Publi­ca­ti­on du pro­jet de nou­vel­les clau­ses standard

Auto­ri­té :

Sec­teurs d’activité :

Les lois :

,

Thè­mes :

, ,
Français 
Français  Deutsch  English 

Contenu 

Le 12 novembre 2020, la Com­mis­si­on euro­pé­en­ne a publié le rap­port atten­du sur l’é­tat d’a­vance­ment des travaux. Publi­ca­ti­on du pro­jet de clau­ses con­trac­tu­el­les types révi­sées (PDF avec table des matiè­res)Peu de temps après que l’ED­SA a annon­cé son Recom­man­da­ti­ons pour des mesu­res sup­p­lé­men­tai­res de pro­tec­tion lors de trans­mis­si­ons trans­fron­ta­liè­res a pré­sen­té. Les nou­vel­les clau­ses sont basées sur une Décis­i­on de la Com­mis­si­on euro­pé­en­neLa Com­mis­si­on a éga­le­ment rédi­gé un rap­port sur les clau­ses con­trac­tu­el­les types, qui con­ti­ent en quel­que sor­te les con­sidé­rants des clauses.

Quel­les sont les clauses ?

Il n’e­xi­ste plus qu’un seul ensem­ble de clau­ses stan­dard, et non plus deux ou trois com­me aupa­ra­vant. Elles sont tou­te­fois modu­lai­res et cou­vrent éga­le­ment des scé­na­ri­os pour les­quels il man­que aujour­d’hui des clauses :

  • Dis­po­si­ti­ons géné­ra­lesLes clau­ses con­ti­en­nent tout d’a­bord, dans une pre­miè­re sec­tion, des dis­po­si­ti­ons géné­ra­les rela­ti­ves au champ d’application.
  • Dis­po­si­ti­ons par­ti­cu­liè­resDans une deu­xiè­me sec­tion (Sec. II), les clau­ses con­ti­en­nent les obli­ga­ti­ons fon­da­men­ta­les des par­ties (“Data pro­tec­tion safe­guards”). Cel­les-ci dif­fè­rent tout d’a­bord en fonc­tion des con­stel­la­ti­ons suivantes : 
    • Trans­mis­si­on ent­re Responsable (Modu­le One) ;
    • Trans­mis­si­ons d’un Responsable à un Sous-trai­tant (modu­les 2), les mêmes clau­ses pou­vant éga­le­ment être uti­li­sées pour un trans­fert par un sous-trai­tant de l’EEE à un sous-trai­tant ulté­ri­eur dans un pays tiers (ce qui sup­po­se­rait aujour­d’hui, selon la lec­tu­re offi­ci­el­le, la con­clu­si­on direc­te des clau­ses stan­dard ent­re le responsable du trai­te­ment et le sous-trai­tant ultérieur) ;
    • Trans­mis­si­ons d’un Sous-trai­tant à un aut­re Sous-trai­tant (modu­les 3) ;
    • Trans­mis­si­ons d’un Sous-trai­tant à un Responsable (modu­les 4).
  • Tou­jours dans la deu­xiè­me sec­tion, on trouve d’aut­res dis­po­si­ti­ons qui dif­fè­rent en par­tie selon le modu­le, ain­si sur droit local(tous les modu­les) ; sur les obli­ga­ti­ons de l’im­por­ta­teur en cas d’in­frac­tion à la légis­la­ti­on sur la pro­tec­tion des don­nées (tous les modu­les) Accès des auto­ri­tés (tous les modu­les) ; sur l’uti­li­sa­ti­on de Sous-pro­ce­s­seurs (modu­les 2 et 3 uni­quement) ; Droits des per­son­nes con­cer­nées; Pro­tec­tion juri­di­que (modu­les 1 – 3 uni­quement) ; Responsa­bi­li­té (tous les modu­les ; non facul­ta­tif) ; Indem­ni­sa­ti­on (tous les modu­les, pas de dif­fé­ren­ces) et Super­vi­si­on (tous les modu­les, pas de différences).
  • La troi­siè­me sec­tion con­ti­ent Dis­po­si­ti­ons fina­les(vio­la­ti­on et rési­lia­ti­on ; droit appli­ca­ble ; juri­dic­tion compétente).
  • Anne­xe 1 con­ti­ent une liste des par­ties et une descrip­ti­on de la transmission.
  • Anne­xe 2 con­ti­ent une descrip­ti­on des mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les appli­ca­bles – ici, les Recom­man­da­ti­ons de l’ED­SA sur les mesu­res Schrems II qui ne sont que par­ti­el­le­ment mises en œuvre par le tex­te des nou­vel­les clau­ses). L’an­ne­xe 2 cite des exemp­les de mesu­res. Par natu­re, seu­les les mesu­res tech­ni­ques et orga­ni­sa­ti­on­nel­les sont men­ti­onnées, et non les mesu­res con­trac­tu­el­les d’accompagnement.

