Une décision de la Commission européenne du 5 février 2010 (n° 2010/87/UE) prévoyant de nouvelles  clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est entrée en vigueur à compter de ce 15 mai 2010 (texte disponible à l’adresse suivante :

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:FR:PDF).

Pays offrant un niveau de protection adéquat

En effet, conformément à la directive 95/46/CE, les États membres sont tenus de veiller à ce qu’un transfert de données à caractère personnel vers un pays tiers (hors UE) n’ait lieu que si le pays en question assure un niveau de protection adéquat des données. La Commission reconnaît à l’heure actuelle ce niveau de protection adéquat à l’Argentine, au Canada, à la Suisse,  aux Îles Féroé, à l’Ile de Man et à Jersey et Guernesey.

Autres pays

Toutefois, les États membres peuvent autoriser un transfert de données à caractère personnel vers d’autres pays tiers entre autres moyennant l’utilisation de clauses contractuelles appropriées.

Si le contrat de sous-traitance contient les clauses préconisées par la Commission, les États membres sont obligés de reconnaître que cette convention offre des garanties adéquates. Cette décision vise donc à faciliter le transfert de données à caractère personnel d’un responsable du traitement de données établi dans l’Union européenne vers un sous-traitant établi dans un pays tiers n’assurant pas un niveau de protection adéquat.

Cas particulier des Etats-Unis

En ce qui concerne les Etats-Unis, ils peuvent relever d’une catégorie intermédiaire. Afin de rencontrer les exigences européennes, les U.S.A. ont mis sur pied des « Safe Harbor Principles » (littéralement  «principes du port sûr »), auxquels les institutions et sociétés américaines peuvent adhérer. Il s’agit donc d’un système volontariste, qui ne garantit pas que tout cocontractant américain  assure un niveau de protection adéquat au sens de la directive 95/46/CE. En outre, des nuances existent entre ces principes et la législation européenne. Il est donc plus prudent d’intégrer ces clauses types à un contrat de sous-traitance conclu avec un partenaire basé aux U.S.A., même si celui-ci a adhéré aux « safe harbor principles », afin d’éliminer tout risque de contestation à votre encontre de la part des personnes concernées.

Nouveautés introduites par la décision du 15 février 2010

A compter du 15 mai 2010, cette décision du 15 février remplace et met à jour la décision 2002/16/CE du 27 décembre 2001. La nouvelle décision prend mieux en compte le recours croissant à l’externalisation et au « cloud computing » (littéralement, informatique dans les nuages).

Les clauses contractuelles types prévoient les mesures techniques et d’organisation qui sont nécessaires pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé ou toute autre forme illicite de traitement.

Elles visent également les transferts ultérieurs d’un sous-traitant établi dans un pays tiers (l’importateur de données) vers un autre sous-traitant (sous-traitance ultérieure) afin de tenir compte de l’évolution des pratiques des entreprises, qui tendent vers une mondialisation croissante de l’activité de traitement.

Un sous-traitant qui souhaite à son tour sous-traiter le traitement des données à caractère personnel devra au préalable obtenir l’accord écrit de l’exportateur.

Par ailleurs, le contrat conclu entre le sous-traitant initial et le sous-traitant ultérieur devra imposer à ce dernier les mêmes obligations que celles auxquelles le sous-traitant initial est soumis. La sous-traitance ultérieure ne devra porter que sur les activités convenues dans le contrat conclu entre l’exportateur de données et l’importateur de données et ne devra pas avoir d’autres finalités ou concerner d’autres activités de traitement que la sous-traitance initiale. En cas de manquement par le sous-traitant ultérieur aux obligations en matière de traitement de données qui lui incombent conformément au contrat, l’importateur de données doit rester responsable envers l’exportateur de données.

Droits de la personne concernée

En outre, les clauses contractuelles types doivent être exécutoires non seulement par les organisations parties au contrat, mais également par les personnes concernées, en particulier lorsque ces dernières subissent un dommage en raison d’une rupture du contrat. La décision prévoit dans quelles circonstance exceptionnelle la personne concernée disposera d’un recours direct contre l’importateur de données ou le sous-traitant ultérieur.

Mise à jour des contrats existants en cas d’avenant

Il convient de se pencher sur les contrats de sous-traitance que vous auriez conclus avant le 15 mai 2010 afin de vous assurer qu’ils sont conformes à ces nouvelles dispositions si les transferts et les activités de traitement de données faisant l’objet du contrat sont changés ou si les parties contractantes décident de sous-traiter les activités de traitement faisant l’objet du contrat.