Les clauses contractuelles types (CCT ou SCC’s selon l’acronyme anglais) sont un des mécanismes les plus employés pour encadrer des transferts de données en dehors de l’Union européenne.
Or, à la suite de la décision « Schrems II » de la CJUE, les modèles de CCT ont été revus par la Commission européenne.
Dès lors, les CCT signées antérieurement doivent impérativement être remplacées par un contrat conforme aux nouveaux modèles d’ici le 27 décembre 2022.
Une simple formalité ?
La signature du nouveau modèle de clauses n’est malheureusement pas une simple formalité.
En effet, il y a plusieurs évolutions à prendre en compte :
- Davantage de scenarios
Comme nous l’avons déjà abordé ici, les nouvelles CSC combinent des clauses générales avec une approche modulaire couvrant quatre scénarios de transfert de données :
- Transferts de responsable du traitement à responsable du traitement,
- Transferts de responsable du traitement à sous-traitant,
- Transferts de sous-traitant à sous-traitant [nouveau],
- Transferts de sous-traitant à responsable du traitement [nouveau].
Il faut donc identifier la relation en question.
- Analyse des lois du pays tiers
Les nouvelles CCT contiennent des dispositions supplémentaires imposant à l’exportateur et à l’importateur de données d’évaluer les lois locales du pays destinataire ainsi que les risques d’accès aux données par les autorités publiques, ce qui n’est pas simple…
- Description des mesures complémentaires prises
A la lumière de cette analyse, les parties doivent adopter des mesures complémentaires (techniques, organisationnelles ou contractuelles), afin de rencontrer adéquatement les risques identifiés.
- Comment se protéger davantage ?
L’ajout de clauses de garantie et d’audit solides est souhaitable.
Notre conseil :
Il n’est pas trop tard, mais il est temps d’agir !
Ne vous inquiétez pas ! Notre équipe Vie privée et Protection des données est à votre disposition pour vous assister dans cette tâche.
Vous pouvez également revoir notre webinaire sur le sujet ici.
