Skip to main content

La période de transition pour la mise en œuvre des nouvelles CCT pour les transferts de données expire le 27/12

Bruxelles, le 30 novembre 2022 – CRANIUM, le spécialiste belge qui assiste les organisations en toute matière de protection, sécurité et gestion des données, avertit les entreprises et organisations quant aux nouvelles Clauses Contractuelles Types (CCT) pour les transferts de données entre les pays conformes au RGPD et ceux qui ne le sont pas. La période de transition pour la mise en œuvre de ces nouvelles clauses, fixée par la Commission européenne en juin 2021, expire le 27 décembre.

Audrey Malaise, privacy consultant chez CRANIUM

Audrey Malaise, privacy consultant chez CRANIUM

Votre organisation utilise-t-elle un fournisseur basé aux États-Unis comme Mailchimp, Hubspot, Microsoft, Google, Slack ou Jira (Atlassian) ? Travaillez-vous via Teams avec vos collègues ? Votre service d’assistance est-il situé en Asie ? Utilisez-vous Google Analytics sur votre site Web ? Ou peut-être votre fournisseur de cloud est-il situé en dehors de l’Espace économique européen ? Si la réponse à l’une de ces questions est oui, il y est question de transferts internationaux de données. Et, pour ces transferts, de nouvelles clauses contractuelles types doivent être utilisées à partir du 27 décembre, selon la décision de la Commission Européenne.

Transferts internationaux de données : quid ?

Depuis 2018, un transfert de données à caractère personnel au sein de l’Espace économique européen (EEE) doit suivre les règles du RGPD. Aucune mesure supplémentaire n’est alors nécessaire. Il en va de même pour une liste de pays considérés par la Commission européenne comme offrant un niveau de protection adéquat au regard du RGPD. Cette liste inclut l’Andorre, l’Argentine, le Canada (organisation commerciale), les Îles Féroé, le Guernesey, Israël, l’Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni (sous le RGPD et la LED), et l’Uruguay.

Si par contre le traitement a lieu (en partie) en dehors de l’EEE ou de ces pays conformes au RGPD, comme c’est souvent le cas pour un service d’assistance, une équipe de support, de débogage, un centre d’appels, un service d’escalade des problèmes et ainsi de suite, il est considéré comme un transfert international de données. Des mesures supplémentaires sont alors requises.

Le mécanisme le plus utilisé pour ces transferts internationaux est l’intégration de Clauses Contractuelles Types ou CCT dans les contrats. Ces clauses prescrivent les mesures que l’exportateur et l’importateur de données doivent prendre pour assurer un niveau de protection adéquat. Afin de se conformer au RGPD, ces CCT ont été modifiées l’année dernière.

Aujourd’hui au niveau mondial, très peu d’organisations traitent l’entièreté de leurs données personnelles dans le pays dans lequel elles sont établies. Et, même si elles le font, il y a de fortes chances que leurs sous-traitants ne le fassent pas, et qu’il y ait donc des transferts de données vers des pays qui ne sont pas conformes au RGPD. Cependant, de nombreuses entreprises et organisations ne savent pas que les clauses contractuelles types (CCT), généralement utilisées pour ces transferts, ont été modifiées par la Commission européenne l’année dernière et ne seront donc plus en vigueur à l’expiration de la période de transition, le 27 décembre”, déclare Audrey Malaise, privacy consultant chez CRANIUM.

Éviter les amendes

Afin d’éviter les amendes, les entreprises et les organisations doivent mettre en œuvre ces clauses modernisées pour tous les transferts de données entre les pays soumis au RGPD et les pays n’ayant pas reçu de décision d’adéquation au sens du RGPD.

Voici les différentes étapes à suivre.


​ÉTAPE 1 : Évaluez vos transferts internationaux de données

Dans la première étape, il s’agit d’identifier les cas concernés. Il est question d’un transfert international de données lorsque :

  • Vos fournisseurs ont accès à des données personnelles provenant de l’extérieur de l’EEE ;
  • Vous avez des filiales étrangères (situées en dehors de l’EEE) qui ont accès aux données personnelles ;
  • Vous envoyez des données à caractère personnel à des clients situés en dehors de l’EEE ou vous en recevez de leur part ;
  • Le fournisseur, la société affiliée étrangère et/ou le client sont situés dans un pays en dehors de l’EEE qui ne fournit pas un niveau de protection adéquat. ​ 

Si tel est le cas, vous êtes tenu de vous assurer que les mesures appropriées sont prises pour rester en conformité. 


​ÉTAPE 2 : Mettez à jour vos contrats

Contactez tous vos fournisseurs, affiliés et/ou clients en dehors de l’EEE ou des pays conformes au RGPD pour mettre à jour les contrats avec les clauses modernisées.


​ÉTAPE 3 : Réalisez une évaluation de l’impact des transferts ou TIA

Inclure les nouvelles CCT dans vos contrats ne suffit pas pour se conformer au RGPD : des analyses d’impact sur le transfert ou Transfer Impact Assessment (TIA) sont requises pour toutes les activités de traitement ayant lieu en dehors de l’EEE. Ces évaluations ont pour but d’évaluer le niveau de protection du transfert et de déterminer si l’utilisation d’un mécanisme de transfert (notamment les CCT) est suffisante.

Mieux vaut prévenir que payer

Faute de mesures appropriées, des enquêtes peuvent être ouvertes par les autorités de surveillance, ce qui, comme toute autre violation, peut entraîner des amendes salées – il suffit de penser aux 400 millions de pénalités infligés à Instagram en Irlande au début de cette année. Un autre risque potentiel concerne votre réputation et vos relations commerciales. La protection de la vie privée fait l’objet d’une attention croissante dans le débat public, et la négligence à cet égard aura des répercussions négatives sur votre organisation. C’est une autre raison pour laquelle il est conseillé de mettre à jour vos CCT”, conclut Audrey Malaise, privacy consultant chez CRANIUM.

Hr Info

Author Hr Info

More posts by Hr Info