Clauses contractuelles types (CCT) expliquées (2026)
Les clauses contractuelles types (CCT) sont des clauses contractuelles préapprouvées, adoptées par la Commission européenne, que les organisations utilisent pour transférer des données personnelles de l'Espace économique européen (EEE) vers des pays dépourvus de décision d'adéquation de l'UE. Elles constituent le mécanisme juridique le plus largement utilisé pour les transferts internationaux de données au titre du RGPD, sur lequel s'appuient des dizaines de milliers d'organisations dans le monde.
Informations vérifiées pour la dernière fois le 19 mai 2026. Cet article n'a pas encore été relu par un avocat autorisé à exercer.
Les CCT actuelles, adoptées le 4 juin 2021, ont remplacé des versions antérieures qui précédaient le RGPD et ne répondaient pas aux préoccupations soulevées par la CJUE dans son arrêt Schrems II. Les clauses de 2021 ont introduit un système modulaire flexible, des exigences de mesures supplémentaires intégrées, et des dispositions traitant directement de l'accès de la surveillance gouvernementale.
Ce guide couvre les quatre modules de CCT, quand utiliser chacun d'eux, comment réaliser une analyse d'impact relative au transfert, les nouvelles CCT en attente pour les importateurs soumis au RGPD, la comparaison des CCT avec les décisions d'adéquation et les règles d'entreprise contraignantes, les outils de transfert distincts du Royaume-Uni, les développements récents en matière d'application, et les pièges d'implémentation courants.
Portée juridictionnelle : cet article traite des clauses contractuelles types au titre du règlement (UE) 2016/679 (RGPD) et du RGPD britannique, y compris le Data (Use and Access) Act 2025 britannique. Il couvre les quatre modules de CCT (décision d'exécution de 2021), les orientations du CEPD sur les mesures supplémentaires, ainsi que l'IDTA et l'Addendum britanniques. Pour la liste des pays bénéficiant d'une décision d'adéquation de l'UE, consultez notre guide des décisions d'adéquation de l'UE. Pour le Data Privacy Framework UE-États-Unis en particulier, consultez notre guide du DPF.
Réponse rapide : que sont les CCT et quand en avez-vous besoin ?
Les clauses contractuelles types sont des clauses contractuelles préapprouvées au titre de l'article 46(2)(c) du RGPD, qui créent des obligations contraignantes de protection des données entre un exportateur de données établi dans l'EEE et un importateur de données situé en dehors de l'EEE. Les organisations ont besoin de CCT chaque fois qu'elles transfèrent des données personnelles depuis l'EEE vers un pays dépourvu de décision d'adéquation de l'UE, en l'absence de tout autre mécanisme de transfert de l'article 46. Les scénarios courants incluent les entreprises de l'UE utilisant des fournisseurs de services infonuagiques basés aux États-Unis, en Inde ou dans d'autres pays non adéquats, les responsables de traitement de l'UE recourant à des sous-traitants en Asie-Pacifique ou en Amérique latine, et les sous-traitants basés dans l'UE qui acheminent des données vers des sous-traitants ultérieurs hors de l'EEE. L'obligation de recourir aux CCT (ou à un autre mécanisme de transfert) est stricte : transférer des données personnelles vers un pays non adéquat sans fondement juridique valable au titre du chapitre V du RGPD constitue une violation potentielle passible d'amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel.
Pourquoi les anciennes CCT ont été remplacées
La Commission européenne avait initialement adopté deux jeux de clauses contractuelles types pour les transferts de données. Le jeu de 2001 (mis à jour en 2004) couvrait les transferts de responsable à responsable. Le jeu de 2010 couvrait les transferts de responsable à sous-traitant. Les deux avaient été adoptés au titre de la directive de 1995 sur la protection des données (95/46/CE) et étaient restés en usage après l'entrée en vigueur du RGPD en mai 2018.
