Comprendre les clauses contractuelles types (CCT) pour la conformité au RGPD

Les clauses contractuelles types (CCT) sont des clauses rédigées par la Commission européenne pour aider à garantir la conformité au RGPD lors du transfert de données personnelles en dehors de l'Espace économique européen (EEE) .

Cet article explique comment fonctionnent les SCC , quand et comment les utiliser , et comment mettre en œuvre et surveiller les SCC de votre organisation d'une manière conforme au RGPD.

Que sont les clauses contractuelles types (CCT) ?

Les normes de protection des données du RGPD sont parmi les plus strictes au monde. Cependant, les données sont fluides et Internet transcende les frontières nationales et les juridictions juridiques.

Le RGPD n'exige pas que les données personnelles soient stockées exclusivement dans l'UE. Les « transferts internationaux de données » sont très courants . Mais ils doivent être conformes au chapitre V du RGPD .

Le chapitre V du RGPD prévoit plusieurs moyens de procéder à un transfert international de données :

1. Si le pays de destination dispose d'une « décision d'adéquation » de la Commission européenne (article 45). La Commission européenne tient à jour une liste de pays ayant des normes de protection des données « adéquates ». Vous n'avez pas besoin d'utiliser les clauses contractuelles types ou toute autre mesure de protection lorsque vous transférez des données personnelles vers un « pays adéquat ».
2. Si vous utilisez l’un des « mécanismes de transfert » du RGPD (article 46), y compris les CCT.
3. Si une « dérogation » (exception) s'applique (article 49), par exemple si la personne concernée a explicitement consenti au transfert ou si le transfert est nécessaire pour protéger la vie ou la santé d'une personne. Les dérogations ne doivent être utilisées que dans des situations exceptionnelles.

Les SCC sont l'un des « mécanismes de transfert » définis à l'article 46 du RGPD (point 2 ci-dessus) et constituent le moyen le plus courant de procéder à un transfert international de données vers des organisations dans des pays sans décision d'adéquation.

Un contrat contenant des clauses contractuelles types lie l'« importateur » de données (situé hors de l'EEE) aux principes, droits et obligations du RGPD. En d'autres termes, l'importateur sera légalement tenu de respecter les normes de l'UE lors du traitement des données personnelles qu'il importe depuis l'EEE.

Composantes clés des SCC modernisés

La dernière série de clauses contractuelles types de l'UE figure dans la décision d'exécution (UE) 2021/914 de la Commission. Voici un bref aperçu de la législation afin que vous sachiez à quoi vous vous engagez avant de mettre en œuvre les clauses contractuelles types.

Section I : Dispositions générales introductives

Les clauses de la section 1 présentent les SCC, en expliquant les aspects clés tels que :

• Leur objectif (assurer la conformité au RGPD)
• Les parties au transfert (l'exportateur et l'importateur de données)
• Les tiers bénéficiaires du contrat (personnes concernées, qui peuvent faire valoir les clauses contractuelles types contre les parties)

L'article 1 comprend également une « clause d'amarrage » facultative (Clause 7), qui permet à de nouvelles parties de se joindre au contrat après sa signature.

Section II : Obligations des Parties

La section II définit les exigences imposées à l’exportateur et (plus particulièrement) à l’importateur en ce qui concerne les données personnelles transférées.

Les SCC imposent, entre autres, les obligations suivantes :

• Minimisation des données : Les deux parties doivent s’assurer que les données personnelles traitées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
• Transparence : Les exportateurs de données doivent fournir des informations claires et complètes sur le transfert, y compris son objectif, les catégories de données personnelles concernées et la manière dont les personnes concernées peuvent exercer leurs droits.
• Sécurité des données : Les deux parties doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre toute destruction, perte, altération, divulgation ou accès non autorisé, accidentel ou illicite.
• Sous-traitants ultérieurs : Les importateurs de données doivent obtenir une autorisation écrite préalable, spécifique ou générale, de l'exportateur de données avant de faire appel à un sous-traitant ultérieur. En outre, les sous-traitants ultérieurs doivent être liés par les mêmes obligations en matière de protection des données que celles stipulées dans les CCT.
• Droits des personnes concernées : les parties doivent travailler ensemble pour défendre les droits des personnes concernées.

Cette section des SCC est « modulaire » : toutes les clauses ne sont pas pertinentes pour chaque scénario de transfert, et seules les clauses pertinentes feront partie du contrat. Nous examinerons ci-dessous la nature modulaire des SCC.

Section III : Lois locales et accès des autorités publiques

L’une des principales raisons d’être des SCC est de protéger les données personnelles contre l’accès par des autorités publiques non membres de l’EEE (telles que les forces de l’ordre et les agences de renseignement).

En signant les SCC, les parties garantissent qu'elles n'ont aucune raison de croire que les autorités publiques du pays de l'importateur les forceront à violer les SCC .