Quel est le rap­port avec les mesu­res d’ac­com­pa­gne­ment Schrems II ?

  • Les clau­ses stan­dard doi­vent garan­tir la pro­tec­tion requi­se par le RGPD. La que­sti­on de savoir si elles le peu­vent dépend du droit local de l’im­por­ta­teur. Par con­sé­quent, les clau­ses ne peu­vent pas être suf­fi­san­tes et ne légiti­ment pas un trans­fert si ce droit local ne per­met pas le respect des clau­ses. L’ex­porta­teur doit donc éga­le­ment véri­fier les nou­vel­les clau­ses, si le droit local est con­for­me aux exi­gen­ces:

    Le trans­fert et le trai­te­ment de don­nées à carac­tère per­son­nel en ver­tu de clau­ses con­trac­tu­el­les stan­dard ne dev­rai­ent avoir lieu que si les lois du pays tiers de desti­na­ti­on n’empêchent pas l’im­por­ta­teur de don­nées de se con­for­mer à ces clau­ses. Dans ce con­tex­te, les lois qui respec­tent l’e­s­sence des droits et liber­tés fon­da­men­taux et qui ne dépas­sent pas ce qui est néces­saire et pro­por­ti­onné dans une socié­té démo­cra­tique pour garan­tir l’un des objec­tifs énu­mé­rés à l’ar­tic­le 23, para­gra­phe 1, du règle­ment (UE) 2016/679 ne dev­rai­ent pas être con­sidé­rées com­me étant en con­tra­dic­tion avec les clau­ses con­trac­tu­el­les types.

  • Cela exi­ge un examen par rap­port à la trans­mis­si­on con­crè­te. S’il s’a­vè­re ulté­ri­eu­re­ment que l’im­por­ta­teur ne peut plus respec­ter les clau­ses, les par­ties doi­vent exami­ner des mesu­res sup­p­lé­men­tai­res:

    Si l’ex­porta­teur de don­nées […] se rend comp­te que l’im­por­ta­teur de don­nées n’est plus en mesu­re de respec­ter les clau­ses con­trac­tu­el­les types, il doit iden­ti­fier les mesu­res appro­priées pour remé­dier à la situa­ti­on, le cas échéant en con­sul­ta­ti­on avec l’au­to­ri­té de con­trô­le com­pé­ten­te. Ces mesu­res peu­vent inclu­re des mesu­res com­plé­men­tai­res adop­tées par l’ex­porta­teur et/ou l’im­por­ta­teur de don­nées, tel­les que tech­ni­que ou orga­ni­sa­ti­on­nel­le des mesu­res pour assurer la sécu­ri­té et la confidentialité.

  • La décis­i­on de la Com­mis­si­on euro­pé­en­ne ne dit rien d’ex­pli­ci­te sur la que­sti­on de savoir quel­le est enco­re l’im­portance des clau­ses stan­dard dans ce cas, mais il res­sort clai­re­ment du con­tex­te que les clau­ses stan­dard peu­vent cer­tes con­tin­uer à s’ap­pli­quer dans ce cas, mais uni­quement en com­bi­nai­son avec d’aut­res mesu­res. En d’aut­res ter­mes le pro­blè­me de Schrems II reste inchan­géL’ex­porta­teur est tenu de véri­fier la con­for­mi­té des clau­ses avec le droit local. L’ex­porta­teur n’est donc pas plus dis­pen­sé de cet examen qu’il ne l’est avec les clau­ses actu­el­les. Au con­trai­re, les clau­ses pré­voi­ent des obli­ga­ti­ons con­crè­tes sur la maniè­re d’éva­luer le droit local et les fac­teurs de ris­que à prend­re en comp­te (ce der­nier point étant tou­te­fois très super­fi­ci­el), ain­si qu’u­ne obli­ga­ti­on de docu­men­ta­ti­on correspondante.

