Les clauses contractuelles types (CCT) ont été définitivement adoptées par la Commission européenne le 4 juin 2021. Elles sont publiées au journal officiel de l’Union européenne du 7 juin 2021.
Ces clauses constituent l’un des instruments juridiques pour encadrer des flux de données hors de l’Union européenne comme exigé par le RGPD. Elles remplacent celles publiées en 2004 et 2010 fondées sur la directive 95/46/CE abrogée par le RGPD.
Des clauses contractuelles types adaptées aux évolutions techniques et juridiques
La Commission européenne propose ainsi un outil permettant de garantir un niveau élevé de protection des données des personnes concernées. Ces CCT pourraient être utilisées pour tout transfert de données vers un pays tiers ne bénéficiant pas d’une décision d’adéquation.
Par ailleurs, elles prennent en compte la diversité des situations contractuelles et peuvent s’appliquer dans les cas de transferts suivants :
- Responsable de traitement européen vers un :
- sous-traitant situé dans un pays tiers ;
- autre responsable situé dans un pays tiers ;
- Sous-traitant européen vers un :
- responsable de traitement situé dans un pays tiers ;
- sous-traitant situé dans un pays tiers.
Il est ainsi essentiel de procéder à une analyse préalable de la qualification des parties avant tout transfert de données. Cette qualification aura un impact sur les clauses applicables des CCT.
Des CCT modulaires selon les qualifications
En effet, certains articles sont adaptés selon la situation contractuelle des parties. Les CCT sont composées d’articles généraux applicables à l’ensemble des situations et d’articles spécifiques selon les rôles des parties au traitement.
Ces dernières devront identifier les clauses concernées afin de ne conserver que celles applicables à leur situation identifiée par l’analyse des qualifications.
Des droits renforcés pour les personnes concernées
Les CCT confirment et précisent les nouvelles obligations des parties, mais surtout prévoient de nouveaux droits pour les personnes concernées.
Tout d’abord, la Commission européenne réaffirme que les CCT doivent être mises à disposition des personnes concernées. Les acteurs devront permettre aux personnes concernées de disposer d’une copie des CCT ou de les mettre à leur disposition.
Mais l’innovation majeure est la clause de tiers bénéficiaire au profit des personnes concernées. A travers cette clause, les personnes concernées disposent d’un recours pour faire appliquer à l’une des parties les CCT ou réclamer réparation en cas de manquement.
Les CCT confirment les évaluations sur les conditions de transfert
Dans sa décision « Schrems II », la Cour de Justice de l’Union européenne a validé le principe du mécanisme des CCT mais leur applicabilité dépend des conditions du transfert (1).
Depuis cette décision, notamment pour des transferts vers des pays ayant une législation permettant aux autorités publiques de demander accès aux données des personnes concernées, la seule conclusion des CCT pourrait ne pas être suffisante.
La CJUE et le CEPD ont mis en place une évaluation sur les conditions du transfert et la législation du pays importateur (2). Selon les résultats, la conclusion des CCT devra être accompagnée de mesures supplémentaires de protection. A défaut, le transfert de données est illicite et la suspension immédiate de ces transferts est réclamée par les autorités de contrôle. Des entreprises ont déjà été sanctionnées et les flux suspendus pour avoir manqué à cette règle.
Le mode d’emploi des clauses contractuelles types
L’article 46 du RGPD prévoit deux formes de CCT.
D’une part les CCT adoptées par la Commission européenne telles que celles adoptées le 4 juin 2021 ou des CCT adoptées par une autorité de contrôle et approuvées par la Commission.
D’autre part des clauses contractuelles ad hoc dont les clauses sont rédigées par les parties.
Lorsque des parties utilisent des CCT ad hoc, elles doivent les faire valider par l’autorité de contrôle concernée avant de les déployer. Cette procédure n’est pas applicable lors de l’utilisation des CCT de la Commission ou d’une autorité de contrôle.
Dans ce cas, les parties doivent reprendre à l’identique les clauses contractuelles types à l’exception des clauses non-pertinentes dues à la structure modulaire des CCT et des annexes à compléter. Tout changement de fond des modèles de CCT nécessitera le contrôle préalable obligatoire d’une autorité de contrôle.
Une période transitoire
Les présentes CCT entrent en vigueur le 27 juin 2021. Toutefois les anciennes versions des CCT resteront en vigueur quelques temps.
Les anciennes clauses seront abrogées le 27 septembre 2021. Les entreprises qui ont conclu des CCT avant le 27 septembre 2021 sur la base des anciennes clauses, devront les remplacer au plus tard le 27 décembre 2022, à moins d’une évolution des conditions du transfert.
Céline Avignon
Robin Nini
Lexing Publicité & Marketing électronique
Pour plus d’information :
(1) I. Pottier, « Le Privacy Shield invalidé par la Cour de justice de l’Union européenne », Alain-bensoussan.com, 17 juillet 2020.
(2) A. Renard, Y. Riat, « Invalidation du Privacy Shield : les recommandations du CEPD », Alain-bensoussan.com, 24 novembre 2020.