Plusieurs problèmes ont rendu leur remplacement nécessaire. Les anciennes CCT avaient été rédigées sous l'empire de la directive, et non du RGPD, et ne reflétaient pas les exigences élargies du règlement en matière de responsabilisation, de notification de violation de données et de protection des données dès la conception. Elles ne supposaient l'existence que de deux parties (un exportateur de données de l'UE et un importateur hors UE) et ne prenaient pas en compte les scénarios de transfert sous-traitant à sous-traitant ou sous-traitant à responsable, pourtant courants dans l'informatique en nuage et les relations à prestataires multiples.
L'arrêt de la CJUE dans l'affaire Data Protection Commissioner contre Facebook Ireland Limited et Maximillian Schrems, affaire C-311/18, ECLI:EU:C:2020:559 (16 juillet 2020) (communément appelé Schrems II) a ajouté une urgence supplémentaire. Si la Cour a confirmé la validité des CCT comme mécanisme de transfert en principe, elle a exigé des exportateurs de données qu'ils vérifient que le cadre juridique du pays de destination ne compromette pas les protections que les CCT offrent. Si les lois du pays importateur (telles que les lois de surveillance américaines) entrent en conflit avec les obligations des CCT, l'exportateur doit mettre en œuvre des « mesures supplémentaires » pour combler cet écart, ou interrompre le transfert.
Le Comité européen de la protection des données (CEPD) a publié les recommandations 01/2020 (finalisées en juin 2021) détaillant les mesures supplémentaires que les organisations devraient envisager. Les nouvelles CCT intègrent directement plusieurs de ces exigences dans le texte contractuel.
Les quatre modules de CCT
Les CCT de 2021 adoptent une approche modulaire. Plutôt que des jeux de clauses distincts pour différents scénarios, un cadre unique contient quatre modules que les parties sélectionnent en fonction de leurs rôles et du sens du flux de données.
Module 1 : responsable à responsable (C2C)
Le module 1 s'applique lorsqu'un responsable de traitement basé dans l'UE transfère des données personnelles à un responsable de traitement situé hors de l'EEE. Les deux parties déterminent indépendamment les finalités et les moyens du traitement.
Parmi les scénarios courants figurent une entreprise européenne partageant des données clients avec une société mère américaine pour ses propres finalités commerciales, ou deux entreprises dans le cadre d'un accord de marketing conjoint où chacune contrôle les données de manière indépendante.
Les obligations clés au titre du module 1 comprennent la fourniture aux personnes concernées d'une copie des CCT sur demande, l'application des exigences de limitation de la finalité de l'exportateur de données, et la possibilité pour les personnes concernées de faire valoir les clauses en tant que tiers bénéficiaires.
Module 2 : responsable à sous-traitant (C2P)
Le module 2 couvre le scénario de transfert le plus courant : un responsable de traitement de l'UE recourant à un sous-traitant (tel qu'un fournisseur infonuagique, un prestataire de paie ou un service d'analytique) situé hors de l'EEE. Ce module s'aligne sur les exigences de l'article 28 du RGPD relatives aux contrats de sous-traitance.
L'importateur de données (sous-traitant) ne doit traiter les données que sur instructions documentées de l'exportateur. Il doit mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées, assister le responsable de traitement dans le traitement des demandes des personnes concernées, supprimer ou restituer l'ensemble des données à la fin de la relation de service, et notifier le responsable de traitement sans retard indu de toute violation de données personnelles.
La sous-traitance ultérieure n'est autorisée qu'avec l'autorisation écrite préalable, spécifique ou générale, du responsable de traitement. Le sous-traitant doit imposer les mêmes obligations de protection des données à tout sous-traitant ultérieur par voie contractuelle.
Module 3 : sous-traitant à sous-traitant (P2P)
Le module 3 traite les situations où un sous-traitant basé dans l'UE recourt à un sous-traitant ultérieur situé hors de l'EEE. Ce scénario est extrêmement courant dans les chaînes d'infrastructure infonuagique. Par exemple, une entreprise de l'UE utilise un fournisseur infonuagique allemand (sous-traitant), qui recourt à son tour à un fournisseur d'infrastructure basé aux États-Unis (sous-traitant ultérieur).