Par exemple, les clauses contractuelles types peuvent interdire à l'importateur de donner accès aux données personnelles à la police locale sans mandat. Dans certains pays, l'importateur peut refuser une telle ordonnance. Dans d'autres, il peut être juridiquement ou pratiquement impossible de refuser une telle ordonnance.

Avant de signer les CSC et de garantir qu’un tel scénario ne se produira pas, les parties doivent considérer :

• Les circonstances spécifiques du transfert (par exemple, quels types de données sont concernés et quelles technologies sont utilisées pour partager les données).
• Les lois et pratiques du pays tiers (par exemple, les lois qui permettent aux autorités publiques d’intercepter des données, et si les autorités publiques respectent réellement ces lois).
• Les « garanties contractuelles, techniques et organisationnelles » mises en place pour empêcher les autorités publiques d’accéder aux données.

Le processus de prise en compte de ces facteurs est connu sous le nom d’« évaluation de l’impact des transferts » (EIT). Selon le Comité européen de la protection des données (CEPD), les exportateurs et les importateurs doivent procéder à une EIT avant de s’appuyer sur les clauses contractuelles types afin de s’assurer qu’ils protégeront efficacement les données personnelles en question. 

Nous fournirons quelques ressources sur les TIA vers la fin de cet article.

L'article III des CCT exige également que l'importateur de données informe l'exportateur de données si une autorité publique demande l'accès aux données et qu'il conteste toute demande qui violerait les CCT, le cas échéant.

Section IV : Non-conformité, résiliation et loi applicable

La section IV des CCT explique ce qui se passe si l'une des parties viole les CCT ou si l'importateur découvre qu'il ne peut pas remplir ses obligations en vertu des CCT. L'exportateur de données peut résilier le contrat de manière anticipée si l'importateur ne se conforme pas à une ordonnance d'un organisme de réglementation basé dans l'EEE.

Cette section permet également aux parties de convenir des lois du pays qui régiront l'interprétation des SCC et de gérer tout litige juridique découlant du transfert.

Comprendre les quatre modules des SCC

Comme indiqué précédemment, les SCC sont « modulaires » . Cela signifie que certains transferts sont couverts par certaines parties des SCC, mais pas par d’autres.

Il existe quatre modules SCC couvrant quatre scénarios distincts , selon la partie qui est responsable du traitement et celle qui est responsable du traitement. Voici quelques exemples de cas où chaque module est approprié.

Module 1 : Contrôleur à contrôleur (C2C)

Le module 1 concerne les transferts d'un contrôleur à un autre . Par exemple :

• Exportateur : cabinet de conseil allemand
• Importateur : société d'études de marché américaine

Un cabinet de conseil allemand recueille les commentaires de ses clients par le biais d'enquêtes et analyse les données à ses propres fins. 

Lorsque ses utilisateurs y consentent, l'entreprise allemande partage les données avec une société d'études de marché américaine, qui utilise les données à ses propres fins.

Les deux sociétés sont responsables du traitement et utilisent les SCC du module 1 pour faciliter le transfert de données.

Module 2 : Du contrôleur au processeur (C2P)

Le module 2 s'applique lorsqu'un responsable du traitement transfère des données à un sous-traitant . Par exemple :

• Exportateur : Détaillant polonais
• Importateur : société d'analyse brésilienne

Un détaillant polonais souhaite analyser l'activité des utilisateurs sur son site Internet. Il fait appel à un prestataire d'analyse brésilien pour analyser les données en son nom.

Le détaillant polonais est responsable du traitement et la société d'analyse brésilienne est sous-traitante. Les entreprises utilisent les clauses contractuelles types du module 2 pour faciliter le transfert de données.

Module 3 : Processeur à processeur (P2P)

Le module 3 s'applique lorsqu'un processeur transfère des données à un autre processeur (ou à un sous-processeur). Par exemple :

• Exportateur : Entreprise espagnole de marketing par e-mail
• Importateur : fournisseur sud-africain de sécurité des données

Une société espagnole de marketing par e-mail gère des listes de diffusion pour le compte de ses clients. L'entreprise espagnole fait appel à un fournisseur de sécurité des données sud-africain pour sécuriser les listes de diffusion contre les incidents de cybersécurité.

La société espagnole de marketing par e-mail est un sous-traitant et le fournisseur sud-africain de sécurité des données est son sous-traitant. Les entreprises utilisent les clauses contractuelles types du module 3 pour faciliter le transfert de données.

Module 4 : Du processeur au contrôleur (P2C)

Le module 4 couvre un scénario quelque peu obscur : un sous-traitant basé dans l'EEE obtient des données personnelles d'un responsable du traitement non basé dans l'EEE et renvoie les données personnelles au responsable du traitement . Par exemple :

• Exportateur : fournisseur italien d'analyse de données
• Importateur : Détaillant égyptien

Un fournisseur italien d'analyse de données est engagé par un détaillant égyptien pour analyser le comportement des acheteurs sur sa boutique en ligne. Le détaillant égyptien exporte des données personnelles à l'entreprise italienne pour analyse. 

