Actualité

La Commission européenne a adopté aujourd’hui une décision mettant à jour les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants de données établis dans des pays non membres de l’UE.

Cette décision modifie les clauses contractuelles types actuelles de façon à prendre en compte l’expansion des activités de traitement et les nouveaux modèles commerciaux de traitement international des données à caractère personnel. Elle contient des dispositions spécifiques autorisant, à certaines conditions, l’externalisation d’activités de traitement à des sous-traitants ultérieurs, tout en garantissant la protection constante des données à caractère personnel.

Le vice-président Jacques Barrot a déclaré que cette nouvelle version modifiait des clauses de contrats en tenant compte des progressions du traitement et de l'externalisation des données. Selon lui, ces clauses garantissent la protection des données comme le désirent les citoyens européens tout comme elles prennent en compte les besoins des entreprises à l'échelle internationale.

Les clauses contractuelles types « responsable du traitement vers sous-traitant » ont été approuvées par la décision 2002/16/CE de la Commission afin de doter les entreprises d’un outil garantissant une protection adéquate des données à caractère personnel lorsque ces données sont transférées vers des sous-traitants établis hors de l'UE/EEE. La décision adoptée aujourd’hui tient compte des recommandations formulées dans le "rapport sur la mise en œuvre des décisions relatives aux clauses contractuelles types" et des propositions des différentes parties prenantes. La décision nouvellement adoptée prévoit qu’un importateur de données (le sous-traitant ) qui souhaite sous-traiter toute opération de traitement réalisée pour le compte de l’exportateur de données de l’UE (le responsable du traitement ) doit au préalable obtenir l’accord écrit de ce dernier. Le contrat écrit imposera au sous-traitant ultérieur les mêmes obligations que celles auxquelles est soumis l’importateur de données conformément aux clauses contractuelles types. En cas de manquement par le sous-traitant ultérieur aux obligations qui lui incombent en matière de protection des données, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données.

En outre, la sous-traitance ultérieure portera uniquement sur les opérations de traitement convenues dans le contrat initial conclu par l’exportateur de données de l’UE et l’importateur de données. Les contrats existants, conclus en vertu des clauses approuvées par la décision 2002/16/CE, restent en vigueur aussi longtemps que les transferts et les opérations de traitement de données demeureront inchangés. Si elles souhaitent modifier le contrat ou y introduire des modalités relatives à la sous-traitance ultérieure, les parties à ces contrats seront tenues de conclure un nouveau contrat conformément à la version actualisée des clauses contractuelles. Les autorités nationales chargées de la protection des données peuvent également autoriser d’autres modalités contractuelles «ad hoc» pour les transferts internationaux de données si elles estiment que ces contrats offrent des garanties suffisantes en matière de protection des droits fondamentaux, et notamment du droit au respect de la vie privée. Les clauses contractuelles ne sont pas nécessaires pour le transfert de données à caractère personnel à l’intérieur de l’EEE (Espace économique européen, c’est-à-dire l’UE plus l’Islande, la Norvège et le Liechtenstein), vers les pays dont les systèmes de protection des données ont été reconnus par la Commission comme offrant une protection adéquate, ou vers les entreprises américaines qui observent les principes de la «sphère de sécurité» énoncés par le ministère américain du commerce.