standard contractual clauses

[DimitriPapadopoulos]

I don't see a reference to the EU standard contractual clauses for the transfer of personal data to third countries. I believe these are required and the DUA by itself is not sufficient. Comments?

[CPernet]

Well yes, this is mandatory GDPR stuff - we did not include SCC because not specific but I now think we should explain the DUA is in addition of the SCC (which are EU doc one cannot touch - although latest regulations were leaning toward possible amendments = I was lazy and been waiting one those before including this here)

[DimitriPapadopoulos]

Thanks for taking the time to explain. The DUA needs not be changed, so we just need to explain the SCC here:
Data User Agreement

Is that correct?

[CPernet]

yes DUA all good - but in the explanation we need to tell that for 3rd countries SCC must be signed too

[DimitriPapadopoulos]

Our legal department say the DUA is not necessarily in addition of the SCC, that the SCC can be modified, for example by adding additional items. On the other hand, it is true the French data protection authority CNIL recommend not to modify the SCC, but for purely practical reasons in the interest of their own processes. See:

• Les Clauses Contractuelles Types de la Commission européenne

Q8. Dois-je reprendre les Clauses Contractuelles Types in extenso ?

Aucune disposition légale ne vous oblige à reprendre les Clauses Contractuelles Types in extenso. Cependant, une telle pratique est préférable. En effet, dans le cadre de l'autorisation de transfert qu'elle délivre, la CNIL doit s'assurer que ce contrat accorde des « garanties suffisantes » ou un « niveau de protection suffisant », au sens de la directive 95/46/CE et de la loi Informatique et Libertés.
La CNIL appréciera donc le niveau de ces garanties par référence au niveau de protection résultant des Clauses Contractuelles Types émises par la Commission européenne.
Reprendre les Clauses Contractuelles Types, c’est s’assurer une procédure d’autorisation plus rapide et accroître la sécurité juridique de vos transferts.
Par ailleurs, vous pouvez librement décider d'ajouter des clauses supplémentaires du moment qu'elles ne contredisent pas directement ou indirectement les Clauses Contractuelles Types et ne portent pas préjudice aux libertés et droits fondamentaux des personnes dont les données sont transférées.

• Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne

La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a indiqué qu'en règle générale, les clauses contractuelles types (CCT) peuvent toujours être utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers). Cependant, la CJUE a souligné qu'il incombe à l'exportateur et à l'importateur de données d'évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.
Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n'empiétera pas sur ces mesures supplémentaires de manière à les priver d'effectivité.