Transferts hors UE

Clauses contractuelles types (CCT)

Modèles de contrats approuvés par la Commission européenne pour sécuriser le transfert de données personnelles hors Union européenne.

Définition complète

Les Clauses Contractuelles Types (CCT) sont des modèles de contrats pré-rédigés et approuvés par la Commission européenne. Elles permettent à une entreprise située dans l'Espace Économique Européen (EEE) de transférer des données personnelles vers un pays tiers (hors UE) qui ne dispose pas d'une décision d'adéquation, tout en garantissant un niveau de protection équivalent à celui offert par le RGPD. Sur le plan juridique, elles s'appuient sur l'article 46 du RGPD. En signant ces clauses, l'exportateur (la PME européenne) et l'importateur (le prestataire étranger) s'engagent contractuellement à respecter des obligations strictes en matière de confidentialité, de sécurité et de droits des personnes concernées. Le texte des CCT ne peut être modifié sous peine de perdre sa valeur légale, bien que des annexes puissent être ajoutées pour préciser la nature des données et les mesures techniques mises en œuvre. L'utilisation des CCT est indispensable lorsque vous faites appel à un outil SaaS, un hébergeur ou un sous-traitant basé dans un pays comme l'Inde ou le Vietnam. Elles constituent une « garantie appropriée » permettant de légaliser le flux de données sans avoir à négocier un contrat complexe de zéro, tout en protégeant l'entreprise contre les sanctions de la CNIL en cas de contrôle sur les transferts internationaux.

Exemple concret en PME

Une PME française de e-commerce utilise un logiciel de support client basé aux États-Unis. Comme les USA n'ont pas de protection globale équivalente au RGPD (hors cadre spécifique Data Privacy Framework), la PME signe les CCT avec l'éditeur américain. Ce contrat garantit que le prestataire traitera les données des clients français selon les standards européens, même si les serveurs sont physiquement situés à New York.

L'erreur fréquente à éviter

L'erreur classique est de croire que la signature des CCT suffit à elle seule. Depuis l'arrêt Schrems II, l'entreprise doit aussi réaliser une « Analyse d'Impact du Transfert » (TIA) pour vérifier si la loi du pays destinataire ne permet pas un accès abusif aux données (ex: surveillance étatique), et ajouter si besoin des mesures techniques comme le chiffrement fort.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site