Le 7 juin, de nouvelles clauses contractuelles types (CCS), pour le transfert de données personnelles vers des pays tiers, ont été publiées au Journal officiel de l’Union européenne. Mon équipe et moi-même suivons constamment l’évolution du règlement UE 2016/679 (Règlement général sur la protection des données « RGPD »), et voici ce que nous avons appris jusqu’à présent sur les derniers changements.
Comme le souligne la Commission européenne, les nouvelles CSC sont destinées à s’aligner sur les exigences du GDPR et sur l’arrêt de la Cour de justice de l’Union européenne dans l’affaire Schrems II.
Principaux points à retenir
- Date d’entrée en vigueur et période de transition
Les nouvelles CSC entrent en vigueur le 27 juin 2021, et les sociétés doivent adopter les nouvelles CSC jusqu’au 27 septembre 2021. Tous les contrats existants pour les transferts de pays tiers doivent être convertis aux nouvelles CSC avant le 27 décembre 2022.
- Inclusion des exigences de l’article 28 du GDPR
Les nouveaux CCP couvrent toutes les exigences énoncées à l’article 28 du GDPR. Par conséquent, une fois que les parties auront mis en place les nouveaux CCN, il ne sera plus nécessaire de signer un accord distinct sur le traitement des données.
- Mise en œuvre de Schrems II
Avant de signer les nouvelles CSC, les parties seront tenues d’évaluer et de documenter le niveau de protection des données dans le pays tiers. En cas de risque, les parties doivent s’assurer que des mesures supplémentaires sont en place pour atténuer ce risque, et que les données personnelles sont protégées conformément aux normes définies dans le GDPR.
- En outre, les nouvelles CSC exigent des importateurs de données qu’ils informent rapidement les exportateurs de données s’ils reçoivent d’une autorité publique une demande de divulgation de données à caractère personnel ou s’ils ont connaissance de l’accès direct d’une autorité publique à des données à caractère personnel. Si l’autorité publique interdit aux importateurs de données de remplir leurs obligations, les importateurs de données doivent faire de leur mieux pour obtenir une dérogation.
- Les importateurs de données doivent contester la demande d’accès des autorités publiques si cette demande peut être considérée comme illégale en vertu « des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale ».
Alors que l’équipe et moi-même continuons à surveiller les lois et réglementations en matière de protection des données, nous continuerons également à mettre en œuvre des changements et des mises à jour en temps réel de nos logiciels, services, processus et procédures. Cela nous permet de maintenir le plus haut niveau de compliance pour nous-mêmes et pour nos clients. Nous attendons avec impatience le remplacement de nos propres CCN existants – avec des fournisseurs comme Microsoft, Google, Atlassian et ClickDimensions – par les nouveaux CCN.
News