Le flux de données passe d'un sous-traitant à un autre, mais le responsable de traitement ultime demeure l'entité de l'UE qui a initialement engagé le premier sous-traitant. Le module 3 exige que le sous-traitant ultérieur ne traite les données que conformément aux instructions du responsable de traitement d'origine, telles que communiquées par l'intermédiaire du premier sous-traitant.
Module 4 : sous-traitant à responsable (P2C)
Le module 4 couvre le flux inverse : lorsqu'un sous-traitant basé dans l'UE restitue ou transfère des données à son responsable de traitement situé hors de l'EEE. Ce scénario se présente, par exemple, lorsqu'un prestataire européen de services de traitement de données transmet des résultats à son client non établi dans l'EEE, qui est le responsable du traitement.
Ce module est moins fréquemment utilisé que les autres, mais il comble un véritable vide. Sous les anciennes CCT, aucune clause type n'existait pour ce sens de transfert, obligeant les organisations à s'appuyer sur d'autres fondements juridiques ou des arrangements contractuels ad hoc.
Comment utiliser les CCT modulaires
Les organisations mettant en œuvre les CCT devraient suivre un processus structuré pour garantir la conformité.
Étape 1 : déterminer les modules applicables
Cartographiez tous les transferts internationaux de données et identifiez le rôle de chaque partie. Sélectionnez le ou les modules appropriés pour chaque transfert. Un même accord de CCT peut intégrer plusieurs modules si les parties assument des rôles différents pour différentes activités de traitement.
Étape 2 : compléter les annexes
Les CCT comprennent plusieurs annexes qui doivent être renseignées avec des détails spécifiques au transfert :
- Annexe I : décrit les parties, le transfert de données (catégories de personnes concernées, types de données personnelles, fréquence du transfert, finalité) et identifie l'autorité de contrôle compétente
- Annexe II : liste les mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données
- Annexe III : liste les sous-traitants ultérieurs autorisés (pour les modules 2 et 3, si le responsable de traitement accorde une autorisation générale)
Étape 3 : réaliser l'analyse d'impact relative au transfert
Réalisez l'analyse avant de commencer les transferts. Documentez l'analyse et conservez-la dans le cadre de vos registres de responsabilisation au titre de l'article 5(2) du RGPD.
Étape 4 : mettre en œuvre les mesures supplémentaires
Sur la base des conclusions de la TIA, adoptez et documentez toute mesure supplémentaire nécessaire. Intégrez les mesures techniques à votre architecture de traitement des données.
Étape 5 : exécuter et intégrer
Les CCT peuvent être intégrées à un contrat commercial plus large ou exécutées comme un accord autonome. Des tiers peuvent adhérer aux CCT à tout moment avec l'accord de toutes les parties existantes ; cette fonctionnalité, appelée « clause d'amarrage » (docking clause), était nouvelle dans la version 2021.
Étape 6 : surveiller et réévaluer
L'obligation d'assurer une protection adéquate est continue. Les organisations doivent réévaluer leurs TIA lorsque les circonstances changent, par exemple en cas de nouvelle législation dans le pays de destination, de changements dans les arrangements de sous-traitance de l'importateur, ou de nouveaux programmes de surveillance gouvernementale mis au jour.
Analyses d'impact relatives au transfert et mesures supplémentaires
Les CCT de 2021 exigent que les parties réalisent une analyse d'impact relative au transfert (TIA) avant de s'appuyer sur les clauses pour des transferts de données. Cette exigence est intégrée directement à la clause 14 des CCT.