Qui peut con­clu­re les clauses ?

  • Les clau­ses sont à la fois Pri­vé ain­si que Auto­ri­tés ouvert (Clau­se 1(b)).
  • Troi­siè­me peu­vent adhé­rer à des clau­ses déjà con­clues, à con­di­ti­on que les par­ties soi­ent d’ac­cord (“Docking Clau­se”, clau­se opti­on­nel­le 6). L’ad­hé­si­on sup­po­se ent­re aut­res que la con­cré­ti­sa­ti­on cor­re­spond­an­te des trans­mis­si­ons (voir point sui­vant) soit com­plé­tée en con­sé­quence, le cas échéant. La clau­se 6 pré­cise que l’entre­pri­se adhé­ren­te n’as­su­me aucu­ne obli­ga­ti­on pré­e­xi­stan­te du fait de son adhésion.

Com­ment les clau­ses doi­vent-elles être concrétisées ?

  • Com­me dans le cad­re des clau­ses actu­el­les, les dif­fér­ents flux de don­nées doi­vent éga­le­ment être con­cré­ti­sés dans le cad­re des nou­vel­les clau­ses stan­dard (clau­se 5). Les nou­vel­les clau­ses ne pré­cis­ent pas si cela peut se fai­re uni­quement au cas par cas ou de maniè­re géné­ri­que (par exemp­le par le biais d’u­ne liste de caté­go­ries de don­nées, etc. qui peu­vent être échan­gées dans le cad­re de rela­ti­ons intra­grou­pes), mais la pre­miè­re solu­ti­on dev­rait s’appliquer.
  • La con­cré­ti­sa­ti­on cor­re­spond en gran­de par­tie à l’ac­tu­el­le anne­xe B des clau­ses C2C. Il con­vi­ent tou­te­fois d’in­di­quer en plus des mesu­res de pro­tec­tion par­ti­cu­liè­res pour des caté­go­ries spé­cia­les de don­nées per­son­nel­les et la durée maxi­ma­le de conservation.

Que régis­sent les clauses ?

