Informatique et libertés
Flux transfrontières
Flux transfrontières : de nouvelles clauses contractuelles types
La Commission européenne a adopté, le 5 février 2010, de nouvelles clauses contractuelles permettant d’encadrer les flux transfrontières de données à caractère personnel vers des sous-traitants établis dans un pays n’offrant pas un niveau de protection adéquat. En permettant d’encadrer les transferts de « sous-traitant » vers « sous-traitant », les nouvelles clauses, prennent mieux en compte le recours croissant à l’externalisation et au « cloud computing » (littéralement, informatique dans les nuages). Ces nouvelles clauses remplaceront, à compter du 15 mai 2010, les clauses contractuelles types résultant de la décision 2002/16/CE du 27 décembre 2001.
Aux termes de ces clauses un sous-traitant qui souhaite à son tour sous-traiter le traitement des données à caractère personnel devra au préalable obtenir l’accord écrit de l’exportateur pour le compte duquel les données sont transférées hors Union européenne. Par ailleurs, le contrat conclu entre le sous-traitant initial et le sous-traitant ultérieur devra imposer à ce dernier les mêmes obligations que celles auxquelles le sous-traitant initial est soumis. Un audit des contrats de sous-traitance devra donc être réalisé afin d’assurer, le cas échéant, leur mise en conformité à ces nouvelles dispositions. De même, un avenant aux conventions de flux transfrontières conclues avec des sous-traitants avant le 15 mai 2010 devra être rédigé, afin de prendre en compte le cas d’une sous-traitance ultérieure effectuée dans un pays tiers.
Décision 2010/87/UE de la Commission européenne du 5 février 2010