En quoi consiste une TIA
Une TIA évalue si les lois et pratiques du pays de destination offrent un niveau de protection « essentiellement équivalent » à celui garanti par le droit de l'UE. L'évaluation doit prendre en compte :
- Les circonstances spécifiques du transfert, y compris la nature des données, la finalité, la longueur de la chaîne de traitement, et les catégories de destinataires
- Les lois du pays de destination pertinentes pour le transfert, en particulier celles régissant l'accès gouvernemental aux données personnelles à des fins de surveillance ou d'application de la loi
- Toute garantie contractuelle, technique ou organisationnelle pertinente venant compléter les CCT
Les recommandations 01/2020 du CEPD décrivent un processus en six étapes pour réaliser les TIA :
- Cartographier vos transferts de données
- Identifier le mécanisme de transfert (les CCT dans ce cas)
- Évaluer si le cadre juridique du pays de destination compromet l'efficacité du mécanisme de transfert
- Identifier et adopter des mesures supplémentaires si nécessaire
- Prendre toute mesure procédurale requise par les mesures supplémentaires
- Réévaluer à intervalles appropriés
Les mesures supplémentaires
Lorsqu'une TIA identifie des risques, les organisations doivent mettre en œuvre des mesures supplémentaires pour restaurer le niveau de protection à une norme d'« équivalence essentielle ». Ces mesures se répartissent en trois catégories :
Les mesures techniques comprennent le chiffrement de bout en bout (où seul l'exportateur de données détient la clé de déchiffrement), la pseudonymisation (où la table de correspondance reste dans l'EEE), et le traitement scindé ou multipartite empêchant l'importateur d'accéder aux données en clair.
Les mesures contractuelles impliquent de renforcer les obligations au-delà de la base des CCT. Parmi les exemples figurent l'exigence pour l'importateur de données de contester les demandes d'accès gouvernemental par toutes les voies légales disponibles, de notifier l'exportateur de toute demande juridiquement contraignante de divulgation de données (dans la mesure permise par la loi), et de fournir des rapports de transparence périodiques.
Les mesures organisationnelles comprennent les politiques internes de gouvernance des données, la minimisation des données transférées à ce qui est strictement nécessaire, l'adoption de contrôles d'accès stricts du côté de l'importateur, et la réalisation d'audits réguliers.
Le CEPD a souligné que les mesures contractuelles et organisationnelles seules ne peuvent compenser des lacunes dans le cadre juridique du pays de destination si le gouvernement peut contraindre l'accès aux données en clair. Les mesures techniques empêchant l'accès à des données lisibles constituent la garantie la plus efficace dans les juridictions à haut risque.
Point de vigilance : les mesures d'application démontrent que des CCT exécutées sans TIA rigoureuses créent un risque de conformité substantiel. L'autorité de contrôle irlandaise a infligé une amende de 1,2 milliard d'euros à Meta en mai 2023, à la suite de la décision contraignante 1/2023 du CEPD, pour avoir transféré des données d'utilisateurs Facebook vers les États-Unis via des CCT sans mesures supplémentaires suffisantes pour compenser la protection inadéquate offerte par le droit américain. L'autorité de contrôle néerlandaise a infligé une amende de 290 millions d'euros à Uber en 2024 pour avoir transféré les données de chauffeurs vers les États-Unis sans mécanisme de transfert valable. Les autorités de contrôle traitent les TIA inadéquates et l'absence de mesures supplémentaires comme des violations de fond, et non de simples manquements procéduraux.
Les CCT en attente pour les importateurs soumis au RGPD
Les CCT de 2021 présentent une limite significative : elles ne s'appliquent qu'aux transferts où le traitement effectué par l'importateur de données N'EST PAS soumis au RGPD. Selon leurs propres termes, les clauses régissent les transferts d'un exportateur de données de l'UE/EEE vers un importateur de données « dont le traitement des données n'est pas soumis au [RGPD] ».