  • Les obli­ga­ti­ons par­ti­cu­liè­res (Sec. II) règ­lent notam­ment les thè­mes suivants :
  • Respect de la Affec­ta­ti­on des fonds par l’im­por­ta­teur (modu­les 1, 2 et 3) et Obli­ga­ti­on de don­ner des ins­truc­tions de l’im­por­ta­teur (modu­les 2, 3 et 4, dans ce der­nier cas, enga­ge­ment de l’exportateur) ;
  • Trans­pa­rence: Les per­son­nes con­cer­nées doi­vent être informées : 
    • Modu­le 1 (C2C) : par le responsable de l’im­por­ta­ti­on, ent­re aut­res sur son iden­ti­té, les aut­res fins de trai­te­ment et les trans­mis­si­ons ulté­ri­eu­res ; sur deman­de, copie des clauses) ;
    • Modu­le 2 (C2P) : sur deman­de Copie des clauses ;
    • Modu­le 3 (P2P) : sur deman­de Copie des clauses ;
  • Exac­ti­tu­de et mini­mi­sa­ti­on des don­nées:
    • Modu­le 1 (C2C) : à assurer par les deux par­ties, notam­ment par l’in­for­ma­ti­on mutuelle ;
    • Modu­le 2 (C2P) : infor­ma­ti­on mutu­el­le en cas d’inexactitude ;
    • Modu­le 3 (P2P) : infor­ma­ti­on mutu­el­le en cas d’inexactitude ;
  • Effa­ce­ment ou limi­ta­ti­on de la mémoi­re:
    • Modu­le 1 (C2C) : Obli­ga­ti­on de sup­pres­si­on de l’im­por­ta­teur après réa­li­sa­ti­on de la finalité ;
    • Modu­le 2 (C2P) : obli­ga­ti­on de sup­pres­si­on de l’im­por­ta­teur après l’ex­pi­ra­ti­on du trai­te­ment (à con­cré­ti­ser dans l’an­ne­xe I) ;
    • Modu­le 3 (P2P) : obli­ga­ti­on de sup­pres­si­on de l’im­por­ta­teur à l’ex­pi­ra­ti­on du trai­te­ment (à con­cré­ti­ser dans l’an­ne­xe I) ;
  • Sécu­ri­té des don­nées:
    • Modu­le 1 (C2C) : obli­ga­ti­on de prend­re des mesu­res appro­priées de la part de l’im­por­ta­teur, mais aus­si de l’ex­porta­teur en cas de tran­sit ; aut­res obli­ga­ti­ons de l’im­por­ta­teur : (con­trô­le régu­lier des mesu­res (sans clau­se de mini­mis en cas de trans­mis­si­ons anodi­nes) ; garan­tie d’u­ne obli­ga­ti­on léga­le ou con­trac­tu­el­le de con­fi­den­tia­li­té de ses auxi­li­ai­res ; mesu­res d’at­té­nua­ti­on en cas de brè­che ; infor­ma­ti­on sans délai (sans délai maxi­mal) tant de l’ex­porta­teur que de l’au­to­ri­té de sur­veil­lan­ce de l’ex­porta­teur ( !) en cas de vio­la­ti­on sus­cep­ti­ble d’a­voir des con­sé­quen­ces importan­tes, et en même temps des per­son­nes con­cer­nées ( !), à moins que cela ne soit dis­pro­por­ti­onné ; docu­men­ta­ti­on de tou­tes les vio­la­ti­ons et des mesu­res prises ;
    • Modu­le 2 (C2P) : obli­ga­ti­on de prend­re des mesu­res appro­priées de la part de l’im­por­ta­teur, mais aus­si de l’ex­porta­teur en cas de tran­sit ; aut­res obli­ga­ti­ons de l’im­por­ta­teur : accès aux don­nées selon le prin­ci­pe du “need-to-know” ; garan­tie d’u­ne obli­ga­ti­on léga­le ou con­trac­tu­el­le de con­fi­den­tia­li­té de ses auxi­li­ai­res ; mesu­res d’at­té­nua­ti­on en cas de brè­che ; infor­ma­ti­on sans délai (sans délai maxi­mal) de l’ex­porta­teur (mais pas non plus de l’au­to­ri­té de sur­veil­lan­ce ou des per­son­nes con­cer­nées) ; coopé­ra­ti­on avec l’exportateur ;
    • Modu­le 3 (P2P) : obli­ga­ti­on de prend­re des mesu­res appro­priées de la part de l’im­por­ta­teur, mais aus­si de l’ex­porta­teur en cas de tran­sit ; aut­res obli­ga­ti­ons de l’im­por­ta­teur : accès aux don­nées selon le prin­ci­pe du “need-to-know” ; garan­tie d’u­ne obli­ga­ti­on léga­le ou con­trac­tu­el­le de con­fi­den­tia­li­té de la part de ses auxi­li­ai­res ; mesu­res d’at­té­nua­ti­on en cas de brè­che ; infor­ma­ti­on sans délai (sans délai maxi­mal) de l’ex­porta­teur et, le cas échéant, du responsable) ; coopé­ra­ti­on avec l’exportateur ;
    • Modu­le 4 (P2C) : obli­ga­ti­on pour les par­ties de prend­re des mesu­res de sécu­ri­té appropriées.
  • des caté­go­ries par­ti­cu­liè­res de don­nées per­son­nel­les:
    • Modu­le 1 (C2C) : obli­ga­ti­on de prend­re des mesu­res de sécu­ri­té appropriées ;
    • Modu­le 2 (C2P) : Obli­ga­ti­on de respec­ter les mesu­res de sécu­ri­té con­for­mé­ment à l’an­ne­xe I.B (descrip­ti­on de la transmission) ;
    • Modu­le 3 (P2P) : com­me le modu­le 2.
