Clauses Contractuelles Types (CCT)

Glossaire des affaires

Contrats types adoptés par la Commission européenne qui fournissent des garanties adéquates pour le transfert de données personnelles depuis l'Espace économique européen (EEE) vers des pays ne disposant pas d'une décision d'adéquation, conformément aux exigences du RGPD.

Numérique

Que Sont les CCT ?

Les Clauses Contractuelles Types (CCT) sont des termes contractuels préapprouvés adoptés par la Commission européenne via la Décision d’exécution 2021/914. Elles constituent le mécanisme le plus utilisé pour légitimer les transferts de données personnelles vers des pays hors EEE ne disposant pas d’une décision d’adéquation de la Commission.

Les Quatre Modules

Les CCT de 2021 sont organisées en quatre modules reflétant différentes relations entre parties :

Module 1 : Responsable du traitement vers responsable du traitement
Module 2 : Responsable du traitement vers sous-traitant (le scénario le plus courant pour les services cloud)
Module 3 : Sous-traitant vers sous-traitant (chaînes de sous-traitance)
Module 4 : Sous-traitant vers responsable du traitement (données revenant à un responsable hors EEE)

Chaque module contient des obligations adaptées à la nature du flux de données et aux rôles des parties.

Schrems II et Analyses d’Impact du Transfert

L’arrêt Schrems II de la CJUE (2020) a établi que les CCT seules peuvent ne pas offrir une protection suffisante si les lois du pays de destination compromettent les garanties contractuelles — notamment en matière de surveillance gouvernementale. Les exportateurs de données doivent désormais réaliser une Analyse d’impact du transfert (TIA) avant de s’appuyer sur les CCT, en évaluant le cadre juridique du pays importateur et en mettant en œuvre des mesures supplémentaires (chiffrement, pseudonymisation, restrictions d’accès) si nécessaire.

Le Cadre de Protection des Données UE-États-Unis

Le Cadre de protection des données UE-États-Unis (2023) fournit un mécanisme d’adéquation pour les transferts vers des entreprises américaines s’auto-certifiant dans le cadre, réduisant (sans l’éliminer) le besoin de CCT dans les flux de données UE-États-Unis. Pour tous les autres pays non adéquats, les CCT restent le mécanisme de transfert principal.

Mise en Œuvre Pratique

Les entreprises doivent intégrer les CCT dans tous les contrats avec les sous-traitants et destinataires de données hors EEE, compléter des TIA documentées, mettre en œuvre des mesures techniques supplémentaires si nécessaire, et revoir périodiquement l’adéquation des garanties à mesure que les paysages juridiques évoluent.

Questions fréquentes

Quand les entreprises espagnoles doivent-elles utiliser les Clauses Contractuelles Types (CCT) ?

Les CCT sont requises lors du transfert de données personnelles depuis l'Espagne (en tant que partie de l'EEE) vers un pays ne disposant pas d'une décision d'adéquation de la Commission européenne et lorsqu'aucun autre mécanisme de transfert valide ne s'applique. Les scénarios courants comprennent l'utilisation de services cloud américains, de fournisseurs de logiciels ou de sous-traitants dans des pays comme l'Inde, le Brésil ou l'Afrique du Sud qui ne disposent pas de décisions d'adéquation.

Quels sont les quatre modules des CCT et lequel s'applique à ma situation ?

Les CCT de 2021 comportent quatre modules : Module 1 (responsable du traitement vers responsable du traitement), Module 2 (responsable du traitement vers sous-traitant — le plus courant pour les relations de services cloud), Module 3 (sous-traitant vers sous-traitant, pour les chaînes de sous-traitance) et Module 4 (sous-traitant vers responsable du traitement, pour les données revenant à un responsable hors EEE). Le module correct dépend des rôles de l'exportateur et de l'importateur de données dans le flux spécifique.

Qu'est-ce qu'une Analyse d'impact du transfert (TIA) et est-elle requise en Espagne ?

À la suite de l'arrêt Schrems II, les exportateurs de données doivent réaliser une Analyse d'impact du transfert avant de s'appuyer sur les CCT, en évaluant si les lois du pays importateur — notamment les pouvoirs de surveillance gouvernementale — compromettent les garanties offertes par les CCT. Les entreprises espagnoles doivent compléter et documenter les TIA pour tous les transferts fondés sur des CCT. L'AEPD attend des preuves de la réalisation des TIA dans le cadre des obligations de responsabilité RGPD.

Le Cadre de protection des données UE-États-Unis élimine-t-il le besoin de CCT avec des entreprises américaines ?

Pour les transferts vers des entreprises américaines qui se sont auto-certifiées dans le cadre du Cadre de protection des données UE-États-Unis (adopté en 2023), les CCT ne sont plus requises car le Cadre fournit un mécanisme d'adéquation. Cependant, toutes les entreprises américaines ne se sont pas auto-certifiées, et la stabilité juridique à long terme du Cadre reste soumise à d'éventuels recours. Les CCT demeurent le mécanisme principal pour les transferts vers des entités américaines non auto-certifiées et vers tous les autres pays non adéquats.

Service associé

Legal

Découvrez nos services dans ce domaine

Secteurs associés

Technologies & Startups Services Financiers

Termes associés

RGPD en Espagne (LOPD-GDD) Délégué à la Protection des Données (DPD)

Retour au glossaire

Demandez une consultation personnalisée

Nos experts sont prêts à analyser votre situation et vous proposer des solutions sur mesure.

Consultation gratuite

Conseil

Évaluation et analyse

Transformation

Gouvernance et transmission

Stratégie fiscale

Conformité

Régimes spéciaux

Patrimoine et contentieux

Droit commercial et des sociétés

Procédures collectives et restructuration

Social et conformité

Contentieux et résolution

Cybersécurité

Données et IA

Finance et reporting

Services sociétaires

Croissance

Risques et résilience

Articles et analyses

Rapports et livres blancs

Outils

Industries