Cela crée un vide. Une entreprise basée au Canada, au Japon ou au Brésil peut avoir des activités de traitement relevant du champ d'application territorial du RGPD au titre de l'article 3(2) parce qu'elle cible des biens ou services vers des résidents de l'UE ou surveille leur comportement. Lorsqu'une entité de l'UE transfère des données personnelles à une telle entreprise, un mécanisme de transfert au titre du chapitre V du RGPD reste requis. Le transfert transfrontalier crée des risques même lorsque l'importateur est directement lié par le RGPD dans ses activités de traitement. Pourtant, les CCT de 2021 ne conviennent pas structurellement à ce scénario, car elles feraient à la fois double emploi et s'écarteraient des obligations que l'importateur détient déjà directement au titre du RGPD.
Le CEPD a appelé la Commission européenne à développer de nouvelles CCT couvrant précisément ce scénario. La Commission a reconnu ce vide et a annoncé l'élaboration d'un nouveau jeu de CCT. Une consultation publique était prévue pour le quatrième trimestre 2024, avec un projet visant une adoption au deuxième trimestre 2025.
En mai 2026, la page officielle des publications de la Commission relative aux CCT ne mentionne aucune décision d'exécution formellement adoptée pour ces CCT de l'article 3(2). Les organisations confrontées à ce scénario disposent actuellement d'options limitées : les règles d'entreprise contraignantes (au sein des groupes d'entreprises), des clauses contractuelles ad hoc approuvées par une autorité de contrôle au titre de l'article 46(3)(a), ou le recours aux dérogations de l'article 49 lorsqu'elles sont applicables. L'amende infligée par l'autorité néerlandaise à Uber a mis en évidence le risque d'application réel lié à la poursuite de transferts vers des importateurs soumis au RGPD sans mécanisme reconnu.
Les organisations devraient surveiller la page des CCT de la Commission pour l'adoption formelle de ces clauses.
Comparaison des CCT, décisions d'adéquation et règles d'entreprise contraignantes
Le chapitre V du RGPD prévoit plusieurs mécanismes pour des transferts internationaux de données licites. Les trois plus couramment utilisés sont les décisions d'adéquation (article 45), les clauses contractuelles types (article 46(2)(c)), et les règles d'entreprise contraignantes (article 47).
| Mécanisme | Fondement juridique | Qui peut l'utiliser | Caractéristiques clés |
|---|---|---|---|
| Décision d'adéquation | Art. 45 du RGPD | Toute organisation transférant vers un pays adéquat | Aucune démarche supplémentaire nécessaire. La Commission détermine que le pays offre une protection essentiellement équivalente. Exemples : Royaume-Uni (valide jusqu'en 2031), Canada (LPRPDE), Japon, Suisse. Voir la liste complète. |
| Clauses contractuelles types | Art. 46(2)(c) du RGPD | Toute organisation ; mécanisme le plus largement utilisé | Nécessite de compléter les CCT, de renseigner les annexes, de réaliser une TIA, et de mettre en œuvre des mesures supplémentaires si nécessaire. Fonctionne pour tout pays. |
| Règles d'entreprise contraignantes | Art. 47 du RGPD | Groupes d'entreprises multinationaux (transferts intragroupes uniquement) | Nécessite l'approbation d'une autorité de contrôle. Charge initiale élevée (généralement 1 à 3 ans pour obtenir l'approbation). Une fois approuvées, couvrent tous les transferts intragroupes dans le champ approuvé sans CCT au cas par cas. |
Pour la plupart des organisations, les CCT constituent le mécanisme par défaut pour les transferts vers des pays non adéquats. Les décisions d'adéquation sont plus simples lorsqu'elles sont disponibles, mais limitées géographiquement. Les REC sont puissantes pour les grandes multinationales avec des volumes substantiels de transferts intragroupes, mais peu pratiques pour les petites organisations ou les transferts externes.
Relation entre les CCT et le Data Privacy Framework UE-États-Unis
Les CCT et le Data Privacy Framework (DPF) UE-États-Unis servent la même finalité fondamentale (permettre des transferts de données licites depuis l'UE), mais fonctionnent par des mécanismes juridiques différents.