  • Trans­fert ulté­ri­eur (onward trans­fer) vers des pays tiers:
    • Modu­le 1 (C2C) : Inter­dic­tion du trans­fert ulté­ri­eur, sauf si le desti­na­tai­re est éga­le­ment lié par les clau­ses, si le trans­fert est auto­ri­sé en ver­tu des artic­les 46 ou 47 du RGPD (garan­ties appro­priées ou BCR), si l’É­tat desti­na­tai­re off­re une pro­tec­tion adé­qua­te, si l’im­por­ta­teur con­clut avec le tiers un accord offrant la même pro­tec­tion que les clau­ses stan­dard (l’im­por­ta­teur devant alors trans­mett­re une copie à l’ex­porta­teur ou si la per­son­ne con­cer­née a expres­sé­ment don­né son con­sen­te­ment (l’im­por­ta­teur devant dans ce cas infor­mer l’ex­porta­teur en conséquence).
    • Modu­le 2 (C2P) : inter­dic­tion des trans­ferts ulté­ri­eurs en dehors des ins­truc­tions de l’ex­porta­teur et uni­quement si le trans­fert est auto­ri­sé en ver­tu des artic­les 46 ou 47 du RGPD ou si l’É­tat desti­na­tai­re off­re une pro­tec­tion adéquate ;
    • Modu­le 3 (P2P) : com­me le modu­le 2.
  • Docu­men­ta­ti­on et con­for­mi­té:
    • Modu­le 1 (C2C) : Les par­ties doi­vent docu­men­ter le respect des clau­ses. L’im­por­ta­teur doit divul­guer la docu­men­ta­ti­on à l’au­to­ri­té de con­trô­le com­pé­ten­te, le cas échéant.
    • Modu­le 2 (C2P) :
      • Les par­ties doi­vent prou­ver le respect des clauses ;
      • L’im­por­ta­teur doit répond­re aux deman­des de l’ex­porta­teur ; docu­men­ter ses trai­te­ments ; divul­guer les infor­ma­ti­ons néces­saires à l’ex­porta­teur pour qu’il pui­s­se prou­ver le respect des clau­ses ; auto­ri­ser les audits par l’ex­porta­teur ou les agents ; divul­guer les infor­ma­ti­ons à l’au­to­ri­té com­pé­ten­te sur demande.
    • Modu­le 3 (P2P) :
      • Les par­ties doi­vent prou­ver le respect des clauses ;
      • L’im­por­ta­teur doit répond­re aux deman­des de l’ex­porta­teur et du responsable ; docu­men­ter ses trai­te­ments ; divul­guer à l’ex­porta­teur et au responsable les infor­ma­ti­ons néces­saires pour qu’ils pui­s­sent démon­trer le respect des clau­ses ; auto­ri­ser les audits par l’ex­porta­teur ou le responsable ou des agents ; divul­guer des infor­ma­ti­ons à l’au­to­ri­té com­pé­ten­te sur demande.
    • Modu­le 4 (P2C) : Les par­ties doi­vent pou­voir démon­trer le respect des clauses.
  • Droit local (pres­que le même pour tous les modules) : 
    • Assu­rance mutu­el­le ( !) qu’il n’y a aucu­ne rai­son de pen­ser que le droit local s’op­po­se aux clau­ses et qu’ils ont véri­fié ce point ;
    • Assu­rance de l’im­por­ta­teur qu’il a infor­mé l’ex­porta­teur en conséquence ;
    • Obli­ga­ti­on de documentation ;
    • Obli­ga­ti­on pour l’im­por­ta­teur d’in­for­mer l’ex­porta­teur si la légis­la­ti­on loca­le chan­ge et n’est plus com­pa­ti­ble avec les clauses ;
    • Obli­ga­ti­on pour l’ex­porta­teur de prend­re immé­dia­te­ment des mesu­res sup­p­lé­men­tai­res dans ce cas, le cas échéant en con­cer­ta­ti­on avec l’au­to­ri­té de sur­veil­lan­ce. Si la trans­mis­si­on ne peut pas être suf­fi­sam­ment sécu­ri­sée, elle doit être inter­rompue ; l’ex­porta­teur dis­po­se dans ce cas d’un droit de rési­lia­ti­on extra­or­di­naire. Dans les deux cas – avec ou sans mesu­res suf­fi­san­tes – l’ex­porta­teur doit infor­mer son autorité ( !).
  • Accès des auto­ri­tés (pres­que iden­tique pour tous les modu­les ; appli­ca­ble dans le modu­le 4 uni­quement dans cer­tai­nes circonstances) : 
    • L’im­por­ta­teur doit infor­mer immé­dia­te­ment l’ex­porta­teur ; s’il ne peut pas le fai­re, il doit deman­der une déro­ga­ti­on ; infor­ma­ti­on con­ti­n­ue de l’exportateur ;
    • Con­te­sta­ti­on de la décis­i­on d’accès.
  • Recours à des sous-trai­tants:
    • Modu­le 2 (C2P) : uti­li­sa­ti­on uni­quement avec une auto­ri­sa­ti­on géné­ra­le et un droit de veto ou une auto­ri­sa­ti­on indi­vi­du­el­le ; obli­ga­ti­on de super­vi­ser et de divul­guer l’ac­cord de tiers sur deman­de ; responsa­bi­li­té du sous-trai­tant et obli­ga­ti­on d’in­for­mer l’ex­porta­teur des vio­la­ti­ons com­mi­ses par le sous-trai­tant ; droit du responsable du trai­te­ment de fai­re appli­quer le cont­rat de tiers direc­te­ment cont­re le sous-trai­tant en cas de défail­lan­ce du sous-traitant ;
