Un petit rappel… Comme vous le savez sans doute, il est interdit de procéder à des transferts de données à caractère personnel en dehors de l’UE sans entrer dans un cadre particulier ou une des exceptions.

Les exceptions ne sont pas nombreuses : consentement de la personne, exécution d’un contrat pour la personne, motif d’intérêt public, défense de droit en justice et sauvegarde de la vie humaine.

A défaut, le transfert ne peut être réalisé que dans 3 cas :

• Cas 1 – Vous opérez un  transfert vers des entreprises établies dans des pays à niveau de protection adéquat ;
• Cas 2 – Vous avez mis en œuvre des BCR (Biding Corporate Rules) ;
• Cas 3 – Vous adoptez des clauses contractuelles types « CCT » telles que validées par la Commission Européenne.

Ces CCT sont un document de nature contractuelle qui fixe les règles du jeu entre le responsable de traitement et un autre responsable de traitement, ou entre le responsable de traitement et un sous-traitant.

Ainsi, si vous utilisez les services d’un prestataire qui héberge vos données en dehors de l’UE, si vous faites appel à une tierce maintenance depuis un pays hors UE, si vous adressez des données RH d‘une filiale UE vers une maison mère hors UE ou encore, si vous utilisez les services d’un centre d’appel hors UE…  vous devez, en plus de votre contrat ou votre convention de groupe, signer des CCT.

Les nouvelles CCT de la Commission Européenne – La Commission Européenne a adopté en juin 2021 de nouvelles CCT suite à l’entrée en vigueur du RGPD.

Le calendrier est simple :

Cas 1 – pour tous les nouveaux flux à compter de ce jour 27 septembre 2021, il faut utiliser les nouvelles CCT ;

Cas 2 – pour tous les flux existants au 27 septembre 2021, vous disposez d’une période de rédemption jusqu’au 27 décembre 2022.

Il existe un cas 3 qui ne devrait pourtant pas exister : des flux existent à date mais n’ont pas fait l’objet d’un traitement conforme au RGPD. Il conviendra évidemment de régulariser la situation et d’utiliser les nouvelles CCT.

En pratique comment faire ? 6 actions sont à mener, 4 à court terme, 2 à plus long terme.

Action 1 – Urgente, identifier vos flux hors UE si vous ne l’avez pas déjà fait. Pour cela, des questionnaires d’identification des flux sont un bon moyen de les identifier comme peut l’être aussi un travail minutieux autour de votre registre des opérations de traitement ;

Action 2 – Choisir les bonnes CCT – La Commission propose un modèle unique avec 4 modules correspondant à 4 situations : RT/RT, RT/ST, ST/RT ou ST/ST. Les obligations et les conséquences ne sont évidemment pas les mêmes. Il faut donc nécessairement choisir le bon document ;

Action 3 – Faire signer les CCT à toutes les entités hors UE qui traitent de la données, qu’il s’agisse de prestataires ou de relations maison mère – filiale ;

Action 4 – Accompagner l’envoi pour signature des CCT d’une note explicative, sinon la chose est impossible à comprendre pour une entreprise étrangère non initiée au RGPD.

Deux actions sont à mener à plus long terme :

Action 5 – Identifier les flux existants et procéder à une substitution de CCT avant le 27 décembre 2022 ;

Action 6 – Assurément ces clauses renforcent les obligations et contraintes et invitent les entreprises à mieux contrôler la manière dont leurs données sont traitées dans le cadre de flux. Il conviendra donc de contrôler ces flux et notamment les prestataires (sous-traitants) qui auront à les traiter.

Petit coup de pouce – La Commission, plutôt que de proposer 4 modèles de CCT distincts, propose une sorte de mikado juridique avec un document unique et une série de modules à choisir ou à écarter… Pour vous aider à retravailler ces CCT, l’équipe IP/IT Data de Racine peut vous proposer 4 CCT distinctes (version FR et version US), n’hésitez pas à nous les demander à l’adresse : ebarbry@racine.eu

Mise en garde – Il faut être très attentif à la mise en œuvre de ces CCT car :

1. Elles sont complétées d’annexes qui doivent être remplies soigneusement ;
2. Elles doivent évidemment être signées formellement par voie papier ou électronique ;
3. Il ne faut pas changer une virgule de ces CCT sauf cas particulier car si une modification est apportée alors les clauses contractuelles spéciales mises en œuvre doivent être adressées pour autorisation préalable à la Cnil.