Le DPF offre une voie de transfert fondée sur l'adéquation pour les données envoyées à des organisations américaines certifiées. Lorsqu'une entreprise américaine détient une certification DPF active, les organisations de l'UE peuvent lui transférer des données sans CCT, tout comme elles le feraient pour un transfert vers une entreprise d'un pays adéquat. Consultez notre guide complet des décisions d'adéquation de l'UE pour la liste complète des pays concernés.
Les CCT offrent une voie de transfert fondée sur le contrat qui fonctionne pour tout pays, indépendamment de son statut d'adéquation. Elles constituent le mécanisme principal pour les transferts vers des pays dépourvus de décision d'adéquation, y compris la majeure partie de l'Asie, de l'Afrique, de l'Amérique latine et du Moyen-Orient.
De nombreuses organisations utilisent les deux mécanismes simultanément. Une entreprise peut s'appuyer sur le DPF pour les transferts vers ses prestataires de services américains certifiés, tout en utilisant des CCT pour les transferts vers des sous-traitants en Inde, aux Philippines ou au Brésil. Certaines organisations maintiennent des CCT avec des partenaires américains certifiés DPF en solution de secours, compte tenu de l'historique des cadres transatlantiques invalidés.
Le statut juridique du DPF en mai 2026
Le DPF a fait l'objet d'un recours juridique. Le 3 septembre 2025, le Tribunal de l'Union européenne a rejeté une action en annulation intentée par le député français Philippe Latombe, confirmant la validité du DPF sur la base des faits existant au moment de la décision d'adéquation de la Commission en 2023. Le Tribunal a rejeté les arguments de M. Latombe selon lesquels la Data Protection Review Court américaine manquerait d'indépendance et selon lesquels la surveillance de masse manquerait d'un contrôle juridictionnel a posteriori suffisant. M. Latombe a formé un pourvoi devant la CJUE le 31 octobre 2025 ; ce pourvoi est pendant.
Une question distincte concerne les actions exécutives de l'administration américaine. L'affaire Trump v. Slaughter devait faire l'objet d'un arrêt d'ici juin ou juillet 2026, avec des implications potentielles pour le cadre américain de protection de la vie privée sous-jacent au DPF.
Les organisations s'appuyant uniquement sur le DPF pour les transferts vers les États-Unis devraient suivre ces procédures. L'approche combinant CCT et mesures supplémentaires offre une solution de secours qui resterait valable même en cas d'invalidation du DPF, comme cela avait été le cas pour le Privacy Shield en 2020.
Les mécanismes britanniques de transfert international de données
À la suite du Brexit, le Royaume-Uni a établi son propre cadre pour les transferts internationaux de données au titre du RGPD britannique et du Data Protection Act 2018. Les CCT de l'UE ne peuvent pas être utilisées pour les transferts régis par le droit britannique.
L'International Data Transfer Agreement (IDTA)
L'Information Commissioner's Office (ICO) britannique a approuvé l'International Data Transfer Agreement (IDTA) en mars 2022. L'IDTA est un contrat autonome, similaire dans sa fonction aux CCT de l'UE mais rédigé pour s'aligner sur le droit britannique. Il utilise un document unique avec une présentation détaillée sous forme de tableau plutôt qu'une approche modulaire.
L'UK Addendum
Comme alternative à l'IDTA, les organisations peuvent utiliser l'UK Addendum aux CCT de l'UE. Cet addendum s'attache à un jeu de CCT de l'UE et les adapte aux fins du droit britannique. Cette approche est appréciée par les organisations disposant déjà de CCT de l'UE, car elle évite la nécessité d'un contrat distinct.
Les analyses de risque de transfert
L'ICO exige des organisations qu'elles réalisent une analyse de risque de transfert (Transfer Risk Assessment, TRA) avant de s'appuyer sur l'IDTA ou l'UK Addendum. La TRA est globalement similaire à la TIA de l'UE, mais suit les orientations spécifiques de l'ICO. L'ICO a publié un outil détaillé de TRA pour aider les organisations à compléter cette évaluation.
