La Commission européenne a annoncé le 4 juin qu’elle avait adopté deux ensembles de clauses contractuelles types, l’un à utiliser entre les responsables du traitement et les sous-traitants et l’autre pour le transfert de données à caractère personnel vers des pays tiers.
Ces deux ensembles de clauses contractuelles types (clauses contractuelles types, ou Standard contractual clauses en anglais) reflètent les nouvelles exigences du règlement général sur la protection des données (RGPD) et tiennent compte de l’arrêt Schrems II de la Cour de justice. “Ces nouveaux outils offriront une plus grande prévisibilité juridique aux entreprises européennes et aideront, en particulier, les PME à garantir le respect des exigences de sécurité des transferts de données, tout en permettant aux données de circuler librement à travers les frontières, sans barrières juridiques », indique la Commission.
Elle met en avant “leur standardisation et leur pré-approbation », offrant aux entreprises “un modèle facile à mettre en œuvre », “leur point d’entrée unique couvrant un large éventail de scénarios de transfert, au lieu d’ensembles séparés de clauses », leur “flexibilité pour les chaînes de traitement complexes, grâce à une approche modulaire ». Elle vante encore l’ensemble comme une boîte à outils pratique pour se conformer à l’arrêt Schrems II, donnant un aperçu des différentes mesures que les entreprises doivent prendre pour se conformer à l’arrêt Schrems II ainsi que des exemples de mesures supplémentaires , telles que le cryptage, que les entreprises peuvent prendre si nécessaire.
Les nouveaux SCC ont quatre scénarios ou modules de transfert comprenant pour la première fois des transferts depuis des sous-traitants dans l’UE.
Pour les responsables du traitement et les sous-traitants qui utilisent actuellement des ensembles précédents de clauses contractuelles types, une période de transition de 18 mois est prévue, ce qui leur sera nécessaire pour examiner attentivement ces clauses et les déployer.