Le détaillant égyptien est responsable du traitement. Le fournisseur d'analyses italien est un sous-traitant, mais il est toujours couvert par le RGPD. Il doit donc se conformer au chapitre V du RGPD lors du transfert des données personnelles analysées au détaillant égyptien. Les entreprises utilisent les clauses contractuelles types du module 4 pour faciliter le transfert.

Remarque : bien que la version britannique du RGPD soit pratiquement identique à celle de l'UE, le régulateur britannique ne reconnaît pas ce scénario comme un transfert international de données. Seules les personnes soumises au RGPD de l'UE doivent utiliser des clauses contractuelles types dans ce scénario. Pour en savoir plus, consultez notre article sur les accords internationaux de transfert de données (IDTA) au Royaume-Uni .

Comment mettre en œuvre les clauses contractuelles types (CCT)

Nous avons vu ce que sont les SCC et comment ils fonctionnent. Ensuite, voici quelques conseils pour vous aider à mettre en place les SCC.

Identifiez et cartographiez vos transferts de données

Avant de mettre en œuvre les SCC, vous devez déterminer si vous effectuez un transfert international de données et cartographier les destinations des données personnelles (y compris si l’importateur effectuera des « transferts ultérieurs » vers un autre pays tiers).

Comme indiqué, un transfert international de données nécessite deux parties : un importateur (basé dans l'EEE et soumis au RGPD) et un importateur (hors de l'EEE). 

Vous devez conserver une carte complète de chaque transfert international de données pertinent pour votre organisation.

Évaluer si les SCC sont efficaces

Cette partie du processus de transfert international de données est sans doute la plus difficile et est connue sous le nom d’ « évaluation de l’impact du transfert » (EIT).

Un TIA est requis avant de procéder à un transfert international de données car les SCC ne sont qu'un contrat : ils n'empêchent pas toujours les autorités non-EEE d'exiger ou d'obtenir les données personnelles et de violer les droits des personnes en matière de protection des données.

À ce titre, l'exportateur (idéalement avec l'aide de l'importateur) doit évaluer les lois et les pratiques de la juridiction de l'importateur pour garantir que cela ne se produira pas d'une manière qui porte atteinte aux droits des personnes en matière de protection des données.

Par exemple : la législation du pays importateur autorise-t-elle les services de renseignement à intercepter les données des câbles sous-marins ? Dans le cas contraire, les services de renseignement interceptent-ils quand même les données ? Ou bien les autorités chargées de l’application de la loi peuvent-elles exiger des données personnelles des entreprises sans contrôle judiciaire approprié ?

Adopter des mesures complémentaires

Ensuite, l’exportateur devrait envisager de mettre en place des « mesures techniques ou organisationnelles » pour assurer une protection efficace des données personnelles transférées.

• Une mesure technique pourrait impliquer le cryptage des données personnelles pour garantir que l’importateur ne puisse pas les divulguer aux autorités chargées de l’application de la loi. 
• Une mesure organisationnelle peut consister à s’assurer que l’importateur dispose d’une formation, de politiques ou de certifications adéquates en matière de protection des données.

Si aucune mesure technique ou organisationnelle efficace n’est possible, vous devrez peut-être vous demander si vous pouvez légalement effectuer le transfert international de données.

Négocier et signer les SCC

Les SCC font partie d’un contrat entre l’exportateur et l’importateur – le contrat doit être convenu et signé avant que le transfert n’ait lieu.

Les parties ne peuvent modifier ou exclure aucune des clauses obligatoires des SCC . Toutefois, certains éléments des SCC sont facultatifs (comme la « clause d'amarrage ») et l'importateur et l'exportateur peuvent négocier les contrôles de sécurité ou les aspects commerciaux du transfert.

Réévaluer à intervalles appropriés

Comme pour la plupart des activités de conformité en matière de protection des données, la mise en œuvre des SCC n’est pas un exercice « unique et réalisé » : vous devez revoir l’accord international de transfert de données à « intervalles appropriés » et vous assurer que les SCC constituent toujours un outil efficace de protection des données.

Si la législation change dans la juridiction de l'importateur, si un gouvernement autoritaire prend le pouvoir ou si une nouvelle technologie vient saper les garanties techniques convenues, les clauses contractuelles types pourraient ne plus être efficaces ou appropriées. La révision régulière des clauses contractuelles types permettra d'éviter de telles éventualités.

Les parties peuvent convenir formellement d'une période de révision , ou l'exportateur peut décider de réviser ses CCT régulièrement (par exemple une fois par an). Les transferts de données plus risqués nécessitent une réévaluation plus fréquente.

