Timelex
Éminent cabinet belge d’avocats
Menu

La Commission européenne publie un modèle de convention de traitement : à utiliser ou à ne pas utiliser ?

Author info
Pieter Gryffroy
Pieter Gryffroy
Bernd Fiten
Bernd Fiten
17/06/2021
Protection de la vie et des données

Le 4 juin 2021, la Commission européenne a annoncé deux nouvelles séries de clauses contractuelles types. Un ensemble est destiné aux situations entre les contrôleurs et les processeurs où il n'y a pas de transfert de données personnelles en dehors de l'EEE. L'autre ensemble est destiné aux situations dans lesquelles les données personnelles sont transférées vers des pays tiers (hors EEE).

Ce blog porte sur l'ensemble destiné aux situations où il n'y a pas de transfert de données personnelles vers des pays tiers. Dans ces cas, un accord de traitement des données est typiquement conclu, mais est-ce que c’est une bonne idée de remplacer cet accord par le modèle de la Commission européenne ?

Qu'y a-t-il dans le modèle?

Le modèle de la Commission européenne - souvent appelé « template » - contient toutes les dispositions nécessaires en vertu du règlement général sur la protection des données (RGPD), notamment l'article 28.

Les clauses contractuelles types ne sont pour l'instant disponibles que dans un nombre limité de langues (pas en néerlandais).

Dois-je modifier les accords existants?

Vous n'êtes pas obligé d'utiliser les clauses contractuelles types, même si vous concluez un nouvel accord de traitement (par exemple, avec un nouveau partenaire ou prestataire de services). Il n'est donc pas nécessaire de remplacer les accords de traitement existants par les nouvelles clauses contractuelles types.

L'utilisation du modèle est-elle souhaitable?

Pour les nouveaux contrats, il peut sembler logique d'utiliser le modèle, puisqu'il s'agit d'un modèle de la Commission européenne. Comme le modèle répond aux exigences de base de l'article 28 RGPD, vous pouvez être tranquille. Ou pas ?

Avant d'utiliser les clauses contractuelles types, gardez à l'esprit les points suivants.

Réfléchissez à votre position

Il est important de réfléchir à votre position spécifique lorsque vous rédigez ou négociez l'accord de transformation. Agissez-vous en tant que responsable du traitement ou sous-traitant de données ? Cela peut faire une grande différence.

En fonction de votre position, il peut être très utile d'inclure (ou pas) certaines clauses dans votre accord de traitement afin de préserver vos intérêts en tant que responsable du traitement ou sous-traitant. Bien que l'article 28 du RGPD prescrive de nombreuses dispositions obligatoires, le RGPD laisse également la place à d'autres précisions contractuelles selon la volonté des parties.

En outre, vous devez également vous assurer que la relation que vous entretenez est une relation de responsable du traitement et de sous-traitant. En effet, la qualification de la relation contractuelle selon le RGPD n'est pas toujours évidente.

Pensez à des rendez-vous plus spécifiques et à vos besoins

Les dispositions des clauses contractuelles types sont un modèle général, ce qui signifie qu'il est peu tenu compte des accords spécifiques que les parties peuvent conclure entre elles. Après tout, vos besoins peuvent être différents de ceux d'autres organisations ou prestataires de services.

Considérez, par exemple, les dispositions suivantes qui peuvent être prises :

1. Audits du sous-traitant

Bien que le sous-traitant soit tenu de permettre la réalisation d'audits, les clauses contractuelles types ne précisent pas quand (par exemple, jour et heure) les audits peuvent avoir lieu ni qui en supportera les coûts. Ces modalités pratiques sont néanmoins importantes, tant pour le responsable du traitement que pour le sous-traitant :

  • en tant que responsable du traitement des données, des accords clairs empêchent des discussions sur l'organisation et les coûts, et
  • En tant que sous-traitant, vous évitez de perturber vos opérations quotidiennes par des audits trop intrusifs ou répétitifs.

2. Assistance par le sous-traitant

En vertu de RGPD, le sous-traitant doit fournir une assistance au responsable du traitement en ce qui concerne, entre autres :

  • traiter les demandes des personnes concernées ;
  • les analyses d'impact sur la protection des données (DPIA) et les consultations préalables ;
  • le signalement des infractions ;
  • prendre des mesures techniques et organisationnelles pour sauvegarder les données.

Là encore, le modèle prévoit peu de modalités pour cette assistance (à l'exception du signalement des infractions), qui est pourtant fortement recommandée. Selon le rôle de votre organisation, les intérêts seront différents, il est donc préférable de négocier ce point et de l'inclure dans l'accord final. L'utilisation d'un modèle général qui laisse ces obligations d'assistance au milieu peut donner lieu à des discussions.

3. Nomination des sous-traitants secondaires

Si le choix de désigner des sous-traitants secondaires consiste à accorder un consentement général au sous-traitant, le modèle ne traite pas des conséquences d'une objection du responsable du traitement à un nouveau sous-traitant secondaire.

Il est néanmoins judicieux de régler contractuellement les conséquences d'une opposition, car en pratique, il existe plusieurs possibilités.

Faites attention à remplir le modèle

Si l'utilisation des clauses contractuelles types est appropriée dans votre situation spécifique, n'oubliez pas que leur utilisation dépend également de la manière dont le modèle est rempli. Bien qu'il s'agisse d'un modèle, il y a plusieurs éléments que vous devez remplir vous-même.

Par exemple :

  • la portée du traitement annexée aux clauses contractuelles types, et
  • clarifier les mesures de sécurité à prendre par le sous-traitant.

Il est toujours important de remplir soigneusement l'activité de traitement, mais le modèle ne vous donne que peu ou pas d'indications à cet égard.

Conclusion

Pour les raisons susmentionnées, dans de nombreux cas, il est préférable de ne pas se limiter à utiliser les dispositions des clauses contractuelles types, mais de prendre des dispositions spécifiques avec l'autre partie. Pour cela, examinez bien votre situation concrète.

  • Si, en tant que responsable du traitement, vous effectuez un traitement à grande échelle de données à caractère personnel (sensibles), ou si votre principale activité professionnelle est le traitement de données à caractère personnel, il est préférable de conclure des accords plus spécifiques (en ne se limitant pas au modèle).
  • S'il s'agit d'une activité de traitement simple, vous pouvez vous contenter de l'utilisation du modèle, à condition de le remplir correctement et de demander de l'aide si nécessaire. Vous devez également vous assurer que la relation avec l'autre partie est effectivement qualifiée de relation responsable du traitement/sous-traitant, afin que les clauses contractuelles types puissent effectivement s'appliquer.

Vous souhaitez obtenir des conseils sur l'utilisation correcte des clauses contractuelles types ou faire établir un accord de traitement spécifique ? Veuillez nous contacter.

Related posts