Le Data (Use and Access) Act 2025 et les nouvelles lignes directrices de l'ICO
Le Data (Use and Access) Act (DUAA) britannique a reçu la sanction royale le 19 juin 2025. L'annexe 7 du DUAA a modifié la norme applicable aux transferts internationaux. La protection requise est désormais décrite comme « non matériellement inférieure » à la norme du RGPD britannique et du DPA 2018, désignée comme le « critère de protection des données ». Cela remplace la norme antérieure de « non compromise ».
L'ICO a publié des lignes directrices actualisées sur les transferts internationaux le 15 janvier 2026, restructurant ses guides existants et intégrant la nouvelle formulation du DUAA. L'ICO a indiqué son intention de mettre à jour l'IDTA et l'Addendum au cours de 2026 pour refléter les modifications du DUAA. Les organisations devraient continuer d'utiliser les versions actuelles de l'IDTA et de l'Addendum jusqu'à la publication de ces mises à jour.
Le UK-US Data Bridge
Pour les transferts spécifiquement destinés aux États-Unis, le Royaume-Uni a établi le UK-US Data Bridge en octobre 2023, offrant une voie fondée sur l'adéquation parallèle au DPF UE-États-Unis. Les décisions d'adéquation du Royaume-Uni pour les transferts EEE-Royaume-Uni ont été renouvelées par la Commission européenne le 19 décembre 2025, valables jusqu'au 27 décembre 2031.
Remarque pour les transferts EEE vers le Royaume-Uni : les organisations de l'UE transférant des données personnelles vers des destinataires au Royaume-Uni n'ont pas besoin de CCT pour ces transferts. La décision d'adéquation de la Commission européenne pour le Royaume-Uni couvre les transferts EEE-Royaume-Uni. Des CCT sont nécessaires pour le sens inverse (transferts Royaume-Uni vers UE) et pour les transferts du Royaume-Uni vers des pays non adéquats au titre du droit britannique.
Erreurs courantes concernant les CCT
Les organisations rencontrent fréquemment des difficultés pratiques lors de la mise en œuvre des CCT. Comprendre ces défis aide à éviter les lacunes de conformité.
Les chaînes de traitement à plusieurs niveaux
Le traitement moderne des données implique souvent plusieurs niveaux de sous-traitants et de sous-traitants ultérieurs répartis dans plusieurs pays. Un même accord de CCT peut devoir intégrer plusieurs modules, et des CCT distinctes peuvent être nécessaires à différents points de la chaîne. Cartographier ces relations avec précision avant de sélectionner les modules est essentiel.
Maintenir les TIA à jour
Le paysage juridique des pays de destination évolue. Une nouvelle législation de surveillance, des décisions de justice ou des pratiques gouvernementales peuvent modifier le profil de risque d'un transfert. Les organisations doivent disposer d'un processus de suivi des évolutions juridiques pertinentes et de mise à jour de leurs TIA en conséquence. Les lignes directrices 02/2024 du CEPD de juin 2025 sur l'article 48 du RGPD ont ajouté des orientations sur la manière dont les organisations devraient réagir lorsque des autorités gouvernementales de pays tiers exigent l'accès à des données détenues par l'importateur, un facteur de risque désormais pertinent pour une TIA et qui devrait être évalué explicitement.
La gestion des sous-traitants ultérieurs
Les modules 2 et 3 exigent une gestion attentive des relations de sous-traitance ultérieure. En cas d'utilisation d'une autorisation générale (plutôt que d'une autorisation spécifique pour chaque sous-traitant ultérieur), le sous-traitant doit informer le responsable de traitement de tout changement prévu concernant les sous-traitants ultérieurs, donnant au responsable de traitement la possibilité de s'y opposer.
Les préoccupations d'opposabilité
Les CCT sont de nature contractuelle. Si un importateur de données situé dans un pays où l'État de droit est faible viole les clauses, l'exécution peut se révéler difficile en pratique. Les organisations devraient prendre en compte le système juridique de l'importateur et l'opposabilité pratique des obligations contractuelles dans leur TIA.
