Lexique > Clauses contractuelles types (CCT)

Lexique IT

Clauses contractuelles types (CCT)

Les clauses contractuelles types sont des modèles d’accords de traitement de données à caractère personnel adoptés par la Commission européenne encadrant les catégories de transferts de données à caractère personnel suivants :

  • Transferts de données entre responsables de traitement UE et responsables de traitement non UE ;
  • Transferts de données entre responsables de traitement UE et sous-traitants non UE ;
  • Transferts de données entre sous-traitants UE et responsables de traitement non UE ;
  • Transferts de donnéesentre sous-traitants UE et sous-traitants non UE.

Elles peuvent offrir des garanties appropriées en matière de protection des données à caractère personnel pour les transferts internationaux de données si la législation ou les pratiques du pays de l’importateur des données ne compromettent pas le niveau de protection adéquat que les clauses garantissent, et à défaut de décision rendue par la Commission européenne constatant que ce pays tiers assure un niveau de protection adéquat (décision d’adéquation).

Il incombe ainsi à l’importateur et à l’exportateur des données d’évaluer en pratique si la législation du pays tiers permet ou non de respecter le niveau de protection requis par le RGPD et les garanties fournies par les clauses contractuelles types.

Si le niveau de protection ne peut pas être respecté, l’exportateur des données doit mettre en œuvre des mesures supplémentaires pour le respecter ou ne pas réaliser les transferts envisagés.

En tout état de cause, outre le recours aux clauses contractuelles types, l’exportateur des données doit s’acquitter de ses obligations consacrées par le RGPD en sa qualité de responsable de traitement ou de sous-traitant.

Les clauses contractuelles types ne devraient pas être modifiées mais les parties peuvent y ajouter d’autres clauses ou garanties supplémentaires, à conditions que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

Point RGPD

« En l’absence de décision d’adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l’insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d’entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. »

Considérant 108 du RGPD

Point jurisprudence

La Cour de Justice de l’Union européenne (CJUE) a pu juger que : « ni l’article 702 du FISA ni l’E.O. 12333, lus en combinaison avec la PPD-28, ne correspondent aux exigences minimales attachées, en droit de l’Union, au principe de proportionnalité, si bien qu’il n’est pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire.

Dans ces conditions, les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées depuis l’Union vers les États-Unis, et que la Commission a évaluées dans la décision BPD, ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, à l’article 52, paragraphe 1, seconde phrase, de la Charte. »

Cour de Justice de l’Union européenne, 16 juillet 2020, N°C-311/18

Le Cabinet Bouchara vous accompagne notamment dans :

  • La mise en conformité de votre organisme au RGPD ;
  • La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite ;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
  • La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
  • La rédaction et la négociation de vos accords de traitements de données (DPA) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
  • La formation et la sensibilisation de vos collaborateurs.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.