Le comité européen de la protection des données et le contrôleur européen de la protection des données adoptent des avis conjoints sur de nouvelles séries de clauses contractuelles types

15 January 2021 EDPB

Bruxelles, le 15 janvier - Le comité européen de la protection des données et le contrôleur européen de la protection des données (CEPD) ont adopté des avis conjoints sur deux séries de clauses contractuelles types (CCT): un avis sur les CCT pour les contrats conclus entre les responsables du traitement et les sous-traitants et un avis sur les CCT pour le transfert de données à caractère personnel vers des pays tiers.

Les CCT responsables du traitement/sous-traitants auront un effet à l’échelle de l’UE et visent à garantir une harmonisation totale et la sécurité juridique dans l’ensemble de l’UE en ce qui concerne les contrats entre les responsables du traitement et leurs sous-traitants.

Andrea Jelinek, présidente du comité européen de la protection des données, a fait la déclaration suivante: «Le comité européen de la protection des données et le CEPD se félicitent des CCT responsables du traitement/sous-traitants en tant qu’outil de responsabilisation unique, solide et à l’échelle de l’UE, qui facilitera le respect des dispositions du RGPD et du RPDUE. Entre autres, le comité européen de la protection des données et le CEPD demandent que des précisions suffisantes soient fournies aux parties quant aux situations dans lesquelles elles peuvent s’appuyer sur ces CCT, et soulignent que les situations impliquant des transferts en dehors de l’UE ne devraient pas être exclues.»

Plusieurs modifications ont été demandées afin d’apporter plus de clarté au texte et d’en assurer l’utilité pratique dans les opérations quotidiennes des responsables du traitement et des sous-traitants. Ces modifications comprennent notamment l’interaction entre les deux documents, la clause dite «d’amarrage», qui permet à de nouvelles entités d’adhérer aux CCT, et d’autres aspects liés aux obligations des sous-traitants. En outre, le comité européen de la protection des données et le CEPD suggèrent que les annexes des CCT clarifient autant que possible les rôles et responsabilités de chacune des parties en ce qui concerne chaque activité de traitement - toute ambiguïté rendrait plus difficile pour les responsables du traitement ou les sous-traitants de remplir les obligations qui leur incombent en vertu du principe de responsabilité.

Wojciech Wiewiórowski, CEPD, a déclaré: «Nous sommes convaincus que ces CCT peuvent faciliter le respect par les responsables du traitement et les sous-traitants de leurs obligations, tant au titre du RGPD que du cadre juridique des institutions et organes de l’UE. En outre, nous espérons que ces CCT garantiront une plus grande harmonisation et une plus grande sécurité juridique pour les personnes et leurs données à caractère personnel. C’est dans ce contexte que nous entendons rendre ces documents aussi pérennes que possible.»

Les projets de CCT pour le transfert de données à caractère personnel vers des pays tiers conformément à l’article 46, paragraphe 2, point c), du RGPD remplaceront les CCT existantes pour les transferts internationaux qui ont été adoptées sur la base de la directive 95/46 et qui doivent être mises à jour afin de les mettre en conformité avec les exigences du RGPD, ainsi que pour tenir compte de l’arrêt «Schrems II» de la CJUE, et mieux refléter le recours généralisé à de nouvelles opérations de traitement plus complexes impliquant souvent de multiples importateurs et exportateurs de données. En particulier, les nouvelles CCT prévoient des garanties plus spécifiques dans le cas où les lois du pays de destination ont une incidence sur le respect des clauses, notamment en cas de demandes contraignantes de la part des pouvoirs publics en vue de la divulgation de données à caractère personnel.

Wojciech Wiewiórowski, CEPD, a ajouté: «Compte tenu de notre expérience pratique, nous avons formulé ces observations afin d’améliorer ces CCT en vue de garantir pleinement que les données à caractère personnel des citoyens de l’UE bénéficient d’un niveau de protection substantiellement équivalent lors de transferts vers des pays tiers. Nous pensons que ces suggestions et amendements sont essentiels pour atteindre ces objectifs dans la pratique.»

De manière générale, le comité européen de la protection des données et le CEPD sont d’avis que les projets de CCT présentent un niveau de protection renforcé pour les personnes concernées. Le comité européen de la protection des données et le CEPD saluent en particulier les dispositions spécifiques destinées à traiter certains des principaux problèmes recensés dans l’arrêt Schrems II. Néanmoins, le comité européen de la protection des données et le CEPD estiment que plusieurs dispositions pourraient être améliorées ou clarifiées, telles que le champ d’application des CCT; certains droits des tiers bénéficiaires; certaines obligations concernant les transferts ultérieurs; les aspects de l’évaluation de la législation des pays tiers relative à l’accès des pouvoirs publics aux données publiques; et la notification à l’autorité de contrôle.

Andrea Jelinek, présidente du comité européen de la protection des données, a ajouté: «Les conditions dans lesquelles les CCT peuvent être utilisées doivent être claires pour les organisations et les personnes concernées devraient disposer de droits et de voies de recours effectifs. En outre, les CCT devraient prévoir une répartition claire des rôles et du régime de responsabilité entre les parties. En ce qui concerne la nécessité, dans certains cas, de prendre des mesures supplémentaires ad hoc afin de garantir aux personnes concernées un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE, les nouvelles CCT devront être utilisées en même temps que les recommandations du comité européen de la protection des données sur les mesures supplémentaires

Le comité européen de la protection des données et le CEPD invitent la Commission à se référer à la version finale des recommandations du comité européen de la protection des données sur les mesures supplémentaires, dans l’hypothèse où la version finale des recommandations serait adoptée avant la décision de la Commission sur les CCT. Ce document a été soumis à la consultation publique jusqu’au 21 décembre 2020 et fait encore l’objet d’éventuelles modifications supplémentaires sur la base des résultats de la consultation publique.

 

Note à l'attention des rédacteurs:  
Veuillez noter que tous les documents adoptés lors de la session plénière du comité européen de la protection des données font l’objet des contrôles juridiques, linguistiques et de formatage nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces contrôles effectués.

 

EDPB_Press Release_statement_2021_01