Nouvelles clauses contractuelles types européennes : nouvelles règles en matière de protection des renseignements personnels et leur incidence sur les entreprises canadiennes

Le 4 juin 2021, la Commission européenne a publié une version mise à jour de ses clauses contractuelles types (les nouvelles CCT), marquant la première mise à jour depuis l’entrée en vigueur du Règlement général sur la protection des données. Cette mise à jour décrit certains des principaux changements et ce qu’ils signifient d’un point de vue canadien.

Les nouvelles CCT remplacent les séries de CCT précédemment adoptées en 2010 (les anciennes CCT).

Quelles sont les clauses contractuelles types?

Les CCT sont des clauses contractuelles approuvées par la Commission européenne comme mécanisme de transfert adéquat. À moins qu’un pays ne reçoive un statut d’adéquation de l’Union européenne (UE), les organisations souhaitant partager des données en dehors de l’UE doivent se munir d’un mécanisme de transfert valide.

Les CCT sont généralement présentées en annexe dans un accord de traitement de données (ATD).

Qu’est-ce qui a changé?

Les nouvelles CCT traitent de quatre types d’arrangements possibles entre les responsables du traitement des données et les sous-traitants et sont organisées en modules. Le responsable du traitement est généralement le propriétaire des données et décide de la finalité du traitement des données. Le sous-traitant peut être un prestataire de services dont les services sont retenus aux termes d’un contrat pour traiter les données pour le compte du responsable du traitement.

• Module 1 – Transfert de responsable du traitement à responsable du traitement
• Module 2 – Transfert de responsable du traitement à sous-traitant
• Module 3 - Transfert de sous-traitant à sous-traitant
• Module 4 – Transfert de sous-traitant à responsable du traitement

Il était déjà question des modules 1 et 2 dans les anciennes CCT, tandis que les modules 3 et 4 sont nouveaux. L’utilisation de modules constitue des CCT plus complètes permettant une plus grande variété de scénarios.

Parmi les changements, nous relevons les principales modifications suivantes :

• Les CCT en tant qu’ATD autonome : si elles relèvent d’un arrangement de module 2, les CCT sont désormais rédigées pour former un ATD autonome, ce qui élimine le besoin de conclure un autre accord de partage de données prévoyant les CCT.
• Sous-traitants ultérieurs : le module 3 répond au besoin qui était de tenir compte des contrats de sous traitance ultérieure, où le transfert de données à l’extérieur de l’UE n’est pas effectué par le responsable du traitement, mais par un premier sous-traitant qui souhaite faire appel à un autre sous-traitant.
• Accords multipartites : la nouvelle clause facultative 7 permet à un tiers d’adhérer à une CCT existante sans avoir besoin de signer un contrat distinct.
• Garantie du niveau de conformité de l’UE à l’étranger : les clauses 14 et 15 imposent l’obligation de procéder à une évaluation des répercussions du transfert et des exigences précises sur la manière de traiter les demandes gouvernementales d’accès aux données en vertu des lois locales du pays de destination.

Quelle en est la signification pour les organisations canadiennes?

Le Canada maintient un statut d’adéquation (en anglais seulement) avec l’UE depuis 2001 pour les personnes concernées assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Aux termes de ce statut d’adéquation, les données personnelles peuvent circuler librement de l’UE vers le Canada sans avoir besoin de garanties supplémentaires, ce qui signifie qu’une organisation canadienne, si elle est couverte par la LPRPDE, n’est pas tenue de prévoir de CCT lorsqu’elle conclut un ATD avec une organisation européenne.

Les CCT seraient toutefois requises si le sous-traitant canadien est situé en Alberta, en Colombie-Britannique ou au Québec, si les données transférées concernent des employés qui ne sont pas visés par la LPRPDE, ou si un sous-traitant canadien choisit d’utiliser un sous-traitant ultérieur étranger non canadien lorsqu’il fournit des services à un responsable de traitement européen.

Les organisations sous le régime de l’UE peuvent également insister sur la mise en œuvre des CCT pour tous les contrats de partage de données, quel que soit le statut d’adéquation du pays de destination pour une protection supplémentaire. Ceci est attribuable en partie au fait que le statut d’adéquation des États-Unis, soit le Privacy Shield, est devenu invalide en 2020 en vertu de la décision rendue dans l’affaire Schrems II.

Par conséquent, les organisations canadiennes ne devraient pas ignorer les nouvelles CCT en se fondant uniquement sur le statut d’adéquation du Canada. Les organisations doivent lire attentivement les nouvelles CCT et évaluer toute lacune technique ou administrative au sein de l’organisation qui entrave actuellement la pleine conformité aux exigences énumérées dans les CCT. Elles peuvent également souhaiter avoir à disposition des contrats, des politiques et des protocoles mis à jour, au besoin.

Dates importantes à retenir

• Les nouvelles CCT sont entrées en vigueur le 27 juin 2021. À compter de cette date, les organisations étaient libres d’utiliser soit les anciennes soit les nouvelles CCT comme mécanisme de transfert valide.
• À compter du 27 septembre 2021, seules les nouvelles CCT seront offertes aux organisations souhaitant conclure un ATD. Avant cette date, les organisations devraient préparer un modèle d’ATD en tenant compte des modifications apportées aux nouvelles CCT.
• Les contrats existants doivent être mis à jour d’ici le 27 décembre 2022 pour inclure les nouvelles CCT, ce qui représente un délai de grâce de 15 mois pendant lequel les anciennes CCT constituent toujours un mécanisme de transfert acceptable, s’il en avait été convenu ainsi avant la date limite de septembre. Avant cette date, les organisations doivent répertorier les accords existants qui contiennent les anciennes CCT et négocier leur mise à jour avec d’autres parties afin de tenir compte des nouvelles CCT.