Quelles sont les nouvelles clauses contractuelles types (CTT) ?

7 Avr 2022

La Commission européenne a publié de nouvelles séries de clauses contractuelles types. Les CTT servent à encadrer les transferts de données personnelles au sein et en dehors de l’Union européenne et de l’Espace économique européen (EEE). Elles assurent ainsi la protection des données, dans le cadre de la mise en conformité au RGPD.

Surtout, les CTT rendent possible le transfert de données hors de l’UE et de l’EEE. Il s’agit d’assurer un certain niveau de protection des données dans les échanges mondiaux.

À quoi servent les CTT ?

Les clauses contractuelles types constituent des modèles de contrats propres au transfert de données personnelles, ce dernier devant impérativement être encadré.-

Les CTT peuvent être utilisées pour transférer des données vers des pays tiers, c’est-à-dire en dehors de l’UE et de l’EEE. Elles couvrent également les relations de sous-traitance au niveau de l’UE. Elles permettent ainsi d’encadrer les transferts entre les responsables de traitements et leurs sous-traitants.

Bon à savoir.
Concrètement, qui est concerné par les CTT ? Les signataires des clauses contractuelles types peuvent être des entreprises, des organismes publics et privés ou encore des associations qui transfèrent les données qu’ils sont amenés à traiter vers des pays tiers. Ils peuvent également utiliser ces modèles de contrat avec leurs sous-traitants. À titre d’exemple, une entreprise peut choisir de confier à un prestataire de maintenance, ou à une filiale, situé en dehors de l’UE le traitement de ses données personnelles. En tant qu’hébergeur de ces données, il est tenu de signer des CTT.

Pourquoi une mise à jour des CTT ?

Les pays membres de l’UE et de l’EEE sont soumis au RGPD ou « Règlement Général sur la Protection des Données » (en anglais GDPR pour « General Data Protection Regulation ») contrairement aux pays tiers, au premier rang desquels les États-Unis. De fait, les anciennes versions des CTT (adoptées sur la base de la directive 95/46 sur la protection des données) ont dû être mises à jour afin d’être en conformité avec les règles de protection des données via le RGPD. Ce règlement souhaite responsabiliser les organismes dans le traitement de leurs données. Pour rappel, chaque client, collaborateur ou prestataire, a des droits sur ses données. Il est donc essentiel qu’elles soient correctement traitées et sécurisées.

À connaître

Les textes officiels :
– CCT pour les transferts vers des pays tiers
Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (Texte présentant de l’intérêt pour l’EEE)
– CCT pour les relations de sous-traitance
Décision d’exécution (UE) 2021/915 de la Commission du 4 juin 2021 relative aux clauses contractuelles types entre les responsables du traitement et les sous-traitants au titre de l’article 28, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil et de l’article 29, paragraphe 7, du règlement (UE) 2018/1725 du Parlement européen et du Conseil

Quand et comment utiliser les nouvelles CTT ?

Depuis 2021 et l’invalidation par la Cour de Justice de l’UE du régime des « Schrems II » qui établissait les transferts entre l’UE et les États-Unis, il est obligatoire d’avoir recours à la signature de ces nouvelles CTT dès lors qu’on procède à des transferts de données personnelles en dehors de l’UE, vers les pays ne disposant pas d’un niveau de protection validée par la Commission européenne (c’est par exemple le cas des États-Unis, mais pas du Royaume-Uni qui assure un niveau de protection équivalent à celui de l’UE, malgré le Brexit).

La période transitoire de mise en conformité (qui a duré 15 mois) et qui prévoyait que les CTT conclues avant septembre 2021 étaient acceptées sous conditions est désormais achevée. Depuis décembre 2022, les anciennes CTT ne sont en effet plus valables. Pour tous les nouveaux contrats, les nouvelles CTT doivent s’appliquer.

La CNIL a mis en ligne une carte permettant de voir si le pays vers lequel s’effectue le transfert des données offre ou non un niveau de protection adéquat (c’est-à-dire reconnu par l’UE). Cliquez pour consulter la carte de la protection des données dans le monde.

Bon à savoir
Les nouvelles clauses contractuelles types sont accessibles sur le site de la Commission européenne. Ce document contractuel à tiroirs propose dorénavant quatre modules, au lieu des deux que prévoyait l’ancienne version :

  • Module 1 : CCT pour relations RT/RT => transfert de responsable de traitement à responsable de traitement
  • Module 2 : CCT pour relations RT/ST => transfert de responsable de traitement à sous-traitant
  • Module 3 : CTT pour relations ST/ST => transfert de sous-traitant à sous-traitant
  • Module 4 : CTT pour relations ST/RT => transfert de sous-traitant à responsable de traitement

Lire aussi : Comment rédiger une politique de confidentialité conforme au RGPD ?

Les CTT consistent en un document contractuel dans lequel sont fixées les règles entre deux responsables de traitement ou entre un responsable et un sous-traitant. Il s’agit d’un outil juridique incontournable qui offre des garanties de protection des données, au même titre, par exemple, que les BCR ou Binding Corporate Rules. Les nouvelles CTT font suite à l’entrée en vigueur du RGPD. L’objectif est d’inviter les entreprises à davantage contrôler la façon dont sont traitées leurs données dans le cadre de leurs échanges transfrontaliers. Il est primordial pour n’importe quelle entreprise ou organisme d’y porter une attention particulière.