En bref
Les CCT sont des modèles contractuels adoptés par la Commission européenne pour encadrer les transferts de données personnelles hors UE. Quatre modules depuis 2021, avec obligation d'évaluation d'impact post-Schrems II.
Fondement juridique et genèse des clauses contractuelles types
Art. 44 du RGPD
« Tout transfert de données à caractère personnel vers un pays tiers ne peut avoir lieu que si les conditions posées par le chapitre V sont respectées par le responsable du traitement et le sous-traitant. »
Source : Règlement (UE) 2016/679 — RGPD
Art. 46, §2, c) du RGPD
« Les garanties appropriées peuvent être fournies au moyen de clauses types de protection des données adoptées par la Commission, sans qu'une autorisation préalable de l'autorité de contrôle soit nécessaire. »
Source : Règlement (UE) 2016/679 — RGPD
Les quatre modules des CCT modernisées de 2021
Qualifier rigoureusement les rôles avant de choisir le module
Procédez à une qualification précise du rôle de chaque partie (responsable ou sous-traitant) au sens des articles 4(7) et 4(8) du RGPD. Une erreur de qualification invalide l'ensemble du mécanisme de transfert.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
L'évaluation d'impact du transfert : obligation incontournable après Schrems II
CJUE, grande chambre, 16 juillet 2020, Schrems II, aff. C-311/18
« La Cour a invalidé le Privacy Shield et jugé que l'utilisation des CCT exige une évaluation préalable du niveau de protection dans le pays destinataire, assortie le cas échéant de mesures supplémentaires. »
Source : CJUE — Curia
Signer les CCT sans réaliser d'évaluation d'impact du transfert
La simple signature des CCT ne suffit plus depuis Schrems II. L'absence de TIA documenté constitue un manquement sanctionnable, même si les clauses sont formellement correctes. La CNIL exige sa production lors des contrôles.
Articulation avec les autres garanties du chapitre V du RGPD
Art. 49, §1 du RGPD
« En l'absence de décision d'adéquation ou de garanties appropriées, un transfert ne peut avoir lieu que sur le fondement de dérogations limitatives d'interprétation stricte, inapplicables aux transferts systématiques et répétitifs. »
Source : Règlement (UE) 2016/679 — RGPD
Mise en œuvre pratique et obligations documentaires des parties
Art. 28, §3 du RGPD
« Le sous-traitant traite les données uniquement sur instruction documentée du responsable. Le contrat définit l'objet, la durée, la nature et la finalité du traitement ainsi que les obligations et droits respectifs des parties. »
Source : Règlement (UE) 2016/679 — RGPD
Détailler les mesures techniques dans l'annexe II des CCT
Précisez les mesures concrètes de sécurité (chiffrement AES-256, contrôle d'accès granulaire, journalisation des accès). La CNIL vérifie l'adéquation des mesures aux risques spécifiques de chaque transfert.
Sanctions et perspectives contentieuses en matière de transferts
Art. 83, §5, c) du RGPD
« Les violations relatives aux transferts internationaux de données font l'objet d'amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. »
Source : Règlement (UE) 2016/679 — RGPD
Conserver des contrats fondés sur les anciennes CCT après décembre 2022
Les CCT antérieures à la décision 2021/914 ne sont plus valides depuis le 27 décembre 2022. Tout transfert encore fondé sur les anciennes versions constitue un transfert illicite exposant l'exportateur à des sanctions.
Amende record pour transfert non conforme
Sanction prononcée par la DPC irlandaise à l'encontre de Meta Platforms Ireland le 22 mai 2023 pour transfert illicite de données vers les États-Unis.
Source : DPC Ireland, décision du 22 mai 2023
Questions fréquentes
Les clauses contractuelles types suffisent-elles seules pour transférer des données hors UE ?
Non. Depuis l'arrêt Schrems II de la CJUE (2020), la signature des CCT doit impérativement être accompagnée d'une évaluation d'impact du transfert analysant la législation du pays destinataire. Si cette législation compromet les garanties offertes par les CCT, des mesures supplémentaires techniques ou organisationnelles doivent être adoptées, sous peine de devoir suspendre le transfert.
Quelle est la date limite pour basculer vers les nouvelles CCT de 2021 ?
La période transitoire a expiré le 27 décembre 2022. Depuis cette date, seules les CCT issues de la décision d'exécution 2021/914 sont juridiquement valides. Tout contrat encore fondé sur les anciennes versions de 2001, 2004 ou 2010 expose l'exportateur à des sanctions pour transfert illicite.
Quel module des CCT utiliser avec un prestataire cloud situé hors de l'Union européenne ?
Le module 2 (responsable de traitement vers sous-traitant) s'applique lorsque votre prestataire cloud agit en qualité de sous-traitant. Si votre organisation est elle-même sous-traitant d'un tiers, le module 3 (sous-traitant vers sous-traitant) doit être retenu. La qualification juridique des rôles respectifs est déterminante.
Quelles sanctions encourt une entreprise en cas de transfert sans CCT valides ?
L'article 83 du RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. La CNIL peut également ordonner la suspension immédiate du transfert et imposer une mise en conformité sous astreinte. La sanction de 1,2 milliard d'euros infligée à Meta en 2023 illustre la sévérité des autorités.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Lorient
- Procédure à Saint Denis 93
- Procédure à Calais
- Procédure à Chambery
- Procédure à Niort
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours