<= Revenir à la Lettre d'actualités juridiques
Droit des données
le 24/01/2023
David CONERARDYDavid CONERARDY

Transfert de données hors UE : les anciennes clauses contractuelles types ne sont plus valables

Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

Depuis le 27 décembre 2022, les exportateurs et importateurs de données ne peuvent plus utiliser les anciennes clauses contractuelles types (CCT) de la Commission européenne, y compris celles signées avant juin 2021, pour encadrer des transferts de données hors UE.

Pour rappel, le RGPD[1] encadre strictement le transfert de données personnelles vers des pays en dehors de l’Espace économique européen.

Ainsi, le RGPD admet la possibilité de réaliser un transfert international de données :

  • soit s’il existe une décision d’adéquation par laquelle l’Union européenne reconnaît qu’un territoire présente un niveau de protection équivalent au sien ;
  • soit lorsque le transfert répond à l’une des dérogations fondées sur le consentement ou la nécessité de certaines opérations limitativement énumérées ;
  • soit lorsque le transfert s’appuie sur des instruments juridiques appropriés.

Parmi les instruments les plus utilisés, on trouve les CCT qui constituent ensemble de clauses modèles pouvant être utilisées par les parties lors d’un transfert de données personnelles vers un pays tiers à l’UE. A l’origine, la Commission européenne avait adopté des CCT sous la forme de deux ensembles : l’un encadrant les transferts entre deux responsables de traitement (décisions du15 juin 2001 et du 24 décembre 2004), et l’autre encadrant les transferts entre un responsable de traitement et un sous-traitant (décision du 5 février 2010).

Cependant, l’actualisation des CCT était devenue nécessaire à un double titre :

  • d’une part, les anciennes CCT se sont trouvées fragilisées du fait de l’arrêt Schrems II[2] du 16 juillet 2020 par lequel la CJUE a non seulement invalidé le Privacy Shield[3], mais a aussi déclaré l’insuffisance des anciennes CCT pour encadrer un transfert de données à caractère personnel depuis l’Europe vers les États-Unis ;
  • d’autre part, tirant les conséquences de cet arrêt, le Comité Européen pour la Protection des données (CEPD) a adopté, le 11 novembre 2020, un certain nombre de recommandations tendant à l’adoption de mesures supplémentaires pour les transferts internationaux de données.

Compte tenu de ces évolutions, la refonte des CCT paraissait indispensable. C’est dans ce cadre qu’est intervenue la décision d’exécution n° 2020/914, adoptée par la Commission européenne le 4 juin 2021 afin de remplacer les anciens modèles.

A cet égard, il est notamment à relever qu’à la différence des anciennes CCT qui ne couvraient que les transferts entre deux responsables de traitement et ceux entre un responsable de traitement et un sous-traitant, les nouvelles CCT couvrent également les transferts de sous-traitant à sous-traitant ainsi que les transferts de sous-traitant à responsable de traitement.

Une période de transition de trois mois à partir de l’entrée en vigueur des nouvelles CCT avait été prévue (jusqu’en septembre 2021) puis prolongée de 15 mois afin de permettre aux exportateurs et importateurs de données de continuer à invoquer les anciennes CCT.

Ce délai transitoire étant arrivé à son terme le 27 décembre 2022, les exportateurs et importateurs de données doivent tous avoir mis à jour leurs CCT ou recourir à un autre outil de transfert, a alerté la CNIL dans un communiqué publié le 21 décembre 2022.

 

[1] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

[2] CJUE, 16 juill. 2020, Schrems II, aff. C-311/18.

[3] Décision d’adéquation n° 2016/1250 du 12 juillet 2016 valant accord transatlantique conclu entre les États-Unis et l’Union européenne, permettant à tout responsable de traitement de se référer à cet accord, en s’y déclarant conforme, pour transférer des données entre les deux continents.