Plus de sécurité pour les entreprises sur les questions urgentes de protection des données : la Commission européenne a renouvelé les clauses contractuelles types et adopté une décision d’adéquation pour le Royaume-Uni déclarant ainsi sa politique de protection des données équivalente à celle de l’UE.
En juillet 2020, la Cour de justice de l’Union européenne a invalidé le bouclier de protection des données (Privacy Shield) UE-États-Unis dans sa décision « Schrems II », mais a jugé que les clauses contractuelles types (CCT), qui constituent un autre mécanisme de transfert des données hors de l’Espace économique européen (EEE), restaient valables. Toutefois, elles doivent être accompagnées de mesures supplémentaires (par exemple, le cryptage), si elles ne sont pas applicables dans le pays qui reçoit les données. Les CCT restent la méthode de transfert de données la plus importante.
Mise à jour des clauses contractuelles types
Le 4 juin 2021, la Commission européenne a publié deux nouvelles séries de clauses contractuelles types. Ces dernières sont conçues pour aider les entreprises à clarifier certaines questions épineuses soulevées par l’arrêt « Schrems II ».
L’une des séries de nouvelles clauses contractuelles types couvre les transferts de données entre les responsables du traitement et les sous-traitants au sein de l’EEE, créant ainsi une sorte d’accord type de traitement des données. L’utilisation de cet ensemble de CCT n’est pas obligatoire.
L’autre série régit tous les types possibles de transferts de données à caractère personnel vers un pays tiers. Elle tient compte des exigences du règlement général sur la protection des données (RGPD) et de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne et garantit un niveau élevé de protection, a indiqué la Commission. Ces CCT normalisées visent à fournir aux entreprises un modèle facile à mettre en œuvre pour se conformer aux exigences en matière de protection des données.
Ces nouvelles CCT pour les transferts de données hors de l’EEE suivent une approche modulaire. Elles couvrent les transferts entre deux responsables du traitement, responsable du traitement à sous-traitant, sous-traitant à sous-traitant et sous-traitant à responsable du traitement via les modules applicables.
Libre circulation des données même après le Brexit
En outre, le Brexit, dont la période de transition s’est achevée fin 2020, a créé une incertitude pour les transferts de données. En effet, ces derniers ont dû être réorganisés car le Royaume-Uni est devenu un pays tiers par rapport à l’UE.
Les dernières décisions de la Commission européenne ont apporté plus de clarté aux entreprises. Dans sa décision d’adéquation en date du 28 juin 2021, la Commission européenne a déclaré que le niveau de protection des données applicable au Royaume-Uni était équivalent à celui du RGPD de l’UE. Même après le Brexit, les données personnelles peuvent donc circuler sans entrave de l’Union européenne vers le Royaume-Uni. Toutefois, une clause dite « de suppression automatique » limite la durée de la décision à quatre ans afin de réévaluer la législation britannique sur la confidentialité des données.
Une nouvelle annexe 21 de la loi britannique de 2018 sur la protection des données indique que les transferts de données personnelles depuis le pays vers l’EEE, la Suisse et Gibraltar sont couverts par les règles d’adéquation du Royaume-Uni. Par conséquent, aucune autre mesure de protection ou exemption n’est nécessaire.
Qu’est-ce qu’implique la récente décision d’adéquation de protection des données de l’UE vis-à-vis du Royaume-Uni pour votre entreprise ? Quel peut être l’impact pour les clients européens et hors UE ? Vous trouverez des réponses dans le guide International Transfers - where are we now? (en anglais) du cabinet d’avocats britannique Clayden Law.
En savoir plus sur la conformité avec DocuWare (en anglais).