La Commission européenne a adopté, en date du 4 juin 2021, la nouvelles clauses contractuelles types (Clauses contractuelles standard ; SCC; allemand / anglais), selon le projet de la CSC du 12 novembre 2020.
Nous avions parlé du projet et résume les principales nouveautés.. Un deltaview entre le projet et la version adoptée est disponible ici (en anglais) :
- Décision d’application (avec les considérations qui le sous-tendent) ;
- SCC.
Généralités et matériel de travail
Comme le projet, les nouvelles SCC modulaire sont construits. Ils contiennent des modules pour les transmissions :
- Module 1: Responsable RGPD à nResponsable RGPD sans décision d’adéquation ;
- Module 2Responsables RGPD à sous-traitants non soumis au RGPD ;
- Module 3: sous-traitant RGPD à sous-traitant non RGPD ;
- Module 4: sous-traitants RGPD à des non-responsables RGPD.
Certaines clauses s’appliquent à tous les modules, d’autres diffèrent selon les modules et certaines ne s’appliquent pas à tous les modules. Au sein de chaque module, il existe parfois des options parmi lesquelles il faut choisir. Cela ne rend pas le document facile à comprendre.
Nous – c’est-à-dire Walder Wyss – avons donc Version en ligne des clauses et des outils de travail (y compris des documents Word, également séparés pour chaque module). (comme toujours sans garantie).
Calendrier et périodes de transition
- L’arrêté d’exécution entre en vigueur le 27 juin 2021 (20 jours après la publication au Journal officiel du 7 juin 2021).
- Les nouveaux SCC sont disponibles à partir du 27 septembre 2021 à partir de laquelle les CCN actuels (c’est-à-dire les décisions d’application sur lesquelles ils reposent) seront abrogés. Jusqu’à cette date, une période de transition de trois mois à partir de l’entrée en vigueur de la décision d’application. A partir de cette date, les nouveaux contrats ne pourront utiliser que les nouveaux CCN (art. 4, points 2 et 3, de la nouvelle décision d’application).
- Les anciens – c’est-à-dire les actuels – SCC peuvent être inscrits pour le 27 septembre 2021. contrats existants pendant une Période de transition de 15 mois continuent d’être utilisés, désormais sur la base de la nouvelle décision d’application, c’est-à-dire jusqu’au 27 décembre 2022 (art. 4, point 4, de la décision d’application). D’ici là, les contrats existants doivent être migrés vers les nouveaux CCN.
Autres remarques
- Il convient de préciser d’emblée que les CCN ne peuvent pas être utilisés et – conformément à la décision d’exécution – qu’ils peuvent l’être, si l’importateur est soumis au RGPDL’exportateur doit s’assurer que le RGPD est applicable, et ce même si l’applicabilité du RGPD découle de l’article 3, paragraphe 2, du RGPD, c’est-à-dire du principe d’impact concrétisé par le droit de la protection des données (d’où l’expression “responsable RGPD”, etc. ci-dessus). L’exportateur doit donc s’assurer que l’importateur est soumis au RGPD ; et comme l’article 3, paragraphe 2, du RGPD ne couvre que certains traitements, il convient, le cas échéant, de répondre à cette question spécifiquement pour le traitement en question. En revanche, les Exportateurs en dehors de l’EEE utiliser les nouvelles clauses si elles sont elles-mêmes soumises au RGPD en vertu de l’article 3, paragraphe 2.
- Conceptuel les modules 3 et 4 sont nouveaux, pour les livraisons croisées entre sous-traitants et pour les transmissions de sous-traitants RGPD à des responsables non RGPD.
- Le site Module 2 pour les transmissions de contrôleur à processeur contient les contenus selon l’art. 28, al. 3 RGPD. Il ne devrait donc plus être obligatoire de conclure un contrat de traitement des commandes supplémentaire en plus des CSC.
- Les nouvelles SCC existantes peuvent être modifiées à tout moment par d’autres parties. adhérer. Cela devrait être particulièrement important dans les groupes de sociétés.
