Navigation path

Left navigation

Additional tools

Other available languages: EN DE

IP/10/ 130

Bruxelles, le 5 février 2010

Des normes plus strictes pour les transferts de données à caractère personnel de citoyens européens vers des sous-traitants établis dans des pays tiers

La Commission européenne a adopté aujourd’hui une décision mettant à jour les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants de données établis dans des pays non membres de l’UE. Cette décision modifie les clauses contractuelles types actuelles de façon à prendre en compte l’expansion des activités de traitement et les nouveaux modèles commerciaux de traitement international des données à caractère personnel. Elle contient des dispositions spécifiques autorisant, à certaines conditions, l’externalisation d’activités de traitement à des sous-traitants ultérieurs, tout en garantissant la protection constante des données à caractère personnel.

Le vice‑président Jacques Barrot a déclaré: « Cette version mise à jour des clauses contractuelles types tient compte des nouveaux modèles commerciaux et de la progression constante du traitement et de l’externalisation à l’échelle mondiale. Les clauses contractuelles types actualisées garantissent un équilibre entre les besoins des entreprises au niveau international et la protection des données à caractère personnel des citoyens de l’UE».

Les clauses contractuelles types « responsable du traitement vers sous-traitant » ont été approuvées par la décision 2002/16/CE de la Commission afin de doter les entreprises d’un outil garantissant une protection adéquate des données à caractère personnel lorsque ces données sont transférées vers des sous‑traitants établis hors de l'UE/EEE. La décision adoptée aujourd’hui tient compte des recommandations formulées dans le «rapport sur la mise en œuvre des décisions relatives aux clauses contractuelles types» et des propositions des différentes parties prenantes 1 . La décision nouvellement adoptée prévoit qu’un importateur de données (le sous‑traitant ) qui souhaite sous-traiter toute opération de traitement réalisée pour le compte de l’exportateur de données de l’UE (le responsable du traitement ) doit au préalable obtenir l’accord écrit de ce dernier. Le contrat écrit imposera au sous‑traitant ultérieur les mêmes obligations que celles auxquelles est soumis l’importateur de données conformément aux clauses contractuelles types. En cas de manquement par le sous-traitant ultérieur aux obligations qui lui incombent en matière de protection des données, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données.

En outre, la sous-traitance ultérieure portera uniquement sur les opérations de traitement convenues dans le contrat initial conclu par l’exportateur de données de l’UE et l’importateur de données. Les contrats existants, conclus en vertu des clauses approuvées par la décision 2002/16/CE, restent en vigueur aussi longtemps que les transferts et les opérations de traitement de données demeureront inchangés. Si elles souhaitent modifier le contrat ou y introduire des modalités relatives à la sous-traitance ultérieure, les parties à ces contrats seront tenues de conclure un nouveau contrat conformément à la version actualisée des clauses contractuelles. Les autorités nationales chargées de la protection des données peuvent également autoriser d’autres modalités contractuelles «ad hoc» pour les transferts internationaux de données si elles estiment que ces contrats offrent des garanties suffisantes en matière de protection des droits fondamentaux, et notamment du droit au respect de la vie privée. Les clauses contractuelles ne sont pas nécessaires pour le transfert de données à caractère personnel à l’intérieur de l’EEE (Espace économique européen, c’est-à-dire l’UE plus l’Islande, la Norvège et le Liechtenstein), vers les pays dont les systèmes de protection des données ont été reconnus par la Commission comme offrant une protection adéquate 2 , ou vers les entreprises américaines qui observent les principes de la «sphère de sécurité» énoncés par le ministère américain du commerce (voir IP/00/865 et IP/02/46).

MEMO/10/ 30

1 :

SEC(2006) 95 du 20.1.2006. http://ec.europa.eu/justice_home/fsj/privacy/docs/modelcontracts/sec_2006_95_en.pdf

2 :

L’Argentine, la Suisse, le Canada, l’Île de Man, Jersey et Guernesey.


Side Bar

My account

Manage your searches and email notifications


Help us improve our website