Clauses contractuelles types : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Les clauses contractuelles types (CCT, ou Standard Contractual Clauses en anglais) désignent les clauses pré-rédigées et approuvées par la Commission européenne destinées à encadrer les transferts de données personnelles vers des pays tiers ne bénéficiant pas d'une décision d'adéquation.

Les clauses contractuelles types (CCT, ou Standard Contractual Clauses en anglais) désignent les clauses pré-rédigées et approuvées par la Commission européenne destinées à encadrer les transferts de données personnelles vers des pays tiers ne bénéficiant pas d'une décision d'adéquation. L'article 46 paragraphe 2 c) du Règlement (UE) 2016/679 reconnaît ces clauses comme l'un des mécanismes principaux de sécurisation des transferts internationaux, en complément des décisions d'adéquation et des règles d'entreprise contraignantes (BCR).

L'enjeu pratique des CCT est central. Elles constituent l'outil juridique le plus utilisé pour les transferts vers les pays tiers, notamment vers les États-Unis (avant l'EU-US Data Privacy Framework), le Royaume-Uni (avant la décision d'adéquation), l'Inde, la Chine et de nombreux autres marchés. Leur rédaction standardisée évite la négociation contractuelle au cas par cas et offre une présomption de conformité au cadre européen.

La décision d'exécution (UE) 2021/914 du 4 juin 2021 a adopté de nouvelles clauses contractuelles types qui ont remplacé les précédentes versions de 2001, 2004 et 2010. Ces nouvelles clauses intègrent les exigences post-Schrems II (analyse de risque, mesures supplémentaires, transparence sur les demandes des autorités) et présentent une architecture modulaire adaptée aux différentes configurations de transferts.

Vous souhaitez sécuriser vos transferts internationaux par CCT ? Le Cabinet Aurore Bonavia accompagne la rédaction et la migration vers les nouvelles clauses contractuelles types. → Voir l'accompagnement en droit du numérique

L'architecture modulaire des CCT 2021

Les nouvelles clauses contractuelles types adoptées en 2021 présentent une architecture modulaire articulée autour de quatre modules correspondant aux différentes configurations de transferts :

  • le module 1 : transfert de responsable de traitement à responsable de traitement (controller-to-controller), applicable lorsque l'exportateur et l'importateur déterminent chacun les finalités et les moyens de leurs traitements ;
  • le module 2 : transfert de responsable de traitement à sous-traitant (controller-to-processor), applicable lorsque l'importateur traite les données pour le compte de l'exportateur ; ce module intègre les obligations de l'article 28 du RGPD ;
  • le module 3 : transfert de sous-traitant à sous-traitant (processor-to-processor), applicable aux relations entre prestataires intervenant dans une chaîne de sous-traitance ;
  • le module 4 : transfert de sous-traitant à responsable de traitement (processor-to-controller), applicable lorsque l'importateur reçoit des données pour son propre compte (rare en pratique).

Chaque module précise les obligations propres aux parties concernées et exclut les dispositions inapplicables. Le choix du module pertinent doit être effectué selon la qualification effective des parties, qui peut elle-même évoluer dans le temps en cas de modification des relations contractuelles.

Les CCT comprennent par ailleurs trois annexes essentielles que les parties doivent compléter :

  • l'annexe I.A : liste des parties au transfert (identification précise de l'exportateur et de l'importateur) ;
  • l'annexe I.B : description du transfert (catégories de personnes concernées, catégories de données, finalités, fréquence, sensibilité, destinataires éventuels en aval, durée de conservation) ;
  • l'annexe II : mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles pour la sécurité des données.

Les obligations post-Schrems II intégrées aux CCT

Les CCT 2021 intègrent les exigences imposées par l'arrêt Schrems II du 16 juillet 2020 (CJUE C-311/18). La clause 14 des CCT impose aux parties une évaluation préalable des lois et pratiques du pays tiers susceptibles d'affecter le respect des clauses :

« Les Parties garantissent qu'elles n'ont aucune raison de considérer que les lois et pratiques applicables dans le pays tiers de destination concernant le traitement des données à caractère personnel par l'importateur de données, y compris les exigences de divulguer des données à caractère personnel ou les mesures autorisant l'accès des autorités publiques, empêchent l'importateur de données de remplir ses obligations en vertu des présentes Clauses. »

Cette évaluation, généralement formalisée dans un document distinct dénommé Transfer Impact Assessment (TIA), doit prendre en compte plusieurs éléments :

  • les caractéristiques du transfert (catégories de données, finalités, sensibilité, durée) ;
  • les lois du pays tiers susceptibles d'imposer des divulgations ou des accès des autorités ;
  • la pratique effective des autorités du pays tiers, fondée sur des sources documentées (rapports publics, jurisprudence, témoignages, signalements) ;
  • les mesures supplémentaires mises en place pour compenser les insuffisances identifiées.

L'EDPB a publié le 18 juin 2021 ses Recommandations 01/2020 sur les mesures supplémentaires, qui détaillent les bonnes pratiques d'analyse et les techniques de protection (chiffrement de bout en bout, pseudonymisation, calcul multi-partite sécurisé, mesures contractuelles renforcées). Ces recommandations guident la rédaction des TIA et la mise en place des mesures complémentaires.

