Home / Publications / Transfert de données personnelles vers des Etats...

Transfert de données personnelles vers des Etats tiers : apport des clauses types 2010

01/04/2011

L'externalisation des systèmes d'information implique souvent le recours à des prestataires (hébergeurs, call centers, etc.) situés en dehors de l'espace économique européen (EEE). Ces externalisations engendrent des « flux transfrontaliers » au sens de la directive 95/46/CE du 24 octobre 1995 sur la protection des données personnelles.

Or l'article 25 de la directive prohibe les flux transfrontaliers à destination d'Etats situés hors de l'EEE sauf à ce que l'Etat soit considéré comme offrant un « niveau de protection adéquat ».

Seuls sept Etats, parmi lesquels dernièrement Israël, ont été reconnus « adéquats ».

A défaut, les destinataires situés dans ces pays tiers doivent répondre à des « exigences de garanties suffisantes », se matérialisant notamment par la conclusion de « clauses contractuelles appropriées ».

La Commission européenne a adopté le 5 février 2010 (décision n° 2010/87/UE) de nouvelles clauses contractuelles types (clauses) permettant des transferts de données à destination de prestataires (sous-traitants) situés dans des Etats « non adéquats ».

Ces clauses se substituent depuis le 15 rnai 20 10 aux précédentes clauses adoptées en 2001.

Ces nouvelles clauses permettent d'appréhender une réalité courante : le recours par un sous-traitant à un sous-traitant ultérieur.

Ces clauses autorisent la sous-traitance ultérieure à condition que (i) le responsable (exportateur) y ait expressément consenti par écrit et (ii) le sous-traitant ultérieur s'engage à respecter l'ensemble des obligations pesant sur le sous-traitant initial.

Une responsabilité en cascade du responsable, du sous-traitant initial et du sous-traitant ultérieur est organisée.

Les accords conclus antérieurement au 15 mai 2010 sur la base des clauses de 2001 demeurent valables, à moins que des modifications substantielles soient apportées au traitement concerné. De nouvelles clauses devront alors être conclues.

Les nouvelles clauses ne s'appliquent que lorsque le responsable transfère ses données à un contractant situé dans un Etat non adéquat.

Elles ne peuvent être utilisées lorsque le responsable contracte avec un prestataire européen et que ce dernier sous-traite à son tour ses obligations à un prestataire.

Dans cette hypothèse, d'autres solutions doivent être mises en oeuvre : le responsable doit conclure un accord direct avec le sous-traitant situé dans un Etat tiers, ou donner mandat à son prestataire européen de conclure un tel accord, au nom et pour le compte du responsable avec le prestataire tiers.

Anne-Laude Villedieu et Elena Caubet, avocats

Analyse juridique parue dans la revue Option Finance du 21 février 2011

Auteurs

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Eléna Caubet