    • Modu­le 3 (P2P) : uti­li­sa­ti­on uni­quement avec une auto­ri­sa­ti­on géné­ra­le et un droit de veto ou une auto­ri­sa­ti­on indi­vi­du­el­le du responsable ; obli­ga­ti­on de sur­li­v­rer et de divul­guer l’ac­cord de tiers à l’ex­porta­teur ou au responsable sur deman­de ; responsa­bi­li­té du sous-trai­tant et obli­ga­ti­on d’in­for­mer l’ex­porta­teur des vio­la­ti­ons com­mi­ses par le sous-trai­tant ; droit de l’ex­porta­teur de fai­re appli­quer le cont­rat de tiers direc­te­ment cont­re le sous-trai­tant en cas de défail­lan­ce du sous-traitant.
  • Droits des per­son­nes con­cer­nées:
    • Modu­le 1 (C2C) : obli­ga­ti­ons détail­lées de l’im­por­ta­teur con­cer­nant le trai­te­ment des deman­des des per­son­nes con­cer­nées (y com­pris, par exemp­le, les décis­i­ons indi­vi­du­el­les automatisées) ;
    • Modu­le 2 (C2P) : infor­ma­ti­on du responsable par l’importateur ;
    • Modu­le 3 (P2P) : infor­ma­ti­on de l’ex­porta­teur et, le cas échéant, du responsable par l’importateur ;
    • Modu­le 4 (P2C) : Coopé­ra­ti­on ent­re les parties.
  • Pro­tec­tion juri­di­que:
    • L’im­por­ta­teur doit indi­quer aux per­son­nes con­cer­nées une per­son­ne de cont­act pour les que­sti­ons et les plain­tes, par exemp­le par le biais d’u­ne com­mu­ni­ca­ti­on ou de son site web.
    • En out­re, les par­ties doi­vent se tenir infor­mées des liti­ges avec les per­son­nes con­cer­nées. Si une per­son­ne con­cer­née invo­que des droits en ver­tu des clau­ses stan­dard (voir le point sui­vant), l’im­por­ta­teur doit se sou­mett­re à une décis­i­on d’un orga­nis­me com­pé­tent de l’EEE (ne s’ap­pli­que pas au modu­le 4).
  • Responsa­bi­li­té:
    • Modu­les 1 et 4 (C2C et P2C) : Les par­ties sont respons­ables les unes envers les aut­res et envers les per­son­nes con­cer­nées (ici, le cas échéant, solidai­re­ment) des dom­mages maté­ri­els et immatériels.
    • Modu­les 2 et 3 (C2P et P2P) : les par­ties sont respons­ables l’u­ne envers l’aut­re et l’ex­porta­teur est responsable envers les par­ties con­cer­nées des dom­mages maté­ri­els et immatériels.
  • Indem­ni­sa­ti­on: Les par­ties ont le droit d’êt­re indem­ni­sées si, en cas de responsa­bi­li­té solidai­re, elles ont fait l’ob­jet d’u­ne récla­ma­ti­on dépas­sant leur part, à con­di­ti­on qu’el­les aient infor­mé l’aut­re par­tie en temps uti­le des récla­ma­ti­ons de tiers et qu’el­les l’ai­dent à se défendre.
  • Super­vi­si­onL’au­to­ri­té de con­trô­le com­pé­ten­te est cel­le de l’ex­porta­teur, qui doit être dési­gnée en détail. Si l’ex­porta­teur n’est sou­mis au RGPD qu’en ver­tu de l’art. 3, al. 2 (p. ex. en cas d’é­ta­blis­se­ment sui­s­se), l’au­to­ri­té com­pé­ten­te est cel­le des per­son­nes con­cer­nées. L’im­por­ta­teur accep­te la com­pé­tence de cet­te auto­ri­té et coopè­re avec elle.
  • Fin:
    • L’ex­porta­teur peut et doit sus­pend­re le trans­fert si l’im­por­ta­teur vio­le les clau­ses ou ne peut con­tin­uer à les respecter.
    • Les clau­ses peu­vent être rési­liées en cas de sus­pen­si­on de la trans­mis­si­on, après un délai rai­sonnable pour réta­b­lir la con­for­mi­té de l’im­por­ta­teur, en cas de vio­la­ti­on sub­stan­ti­el­le ou per­ma­nen­te des clau­ses par l’im­por­ta­teur et en cas de vio­la­ti­on par l’im­por­ta­teur d’u­ne ordon­nan­ce d’un tri­bu­nal ou d’u­ne auto­ri­té com­pé­ten­te. Dans ces cas, l’im­por­ta­teur doit infor­mer l’au­to­ri­té de contrôle.
    • En cas de rési­lia­ti­on, l’im­por­ta­teur doit immé­dia­te­ment resti­tuer les don­nées con­cer­nées et en sup­p­ri­mer des copies, et con­firm­er la sup­pres­si­on (“cer­ti­fy”), à moins que le droit local ne s’y oppose.
  • Droit appli­ca­ble et juri­dic­tion com­pé­ten­teLes par­ties peu­vent choi­sir la loi ou la com­pé­tence des tri­bu­naux d’un État membre.

