à une entité d'adhérer aux CCT à tout moment avec l'accord des parties (clause dite d'amarrage)