Selon le GDPR, pour transférer des données personnelles en dehors de l’Union européenne, vous devez vous assurer que des normes spécifiques de protection des données sont en place. Si ce n’est pas le cas, les transferts ne sont pas autorisés.
Toutefois, pour rendre les transferts possibles, il existe plusieurs bases juridiques sur lesquelles vous pouvez vous appuyer. L’une d’entre elles est constituée par les clauses contractuelles types (CCS).
Dans ce petit guide, nous vous expliquons tout ce que vous devez savoir sur les clauses contractuelles types, dans quels cas vous pouvez avoir besoin de recourir aux CCS et ce que vous devez faire pour transférer des données en dehors de l’UE.
Les clauses contractuelles types (CCS) sont des clauses standardisées, approuvées par la Commission européenne, qui permettent les transferts de données en dehors de l’Espace économique européen (EEE).
Les deux parties impliquées dans le transfert doivent signer un accord contenant les clauses contractuelles types, sans en modifier le texte. Comme l’indique la Commission européenne, les CSC peuvent être ajoutées dans tout “arrangement contractuel” entre les parties.
👉 Les clauses contractuelles types ont été mentionnées pour la première fois dans la Directive sur la protection des données de 1995.. Selon cette directive, les transferts de données en dehors de l’UE n’étaient autorisés que lorsque certaines normes de protection des données étaient respectées, ou lorsqu’il existait des clauses contractuelles types. En 2018, le GDPR a remplacé la directive sur la protection des données, en gardant la même mention aux CCN..
👉 Avance rapide jusqu’en juillet 2020, l’arrêt Schrems II a invalidé l’accord de transfert entre l’UE et les États-Unis, le Privacy Shield. Les CCN sont devenus essentiels pour tout type de transfert de données entre ces pays. Cependant, ils ne sont pas contraignants pour le gouvernement américain, mais seulement pour la société qui signe l’accord.
👉 Afin de faire face aux défis actuels et de faciliter le transfert de données entre l’UE et les États-Unis, la Commission européenne a révisé les clauses. Le 4 juin 2021, la Commission a adopté deux séries de clauses contractuelles types:
Les CSC ne sont pas toujours nécessaires.
En fait, vous devez d’abord vérifier si une décision d’adéquation est en place. Habituellement, lorsque le niveau de protection des données est identique à celui du GDPR, la Commission européenne émet une décision d’adéquation. Dans ce cas, il n’y a pas besoin de clauses contractuelles types.
💡 Jusqu’à présent, les seuls pays pour lesquels la Commission européenne a émis une décision d’adéquation sont les suivants : Andorre, Argentine, Canada (organisations commerciales), îles Féroé, Guernesey, Israël, île de Man, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, le Royaume-Uni et Uruguay.
Une fois que vous êtes sûr de cet aspect, vous devez également vous assurer que les CCN sont le mécanisme qui s’applique à votre activité. Si c’est le cas, vous devez alors signer un accord contenant des clauses contractuelles types.
Si vous transférez des données en dehors de l’EEE, vous devez également l’indiquer dans votre politique de confidentialité. Avec iubenda, c’est très facile :
Comme nous l’avons déjà mentionné, vos clauses contractuelles types peuvent être ajoutées à tout accord que vous avez avec la partie à laquelle vous transférez des données, ou elles peuvent constituer un document à part entière.
Créer vos CSC est plus facile que vous ne le pensez, car vous devez suivre strictement le texte proposé par la Commission européenne.
Oui, les clauses contractuelles types ne sont pas le seul moyen de transférer des données en dehors de l’EEE, vous avez d’autres possibilités :
Si vous transférez des données, vous devez le divulguer dans votre politique de confidentialité ! Ne pas le faire, pourrait invalider votre activité.
Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.