Que faut-il enco­re prend­re en compte ?

  • Com­me c’est le cas aujour­d’hui, les clau­ses stan­dard ne peu­vent pas être modi­fi­ées, mais elles peu­vent être uti­li­sées dans le cad­re d’un cont­rat. un ensem­ble com­plet de cont­rats (par ex. d’un Intra­group Data Pro­tec­tion Agree­ment) et peu­vent être com­plé­tées par des mesu­res con­trac­tu­el­les d’ac­com­pa­gne­ment (Clau­se 1(c)).
  • Les clau­ses stan­dard pré­va­lent sur tous les aut­res accords con­trac­tuels ent­re les par­ties (clau­se 4), ce qui est déjà géné­ra­le­ment pré­vu dans les contrats.
  • Les clau­ses stan­dard avec le modu­le 2 (C2P) se recou­pent avec les obli­ga­ti­ons pré­vues par Art. 28 RGPDc’est-à-dire l’ac­cord de trai­te­ment des com­man­des. Les incohé­ren­ces doi­vent être évi­tées lors de la mise en œuvre con­trac­tu­el­le. Cela peut con­dui­re à une (nou­vel­le) com­ple­xi­fi­ca­ti­on des contrats.
  • Le site Ris­ques des par­ties aug­men­tent, car d’aut­res obli­ga­ti­ons peu­vent con­dui­re, en cas de vio­la­ti­on, non seu­le­ment à des sanc­tions, mais aus­si à une responsa­bi­li­té con­trac­tu­el­le (ce qui est déjà le cas aujour­d’hui lorsqu’un cont­rat exi­ge de maniè­re géné­ra­le la “com­pli­ance with appli­ca­ble laws”). A cela s’a­jou­te le fait que les clau­ses pré­voi­ent éga­le­ment une responsa­bi­li­té pour les dom­mages imma­té­ri­els, ce que le droit sui­s­se ne con­naît pra­ti­quement nul­le part.
  • Les auto­ri­tés de con­trô­le ont un rôle très actif et peu­vent être amenées à don­ner des con­seils sur des que­sti­ons com­ple­xes. En d’aut­res ter­mes, leur rôle pre­scrit par le RGPD est repré­sen­té par un cont­rat. Si le PFPDT recon­naît éga­le­ment les clau­ses stan­dard, il dev­ra en fai­re de même, ce qui rappro­che dans une cer­taine mesu­re sa mis­si­on de cel­le d’u­ne auto­ri­té de sur­veil­lan­ce de l’UE (et il en va de même pour les auto­ri­tés de sur­veil­lan­ce can­to­na­les lorsqu’el­les recon­nais­sent les clau­ses stan­dard en ver­tu du droit cantonal).