Questions fréquemment posées sur les clauses contractuelles types

Quelles sont les sanctions en cas de non-utilisation des SCC pour les transferts de données internationaux ?

Le non-respect des SCC peut enfreindre les règles internationales de transfert de données du RGPD et entraîner le niveau de sanctions le plus élevé : jusqu'à 4 % du chiffre d'affaires annuel mondial ou jusqu'à 20 millions d'euros (le montant le plus élevé).

En août 2024, Uber a reçu une amende de 290 millions d'euros de la part de l' Autorité néerlandaise de protection des données (DPA) après avoir transféré des données personnelles entre ses entités européennes et américaines sans SCC (ou tout autre mécanisme de transfert) en place.

Les SCC peuvent-ils être utilisés pour des transferts de données au sein d’un même pays ?

Oui, dans certaines circonstances. Le considérant 111 évoque la possibilité de « transferts ultérieurs de données à caractère personnel depuis le pays tiers […] vers des responsables du traitement ou des sous-traitants dans le même pays tiers ou dans un autre pays tiers ».

Par exemple:

• Un détaillant français transfère des données personnelles à un fournisseur d'analyse brésilien en utilisant des SCC.
• Le fournisseur d'analyses brésilien souhaite partager les données avec une société brésilienne de marketing par e-mail.

Cet accord pourrait constituer un « transfert ultérieur » pour lequel les SCC pourraient fournir une garantie appropriée, malgré le fait que les deux sociétés soient situées au Brésil.

À quelle fréquence les SCC doivent-ils être révisés et mis à jour ?

Le RGPD et les directives réglementaires qui l'accompagnent ne prévoient pas de délai précis pour l'examen des clauses contractuelles types. Comme indiqué précédemment, les parties peuvent convenir d'une période d'examen régulière lors de la négociation des clauses contractuelles types. En règle générale, les transferts de données plus risqués impliquant des données sensibles nécessiteront des examens plus fréquents.

Quelle est la différence entre les SCC et les règles d’entreprise contraignantes (BCR) ?

Alors que toute organisation soumise au RGPD peut envisager d'utiliser les SCC pour faciliter un transfert international de données, les règles d'entreprise contraignantes (BCR) sont exclusivement utilisées par les entreprises internationales transférant des données personnelles entre entités juridiques au sein d'un groupe d'entreprises.

Les BCR nécessitent également l’approbation d’une autorité de protection des données (APD), un processus qui peut être coûteux et prendre du temps.

Ainsi, les BCR conviennent généralement aux grandes entreprises disposant de ressources importantes, tandis que les organisations de toute taille peuvent s’appuyer sur les SCC.

Bonnes pratiques pour une utilisation efficace des SCC

Suivez les étapes suivantes pour vous assurer d’utiliser efficacement les SCC :

• Connaissez vos transferts : assurez-vous que chaque personne concernée de votre équipe peut reconnaître un transfert international de données qui nécessite la mise en œuvre de SCC.
• Évaluez si les clauses contractuelles types « fonctionnent » : avant de les mettre en œuvre, assurez-vous qu'elles peuvent protéger de manière adéquate les données que vous transférez. Dans le cas contraire, envisagez d'autres options, notamment ne pas effectuer le transfert.
• Mettre en œuvre des mesures complémentaires : Au-delà des protections contractuelles prévues via les CCT, mettre en place des « mesures techniques et organisationnelles » pour sauvegarder les données personnelles.
• Utilisez les modules appropriés : déterminez quel module SCC est approprié dans les circonstances et assurez-vous que le contrat comprend toutes les clauses nécessaires.
• Révisez régulièrement vos CCT : définissez une période de révision régulière pour garantir que vos CCT restent efficaces et à jour à la lumière de l’évolution des circonstances et des exigences légales.

Lectures et ressources complémentaires sur les clauses contractuelles types

• Clauses contractuelles types pour les transferts internationaux : Vous recherchez les clauses types à copier dans votre contrat ? Cette page du site de la Commission européenne héberge les clauses types sous différents formats.
• Décisions d'adéquation : Avant d'envisager des SCC ou tout autre mécanisme de transfert de données, consultez la liste des « décisions d'adéquation » de la Commission européenne : vous n'aurez peut-être pas besoin d'utiliser des SCC du tout.
• Recommandations du CEPD 01/2020 : Adoptées après que l'affaire Schrems II a perturbé les flux de données de l'Europe vers les États-Unis, les recommandations du CEPD décomposent le processus de transfert de données en six étapes essentielles.
• Transferts de données personnelles vers des pays tiers ou des organisations internationales : Cet article de la Commission irlandaise de protection des données (DPC) fournit des conseils officiels relativement conviviaux sur l'utilisation des SCC et d'autres mécanismes de transfert.