Confidentialité – Nouveaux clauses contractuelles types (SCC)

Le 27 septembre 2021, la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 entre en vigueur. Cette décision, adoptée dans le contexte de l’arrêt Schrems II de la CJUE, introduit de nouvelles clauses contractuelles types (SCC) conformément au RGPD (Règlement (UE) 2016/679).

À partir de cette date, les nouvelles SCC doivent être utilisées pour fournir des garanties appropriées en matière de protection des données au sens de l’article 46, paragraphe 1, du RGPD, pour les transferts internationaux de données vers des pays qui ne garantissent pas un niveau de protection "adéquat" des données personnelles, remplaçant ainsi les anciennes SCC de 2001, 2004 et 2010 établies en vertu de la directive 95/46. Cela s'applique sauf recours à un autre mécanisme ou à une exception. Les contrats conclus avant le 27 septembre 2021 en utilisant les anciennes SCC restent toutefois valides jusqu’au 27 décembre 2022.

À titre de rappel, les nouvelles SCC doivent être appliquées conformément à la Recommandation 2020/01 publiée le 11 novembre 2020 par le Comité européen de la protection des données (CEPD) sur les mesures complémentaires nécessaires pour garantir le respect du niveau de protection des données au sein de l’Union.

Les nouvelles SCC adoptent une approche modulaire et non négociable avec quatre scénarios, et elles incluent des exigences supplémentaires pour garantir leur conformité. Cela inclut l’obligation pour les parties d'effectuer des contrôles supplémentaires de transparence et de notification concernant les demandes d’accès des autorités publiques, ainsi que d'évaluer et documenter la législation du pays tiers pour confirmer que celle-ci ne compromet pas la conformité des importateurs aux conditions des SCC, en tenant compte des circonstances factuelles du transfert et des garanties supplémentaires prévues. Les parties doivent notamment garantir qu'elles n'ont aucune raison de croire que les lois et pratiques du pays de destination empêchent l'importateur de respecter ses obligations au titre des nouvelles SCC. En cas de changement législatif compromettant l’adéquation, l’exportateur de données doit suspendre le transfert et peut résilier le contrat.

Il convient également de noter le champ d’application élargi, le système d’intégration multiparties, les droits directs accordés aux personnes concernées, le remplacement des accords de traitement des données et les dispositions de responsabilité instaurées par les SCC.

Les nouvelles SCC ne s’appliquent pas aux transferts hors UE vers le Royaume-Uni.

L’équipe de DEL-Law est prête à vous accompagner pour répondre à ces exigences particulièrement strictes.