- Les SCC contiennent Dispositions relatives à la responsabilité (une promesse de responsabilité, pas une limitation). La question de savoir si ce régime de responsabilité doit être de droit dispositif n’est pas tranchée.
- L’éléphant dans la pièce est bien sûr Schrems II. La Commission estime – sous réserve que la CJCE puisse réexaminer la décision d’exécution dans Schrems III, IV ou V – que la question de Schrems II n’est pas résolue par les nouvelles CSC, mais qu’elle est abordée. A cet effet, les SCC – respectivement pour les quatre modules – dans les clauses 14 et 15, des clauses Schrems II propres. Selon Clause 14 les règles suivantes s’appliquent :
- Les parties s’assurent mutuellement qu’elles font confiance à l’importateur pour respecter la CSC malgré son droit national,
- Ils ne tirent pas cette assurance de l’expérience générale de la vie. Ils doivent au contraire clarifier en détail les effets du droit national de l’importateur, avec la participation de ce dernier – c’est la base de ce que l’on appelle le “droit du pays”. “Évaluations de l’impact du transfert” (TIA), qui devraient ainsi s’imposer beaucoup plus fortement ; ceci notamment en raison de l’obligation de documentation qui découle déjà du RGPD pour l’exportateur, mais qui devient désormais une obligation contractuelle pour l’importateur également. L’obligation de TIA s’applique également aux transmissions ultérieures d’un importateur lié par la CSC à d’autres importateurs non soumis au RGPD. Il faut s’attendre à ce que les plus grands importateurs – en particulier les groupes technologiques américains – élaborent et mettent à disposition des TIA standardisés.
- L’importateur doit informer l’exportateur si sa législation ou la pratique des autorités change de manière significative. Dans ce cas, l’exportateur doit prendre des mesures supplémentaires et, en cas d’échec, suspendre le transfert, et il peut également résilier le SCC dans ce cas.
- Après Clause 15 s’applique en cas d’accès par les autorités publiques continue :
- L’importateur doit avertir immédiatement l’exportateur, dans la mesure où il en a le droit. Il informe régulièrement l’exportateur des lawful access requests.
- L’importateur doit vérifier la légalité de l’accès, documenter cette vérification et contester les injonctions correspondantes, à moins qu’il ne considère que cela n’a aucune chance d’aboutir. Il doit même demander des mesures provisoires.
- Il est évident que ces exigences favorisent les grands fournisseurs et accélèrent ainsi le processus de concentration chez les fournisseurs de cloud.
- Il est intéressant de noter que la Commission a suivi, pour les TIA, un Approche basée sur le risque semble suivre une approche basée sur les droits plutôt que sur la tendance de l’EDSA dans ses Lignes directrices pour les transferts de données selon Schrems II. Cela se traduit par le fait que les parties doivent tenir compte des circonstances du transfert, y compris du type de données et de la pratique des autorités dans l’État destinataire. Les lignes directrices de l’EDSA ne sont encore qu’à l’état de projet, mais elles devraient être définitivement adoptées dans les dix prochains jours et, d’après ce que l’on entend, dans le même sens que le projet. La relation entre ces lignes directrices et les nouvelles CSC fera donc sans aucun doute encore l’objet de discussions.
- Si l’UE devait Adéquation du droit suisse de la protection des données, les exportateurs de l’EEE doivent conclure des CCC avec les importateurs suisses, sauf exception. Cela serait très contraignant pour les exportateurs, mais encore plus pour les importateurs qui seraient de facto obligés de fournir à leurs partenaires contractuels de l’EEE des CCS et des documentations adaptés à la Suisse. Dans ce cas, il faut espérer que l’OFJ ou le PFPDT mettent rapidement à disposition les bases d’un CH-TIA que les importateurs pourraient préparer en fonction de leur secteur d’activité.
- Le site PFPDT n’a pas encore ratifié les nouvelles CSC, mais le fera sans aucun doute.