Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne
Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.
Les modèles de clauses contractuelles ont été mis à jour par la Commission européenne le 4 juin 2021.
À compter du 27 décembre 2022, les anciennes clauses contractuelles types de la Commission ne peuvent plus être utilisées.
Mise à jour suite à l'arrêt Schrems II de la Cour de justice de l'Union européenne
La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a indiqué qu'en règle générale, les clauses contractuelles types (CCT) peuvent toujours être utilisées pour transférer des données vers un pays tiers (qu’il s’agisse des États-Unis ou d’un autre pays tiers). Cependant, la CJUE a souligné qu'il incombe à l'exportateur et à l'importateur de données d'évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.
Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n'empiétera pas sur ces mesures supplémentaires de manière à les priver d'effectivité.
Concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement (en particulier la section 702 du FISA et l’Executive Order 12333) ne permet pas d’assurer un niveau de protection essentiellement équivalent (voir en particulier le considérant 145 de l'arrêt de la Cour, la clause 4(g) de la décision 2010/87/UE de la Commission, la clause 5(a) de la décision 2001/497/CE de la Commission et l'annexe II (c) de la décision 2004/915/CE de la Commission).
La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent.
Dans tous les cas de transferts (vers les États-Unis ou vers tout pays tiers), si vous arrivez à la conclusion que le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d'éventuelles mesures supplémentaires, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.
En savoir plus : invalidation du Privacy shield : les suites de l’arrêt de la CJUE
Où puis-je trouver les clauses contractuelles types de la Commission européenne ?
Les clauses contractuelles type sont accessibles sur le site de la Commission européenne.
Quelles situations de transferts couvrent les clauses contractuelles types de la Commission européenne ?
Les clauses contractuelles types couvrent :
- les transferts entre responsables de traitement UE et responsables de traitement non UE ;
- les transferts de responsables de traitement UE à sous-traitants non UE.
Elles intègrent également deux nouvelles situations :
- les transferts de sous-traitants UE à des responsables de traitement non UE ;
- les transferts entre sous-traitants UE et sous-traitants non UE.
Est-ce que ces nouvelles clauses contractuelles types remplacent les précédentes ?
Les nouvelles clauses contractuelles types remplacent les précédentes datant de 2001 et 2004. Une période de transition de trois mois à partir de l’entrée en vigueur des nouvelles clauses contractuelles types a été prévue (c'est-à-dire jusqu'en septembre 2021).
Pendant une période supplémentaire de 15 mois, les exportateurs et les importateurs de données ont pu continuer à invoquer les anciennes clauses contractuelles types, mais au-delà cette période tous ont dû mettre à jour leurs clauses contractuelles types ou un autre outil de transfert.
À compter du 27 décembre 2022, les anciennes clauses contractuelles types ne peuvent plus être utilisées.
Qu’est-ce qui change avec les nouvelles clauses contractuelles types ?
Les nouvelles clauses contractuelles types, en plus de reprendre les principales protections des droits des personnes et clauses, apportent en outre plusieurs changements, pour tenir compte du RGPD et intégrer de nouveaux mécanismes.
Une structure par module
Tout d’abord, les clauses contractuelles type combinent des clauses générales avec une approche par module pour répondre à divers scénarios de transfert.
En plus des clauses générales, les responsables de traitement et les sous-traitants doivent choisir le module applicable à leur situation parmi les quatre modules suivants :
- module un : transfert de responsable de traitement à responsable de traitement ;
- module deux : transfert de responsable de traitement à sous-traitant ;
- module trois : transfert de sous-traitant à sous-traitant ;
- module quatre : transfert de sous-traitant à responsable de traitement
Clauses multipartites ou « clauses d’amarrage »
Les nouvelles clauses contractuelles types permettent également à de nouvelles entités, quelles qu’elles soient, d’accéder aux clauses contractuelles types, et de devenir une nouvelle partie dans le contrat, comme sous-traitant ou responsable de traitement.
Elles permettent à plusieurs parties exportatrices de données de conclure un contrat et à de nouvelles parties d'y être ajoutées au fil du temps, au-delà des signataires initiaux.
Une nouvelle partie peut accéder au contrat seulement avec l’accord des autres parties du contrat.
Prise en compte de la législation du pays tiers de destination des transferts de données applicable à l’importateur
Les nouvelles clauses contractuelles types intègrent aussi la jurisprudence de la CJUE dans l’affaire dite « Schrems II » et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.
Mettre en place des clauses contractuelles types : les grandes étapes
Cartographiez les différents transferts de données personnelles effectuées et identifiez les Clauses Contractuelles Type adaptées à votre cas (CCT de responsable de traitement à responsable de traitement ou de responsable de traitement à sous-traitant ?)
Pour en savoir plus, consulter les exemples de schémas de transferts possibles avec les Clauses contractuelles types
Complétez les Clauses Contractuelles Types (notamment les Annexes sur la description des transferts)
Effectuez les démarches nécessaires auprès de La CNIL.
Transmettez les clauses à la CNIL uniquement dans le cas où vous avez modifié le contenu des modèles officiels de l'Union Européenne.