Glossaire fiscal et juridique

Clauses Contractuelles Types (CCT)

Contrats types adoptés par la Commission européenne qui fournissent des garanties adéquates pour le transfert de données personnelles depuis l'Espace économique européen (EEE) vers des pays ne disposant pas d'une décision d'adéquation, conformément aux exigences du RGPD.

digital

Que Sont les CCT ?

Les Clauses Contractuelles Types (CCT) sont des termes contractuels préapprouvés adoptés par la Commission européenne via la Décision d’exécution 2021/914. Elles constituent le mécanisme le plus utilisé pour légitimer les transferts de données personnelles vers des pays hors EEE ne disposant pas d’une décision d’adéquation de la Commission.

Les Quatre Modules

Les CCT de 2021 sont organisées en quatre modules reflétant différentes relations entre parties :

  • Module 1 : Responsable du traitement vers responsable du traitement
  • Module 2 : Responsable du traitement vers sous-traitant (le scénario le plus courant pour les services cloud)
  • Module 3 : Sous-traitant vers sous-traitant (chaînes de sous-traitance)
  • Module 4 : Sous-traitant vers responsable du traitement (données revenant à un responsable hors EEE)

Chaque module contient des obligations adaptées à la nature du flux de données et aux rôles des parties.

Schrems II et Analyses d’Impact du Transfert

L’arrêt Schrems II de la CJUE (2020) a établi que les CCT seules peuvent ne pas offrir une protection suffisante si les lois du pays de destination compromettent les garanties contractuelles — notamment en matière de surveillance gouvernementale. Les exportateurs de données doivent désormais réaliser une Analyse d’impact du transfert (TIA) avant de s’appuyer sur les CCT, en évaluant le cadre juridique du pays importateur et en mettant en œuvre des mesures supplémentaires (chiffrement, pseudonymisation, restrictions d’accès) si nécessaire.

Le Cadre de Protection des Données UE-États-Unis

Le Cadre de protection des données UE-États-Unis (2023) fournit un mécanisme d’adéquation pour les transferts vers des entreprises américaines s’auto-certifiant dans le cadre, réduisant (sans l’éliminer) le besoin de CCT dans les flux de données UE-États-Unis. Pour tous les autres pays non adéquats, les CCT restent le mécanisme de transfert principal.

Mise en Œuvre Pratique

Les entreprises doivent intégrer les CCT dans tous les contrats avec les sous-traitants et destinataires de données hors EEE, compléter des TIA documentées, mettre en œuvre des mesures techniques supplémentaires si nécessaire, et revoir périodiquement l’adéquation des garanties à mesure que les paysages juridiques évoluent.

Retour au glossaire

bm.consulting

¿Necesitas aplicar esto a tu caso concreto?

La teoría está clara. El paso a seguir también puede estarlo. Hablemos.

Consultation gratuite Voir tous les services
AEAT Colaborador Social 4.9/5 sur Google · 47 avis 30+ nationalités accompagnées
Email
Contact

Questions fréquentes

Quand les entreprises espagnoles doivent-elles utiliser les Clauses Contractuelles Types (CCT) ?
Les CCT sont requises lors du transfert de données personnelles depuis l'Espagne (en tant que partie de l'EEE) vers un pays ne disposant pas d'une décision d'adéquation de la Commission européenne et lorsqu'aucun autre mécanisme de transfert valide ne s'applique. Les scénarios courants comprennent l'utilisation de services cloud américains, de fournisseurs de logiciels ou de sous-traitants dans des pays comme l'Inde, le Brésil ou l'Afrique du Sud qui ne disposent pas de décisions d'adéquation.
Quels sont les quatre modules des CCT et lequel s'applique à ma situation ?
Les CCT de 2021 comportent quatre modules : Module 1 (responsable du traitement vers responsable du traitement), Module 2 (responsable du traitement vers sous-traitant — le plus courant pour les relations de services cloud), Module 3 (sous-traitant vers sous-traitant, pour les chaînes de sous-traitance) et Module 4 (sous-traitant vers responsable du traitement, pour les données revenant à un responsable hors EEE). Le module correct dépend des rôles de l'exportateur et de l'importateur de données dans le flux spécifique.
Qu'est-ce qu'une Analyse d'impact du transfert (TIA) et est-elle requise en Espagne ?
À la suite de l'arrêt Schrems II, les exportateurs de données doivent réaliser une Analyse d'impact du transfert avant de s'appuyer sur les CCT, en évaluant si les lois du pays importateur — notamment les pouvoirs de surveillance gouvernementale — compromettent les garanties offertes par les CCT. Les entreprises espagnoles doivent compléter et documenter les TIA pour tous les transferts fondés sur des CCT. L'AEPD attend des preuves de la réalisation des TIA dans le cadre des obligations de responsabilité RGPD.
Le Cadre de protection des données UE-États-Unis élimine-t-il le besoin de CCT avec des entreprises américaines ?
Pour les transferts vers des entreprises américaines qui se sont auto-certifiées dans le cadre du Cadre de protection des données UE-États-Unis (adopté en 2023), les CCT ne sont plus requises car le Cadre fournit un mécanisme d'adéquation. Cependant, toutes les entreprises américaines ne se sont pas auto-certifiées, et la stabilité juridique à long terme du Cadre reste soumise à d'éventuels recours. Les CCT demeurent le mécanisme principal pour les transferts vers des entités américaines non auto-certifiées et vers tous les autres pays non adéquats.

Secteurs associés

Technologies & Startups Services Financiers

Articles associés

févr. 2025

AI Act : Obligations relatives aux systèmes à haut risque