La version définitive des clauses contractuelles types (CCT) utilisées pour les contrats entre responsable du traitement et sous-traitant soumises par l’autorité de contrôle danoise a été publiée dans le registre des décisions du Commité Européen à Protection des Données (CEPD).
Elles ont été adoptées par l’Autorité de contrôle danoise en vertu de l’article 28(8) du RGPD, qui autorise les Autorités de surveillance à adopter des contrats types.
De quoi s’agit-il ?
Bien qu’appelées CCT, ces clauses contractuelles ne doivent pas être confondues avec les clauses contractuelles types adoptées par la Commission européenne en 2010 et qui sont utilisées pour encadrer les transferts de données en dehors de l’UE.
Il s’agit plutôt d’un contrat type de sous-traitance qui doit être conclu en vertu de l’article 28 du RGPD lorsqu’un responsable du traitement engage un sous-traitant pour traiter des données à caractère personnel pour son compte. Ces clauses ne seraient donc pas suffisantes si le sous-traitant était basé en dehors de l’UE, un mécanisme de transfert international supplémentaire étant requis (BCR, CCT adoptées par la Commission européenne, Privacy Shield, certification, etc.).
Quel est l’objectif des CCT Danoises ?
L’objectif des CCT adoptées par l’autorité danoise est d’aider les organisations à satisfaire aux exigences de l’article 28 du RGPD en ce qui concerne le contenu des contrats que les responsables du traitement et les sous-traitants doivent conclure avant de commencer à traiter des données à caractère personnel.
En effet, comme le CEPD l’a soulevé, l’article 28 ne peut être repris tel quel dans le contrat, des précisions supplémentaires étant nécessaires (par exemple, détails sur l’assistance à fournir par le sous-traitant, etc.).
Est-il obligatoire d’utiliser ces CCT à partir de maintenant ?
L’utilisation des CCT demeure facultative pour les organisations qui peuvent donc continuer à utiliser leur modèle si elles le souhaitent.
Toutefois, si elles choisissent d’utiliser les CCT, elles doivent les utiliser en l’état et ne peuvent y ajouter que d’autres clauses ou des garanties supplémentaires qui « ne contredisent pas, directement ou indirectement, les clauses adoptées ou ne portent pas atteinte aux droits et libertés fondamentaux des personnes concernées ».
Si elles sont utilisées en l’état, l’autorité de contrôle danoise n’examinera pas l’accord plus en détail. Dans le cas contraire, l’autorité ne considérera pas que l’organisation a utilisé les CCT et examinera le contrat dans le cadre d’un audit.
Toutes les organisations peuvent-elles utiliser ces CCT ?
Ces CCT ayant été adoptées par l’Autorité de contrôle danoise, seules les organisations relevant de sa compétence pourraient bénéficier des avantages offerts par l’utilisation de ces CCT.
Toutefois, bien qu’elles ne bénéficieraient pas des mêmes avantages, nous ne voyons pas d’obstacle à l’utilisation de ces clauses par d’autres organisations soumises au RGPD, puisqu’elles sont conformes à l’article 28 du RGPD.
Par ailleurs, il nous semblerait, difficile pour une autorité de contester le contenu de clauses publiées dans le registre du CEPD qui ont été soumises au mécanisme de cohérence. Par conséquent, il est très probable que, dans la pratique, d’autres autorités de contrôle, considérant que ces clauses sont conformes au RGPD, ne le réexaminent pas non plus.
Quand utiliser les CCT ?
Les CCT proposées par l’Autorité danoise sont assez longues (15 pages) et très complètes. Malgré la sécurité juridique qu’elles apportent, elles ne paraissent pas toujours adaptées aux accords simples « de responsable de traitement à sous-traitant » qui ne nécessitent pas de clauses contractuelles longues et détaillées.
Dans ces derniers cas, elles pourraient servir de modèle et être adaptées aux circonstances, le cas échéant.
Par ailleurs et bien que moins officiel, la CNIL avait déjà proposé un modèle de clause sur son site internet, qui n’a pas été soumis au mécanisme de cohérence et qui n’a donc pas les mêmes effets que des CTT officiellement publiées au registre des décisions du CEPD par l’autorité danoise.