La transparence sur les demandes des autorités

La clause 15 des CCT 2021 organise un dispositif de transparence sur les demandes d'accès aux données par les autorités publiques du pays tiers :

  • l'importateur s'engage à informer l'exportateur et, dans la mesure du possible, la personne concernée, lorsqu'il reçoit une demande contraignante d'accès aux données ;
  • l'importateur s'engage à contester les demandes manifestement disproportionnées ou contraires aux normes internationales ;
  • l'importateur s'engage à minimiser les données fournies aux autorités, dans le respect du droit applicable ;
  • les parties conservent les éléments documentaires sur les demandes reçues, leur instruction et la réponse apportée, pour permettre la vérification ultérieure par l'autorité de contrôle européenne.

Cette obligation de transparence renforcée constitue l'un des apports majeurs des CCT 2021 par rapport aux versions antérieures. Elle vise à compenser le risque structurel de divulgation aux autorités du pays tiers en garantissant la traçabilité et la défense effective.

La migration vers les nouvelles CCT

L'article 4 paragraphe 3 de la décision 2021/914 a fixé un calendrier de migration depuis les anciennes CCT :

  • les contrats conclus à partir du 27 septembre 2021 doivent utiliser les nouvelles CCT ;
  • les contrats existants utilisant les anciennes CCT pouvaient continuer à les appliquer jusqu'au 27 décembre 2022, date au-delà de laquelle ils devaient être migrés vers les nouvelles clauses ;
  • la migration impose la renégociation contractuelle complète, avec mise à jour des annexes et adaptation aux exigences post-Schrems II.

La pratique a généré un volume considérable de migrations contractuelles dans les écosystèmes B2B, particulièrement pour les relations avec les prestataires de services cloud, les CRM, les plateformes analytiques et les sous-traitants techniques. Le délai de migration s'est révélé contraignant pour les organisations gérant des centaines ou des milliers de contrats internationaux.

Les contrats non migrés au-delà du 27 décembre 2022 encourent l'illicéité des transferts associés. La CNIL a précisé qu'elle ne lancerait pas immédiatement de contrôles ciblés sur cette migration, mais qu'elle vérifierait la conformité dans le cadre de ses contrôles thématiques généraux. Plusieurs sanctions ont déjà été prononcées en 2023 et 2024 pour défaut de conformité aux nouvelles CCT.

Spécificité juridique sur la coexistence avec d'autres mécanismes

Les CCT s'articulent avec les autres mécanismes de transferts internationaux dans une hiérarchie pratique :

  • la décision d'adéquation dispense de toute autre formalité ; lorsqu'un pays bénéficie d'une décision d'adéquation, les CCT ne sont pas nécessaires (par exemple, transferts vers le Royaume-Uni depuis 2021) ;
  • les règles d'entreprise contraignantes (BCR) constituent une alternative pour les groupes d'entreprises, qui présentent l'avantage d'une couverture intragroupe complète mais imposent une procédure d'approbation longue et coûteuse ;
  • les CCT constituent l'outil le plus utilisé pour les transferts ad hoc avec des partenaires externes ;
  • les dérogations de l'article 49 du RGPD ne s'appliquent qu'à des transferts occasionnels et exceptionnels.

L'article 46 paragraphe 5 du RGPD reconnaît par ailleurs les anciennes CCT (versions 2001, 2004 et 2010) pendant une période transitoire qui a expiré en 2022. Ces anciennes versions n'ont plus de validité juridique pour les transferts en cours et doivent impérativement être remplacées par les nouvelles CCT 2021 ou par tout autre mécanisme du chapitre V du RGPD.

L'EU-US Data Privacy Framework adopté le 10 juillet 2023 a partiellement réduit le besoin de CCT pour les transferts vers les États-Unis, en couvrant les organisations américaines certifiées. Toutefois, les transferts vers des destinataires américains non certifiés au DPF restent soumis aux CCT 2021, ce qui maintient ces clauses comme l'outil principal pour la majorité des transferts trans-Atlantiques.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de clauses contractuelles types

  • la cartographie de vos transferts internationaux nécessitant des CCT ;
  • la rédaction et la négociation des nouvelles CCT 2021 selon le module pertinent ;
  • la migration des contrats existants depuis les anciennes versions des CCT ;
  • la rédaction des annexes (parties, description du transfert, mesures techniques) ;
  • la rédaction des Transfer Impact Assessments (TIA) post-Schrems II ;
  • la mise en place de mesures supplémentaires lorsque l'analyse l'exige ;
  • la défense face aux contrôles CNIL portant sur la conformité des transferts ;
  • l'arbitrage entre CCT, BCR et autres mécanismes selon votre profil de transferts ;
  • la gestion des évolutions liées aux nouvelles décisions d'adéquation (DPF, autres pays).

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 46, décision d'exécution (UE) 2021/914 du 4 juin 2021 sur les nouvelles clauses contractuelles types, jurisprudence CJUE 16 juillet 2020 (Schrems II C-311/18), EDPB Recommandations 01/2020 sur les mesures supplémentaires, décision d'adéquation EU-US Data Privacy Framework du 10 juillet 2023, CNIL guide pratique sur les transferts internationaux. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.