Une décision de la Commission européenne du 5 février 2010 (n° 2010/87/UE) prévoyant de nouvelles clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers est entrée en vigueur à compter de ce 15 mai 2010 (texte disponible à l´adresse suivante :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:FR:PDF ).
Pays offrant un niveau de protection adéquat
En effet, conformément à la directive 95/46/CE, les États membres sont tenus de veiller à ce qu´un transfert de données à caractère personnel vers un pays tiers (hors UE) n´ait lieu que si le pays en question assure un niveau de protection adéquat des données. La Commission reconnaît à l´heure actuelle ce niveau de protection adéquat à l´Argentine, au Canada, à la Suisse, aux Îles Féroé, à l´Ile de Man et à Jersey et Guernesey.
Autres pays
Toutefois, les États membres peuvent autoriser un transfert de données à caractère personnel vers d´autres pays tiers entre autres moyennant l´utilisation de clauses contractuelles appropriées .
Si le contrat de sous-traitance contient les clauses préconisées par la Commission, les États membres sont obligés de reconnaître que cette convention offre des garanties adéquates. Cette décision vise donc à faciliter le transfert de données à caractère personnel d´un responsable du traitement de données établi dans l´Union européenne vers un sous-traitant établi dans un pays tiers n´assurant pas un niveau de protection adéquat.
Cas particulier des Etats-Unis
En ce qui concerne les Etats-Unis, ils peuvent relever d´une catégorie intermédiaire. Afin de ren-contrer les exigences européennes, les U.S.A. ont mis sur pied des « Safe Harbor Prin-ciples » (littéralement «principes du port sûr »), auxquels les institutions et sociétés américaines peuvent adhérer. Il s´agit donc d´un système volontariste, qui ne garantit pas que tout cocontrac-tant américain assure un niveau de protection adéquat au sens de la directive 95/46/CE. En outre, des nuances existent entre ces principes et la législation européenne. Il est donc plus prudent d´intégrer ces clauses types à un contrat de sous-traitance conclu avec un partenaire basé aux U.S.A., même si celui-ci a adhéré aux « safe harbor principles », afin d´éliminer tout risque de contestation à votre encontre de la part des personnes concernées.
Nouveautés introduites par la décision du 15 février 2010
A compter du 15 mai 2010, cette décision du 15 février remplace et met à jour la décision 2002/16/CE du 27 décembre 2001. La nouvelle décision prend mieux en compte le recours crois-sant à l´externalisation et au « cloud computing » (littéralement, informatique dans les nuages).
Les clauses contractuelles types prévoient les mesures techniques et d´organisation qui sont né-cessaires pour protéger les données à caractère personnel contre une destruction fortuite ou illi-cite, une perte fortuite, une altération, une divulgation ou un accès non autorisé ou toute autre forme illicite de traitement.
Elles visent également les transferts ultérieurs d´un sous-traitant établi dans un pays tiers (l´importateur de données) vers un autre sous-traitant (sous-traitance ultérieure) afin de tenir compte de l´évolution des pratiques des entreprises, qui tendent vers une mondialisation crois-sante de l´activité de traitement.
Un sous-traitant qui souhaite à son tour sous-traiter le traitement des données à caractère person-nel devra au préalable obtenir l´ accord écrit de l´exportateur.
Par ailleurs, le contrat conclu entre le sous-traitant initial et le sous-traitant ultérieur devra impo-ser à ce dernier les mêmes obligations que celles auxquelles le sous-traitant initial est soumis. La sous-traitance ultérieure ne devra porter que sur les activités convenues dans le contrat conclu entre l´exportateur de données et l´importateur de données et ne devra pas avoir d´autres finalités ou concerner d´autres activités de traitement que la sous-traitance initiale. En cas de manquement par le sous-traitant ultérieur aux obligations en matière de traitement de données qui lui incom-bent conformément au contrat, l´importateur de données doit rester responsable envers l´exportateur de données.
Droits de la personne concernée
En outre, les clauses contractuelles types doivent être exécutoires non seulement par les or-ganisations parties au contrat, mais également par les personnes concernées, en particulier lorsque ces dernières subissent un dommage en raison d´une rupture du contrat. La décision prévoit dans quelles circonstance exceptionnelle la personne concernée disposera d´un re-cours direct contre l´importateur de données ou le sous-traitant ultérieur.
Mise à jour des contrats existants en cas d´avenant
Il convient de se pencher sur les contrats de sous-traitance que vous auriez conclus avant le 15 mai 2010 afin de vous assurer qu´ils sont conformes à ces nouvelles dispositions si les transferts et les activités de traitement de données faisant l´objet du contrat sont changés ou si les parties contractantes décident de sous-traiter les activités de traitement faisant l´objet du contrat.