Que faut-il faire ?

  • Pour l’in­stant, les nou­vel­les clau­ses seu­le­ment une ébau­che. La péri­ode de con­sul­ta­ti­on se ter­mi­ne le 10 décembre 2020. La date de fina­li­sa­ti­on et d’en­trée en vigueur des clau­ses n’est pas connue.
  • Cepen­dant, les ent­re­pri­ses doi­vent pas­ser aux nou­vel­les clau­ses stan­dardLes ent­re­pri­ses qui ont recours à ces clau­ses pour des trans­ferts vers des pays tiers doi­vent le fai­re. Cer­ta­ins four­nis­seurs d’ac­cès pro­cé­de­ront d’eux-mêmes aux adap­t­ati­ons néces­saires de leurs cont­rats, mais pas tous, et les nou­vel­les clau­ses ne con­cer­nent pas uni­quement les four­nis­seurs d’ac­cès, mais aus­si tous les aut­res trans­ferts basés sur les clau­ses stan­dard, y com­pris les cont­rats intra­grou­pes et les clau­ses ent­re respons­ables. En out­re, les trans­mis­si­ons qui ne sont pas enco­re régle­men­tées aujour­d’hui dev­rai­ent être basées sur les clau­ses standard.
  • Cela néces­si­te pre­miè­re­ment, une dis­po­si­ti­on rela­ti­ve aux trans­ferts trans­fron­ta­liers en pro­ven­an­ce d’un État de l’EEE ou d’aut­res États qui recon­nais­sent les clau­ses stan­dard com­me poten­ti­el­le­ment suf­fi­san­tes, notam­ment la Suisse.
  • Dans un deu­xiè­me étape il con­vi­ent de déter­mi­ner les­quels de ces trans­ferts ont été et/ou seront légiti­més par les clau­ses types.
  • Troi­siè­me­ment, les cont­rats cor­re­spond­ants doi­vent être adap­tés ou con­clus. En cas d’ad­ap­t­ati­on, la que­sti­on est de savoir de quel­le maniè­re elle peut être effec­tuée. Les cont­rats les plus récents, et notam­ment les accords de trai­te­ment des com­man­des, auto­ri­sent sou­vent l’ex­porta­teur à deman­der uni­la­té­ra­le­ment de tel­les modifications.
  • Qua­triè­me­ment, les infor­ma­ti­ons requi­ses par les nou­vel­les clau­ses doi­vent être dis­po­ni­bles. Cela exi­ge ent­re aut­res une déter­mi­na­ti­on des mesu­res de pro­tec­tion tech­ni­ques et orga­ni­sa­ti­on­nel­les pour les dif­fé­ren­tes trans­mis­si­ons (voir ci-des­sus l’an­ne­xe 2).
  • Cin­quiè­me­ment, l’ex­porta­teur doit véri­fier si l’im­por­ta­teur est en mesu­re de respec­ter les clau­ses. Si ce n’est pas le cas, il doit exami­ner et mett­re en œuvre d’aut­res mesu­res (mesu­res Schrems II).
  • Sixiè­me­ment, les aut­res obli­ga­ti­ons décou­lant du RGPD ou du droit appli­ca­ble en rap­port avec les trans­ferts doi­vent être respec­tées, par exemp­le l’ob­li­ga­ti­on d’in­for­ma­ti­on ou l’ob­li­ga­ti­on de con­clu­re un cont­rat de trai­te­ment des données.