Transférer des données personnelles en dehors de l’Union Européenne (UE) ou de l’Espace Economique Européen (EEE) suppose la mise en place de garanties spécifiques. L’objectif est simple : les données transférées doivent bénéficier d’un niveau de protection équivalent à celui en vigueur au sein de l’UE/EEE.

En l’absence de décision d’adéquation[1], l’exportateur et l’importateur de données peuvent mettre en place un contrat de transfert des données reprenant les clauses contractuelles types adoptées par la Commission européenne.

Jusqu’à maintenant les contrats de transferts de données reposaient sur les clauses types publiées en 2001 et 2010 mais l'arrêt « Schrems II » de la Cour de justice de l’Union européenne du 16 juillet 2020[2] est venu remettre en cause l’utilisation desdites clauses.

C’est dans ce contexte que la Commission européenne a adopté le 4 juin dernier une nouvelle série de clauses contractuelles types.

Face à l’incertitude dans laquelle l’arrêt du 16 juillet 2020 nous avait laissé, le secteur de la recherche médicale ne peut que saluer le travail de la Commission et de l’European Data Protection Board[3], car on sait combien les transferts internationaux de données sont primordiaux à la recherche et à l’innovation dans ce domaine (ce d’autant dans un contexte de pandémie).

Quelles sont les principales nouveautés ?

Les nouvelles clauses contractuelles types permettent de couvrir les transferts de données :

• entre responsables de traitement,
• d’un responsable de traitement à un sous-traitant, mais également et c’est là la principale nouveauté,
• d’un sous-traitant à un responsable de traitement, et
• entre sous-traitants.

Tirant par ailleurs les leçons de l’arrêt « Schrems II », les nouvelles clauses imposent à l’exportateur de données d’évaluer si la législation applicable à l’importateur de données n’est pas de nature à limiter la protection garantie par lesdites clauses. En pratique, l’exportateur de données doit désormais entreprendre des démarches pour s’assurer notamment que le pays tiers à l’UE/EEE dans lequel il envoie des données permet à l’importateur de respecter les clauses types. A défaut, des mesures techniques et organisationnelles appropriées (ex. chiffrement, pseudonymisation, etc.) devront être mises en œuvre.

Qu’est-ce que cela signifie en pratique pour mon entreprise ?

En pratique, l’exportateur de données devra :

• cartographier les transferts de données personnelles effectués (ex. vers quel pays ? l’exportateur est-il sous-traitant ou responsable de traitement ? l’importateur est-il sous-traitant ou responsable de traitement ?),
• identifier quelles sont les clauses types adaptées à sa situation,
• réaliser une évaluation préalable des règles applicables à l’importateur de données / étude des risques liés au transfert des données,
• le cas échéant, définir les mesures supplémentaires devant être mises en place, et
• mettre à jour son contrat de transfert de données en reprenant les clauses types nouvellement adoptées.

Quel est le timing ?

Si vous n’avez pas encore mis en place de contrat de transfert de données, les nouvelles clauses contractuelles types devront être utilisées à compter du 27 septembre 2021. En pratique, les nouvelles clauses peuvent être utilisées dès maintenant sans avoir à attendre le mois de septembre.

Si vous avez déjà un contrat de transfert de données reprenant les précédentes clauses contractuelles types, vous pouvez continuer à les utiliser jusqu’au 27 décembre 2022. L’anticipation est toutefois de rigueur, l’évaluation des règles applicables et des risques liés au transfert pouvant prendre du temps. Qui plus est, selon les résultats de cette évaluation, une renégociation du contrat - concernant en particulier les mesures supplémentaires à mettre en place - pourra être nécessaire.

Maëlle Chausse et Sophie Montagne, collaboratrices chez Dechert