Les transferts vers des importateurs soumis au RGPD
Les organisations devant transférer des données personnelles à des importateurs déjà directement soumis au RGPD au titre de l'article 3(2) sont confrontées à un vide structurel dans le cadre actuel des CCT. Les CCT de 2021 ne sont pas conçues pour ce scénario. Tant que la Commission n'aura pas formellement adopté de nouvelles clauses pour cette situation, les organisations devraient envisager les REC (au sein des groupes d'entreprises), les clauses ad hoc approuvées par une autorité de contrôle au titre de l'article 46(3)(a), ou le recours documenté aux dérogations de l'article 49 lorsqu'elles sont applicables. Il ne s'agit pas d'un risque mineur : l'amende infligée par l'autorité néerlandaise à Uber concernait précisément ce type de transfert, réalisé sans mécanisme reconnu.
Développements récents (2024 à 2026)
Plusieurs développements significatifs se sont produits depuis l'entrée en pleine vigueur des CCT de 2021.
Application à l'encontre de Meta (mai 2023) : l'autorité de contrôle irlandaise a infligé une amende de 1,2 milliard d'euros à Meta à la suite de la décision contraignante 1/2023 du CEPD. Le CEPD a jugé que les transferts de données d'utilisateurs Facebook vers les États-Unis, fondés sur les CCT, ne comportaient pas de mesures supplémentaires suffisantes pour compenser la protection inadéquate offerte par le droit américain de la surveillance. Meta a été enjointe de mettre ses transferts en conformité.
Application à l'encontre d'Uber (2024) : l'autorité de contrôle néerlandaise a infligé une amende de 290 millions d'euros à Uber pour avoir transféré des données personnelles de chauffeurs vers les États-Unis sans mécanisme de transfert valable, durant une période où aucun mécanisme reconnu n'était en place.
Recours juridique contre le DPF (2025) : le Tribunal de l'Union européenne a rejeté le recours Latombe contre le DPF le 3 septembre 2025. M. Latombe a formé un pourvoi devant la CJUE le 31 octobre 2025. Ce pourvoi est pendant. L'affaire Trump v. Slaughter, susceptible d'avoir des implications pour le cadre américain de protection de la vie privée sous-jacent au DPF, devait faire l'objet d'un arrêt d'ici mi-2026.
Lignes directrices du CEPD sur l'article 48 (juin 2025) : le CEPD a adopté la version finale des lignes directrices 02/2024 sur l'article 48 du RGPD le 5 juin 2025. Elles précisent que les organisations recevant des demandes d'autorités gouvernementales de pays tiers exigeant le transfert de données personnelles de l'UE doivent évaluer chaque demande individuellement et ne peuvent pas traiter ces demandes comme une obligation de conformité routinière.
Data (Use and Access) Act 2025 britannique : la sanction royale du 19 juin 2025 a modifié la norme britannique de transfert vers le « critère de protection des données » (protection non matériellement inférieure à celle du RGPD britannique). L'ICO a publié des lignes directrices actualisées sur les transferts internationaux le 15 janvier 2026. Des mises à jour de l'IDTA et de l'Addendum sont attendues au cours de 2026.
Renouvellement de l'adéquation du Royaume-Uni (décembre 2025) : la Commission européenne a renouvelé ses décisions d'adéquation pour le Royaume-Uni le 19 décembre 2025, valables jusqu'au 27 décembre 2031.
CCT de l'article 3(2) (en attente) : les nouvelles CCT prévues par la Commission pour les importateurs soumis au RGPD n'avaient pas été formellement adoptées en mai 2026. Les organisations confrontées à ce scénario devraient surveiller la page des CCT de la Commission pour toute mise à jour.
Ces informations constituent des informations juridiques générales et ne sauraient tenir lieu de conseil juridique. Les organisations mettant en œuvre des CCT ou d'autres mécanismes de transfert transfrontalier devraient consulter un avocat autorisé à exercer dans leur juridiction pour des conseils adaptés à leur situation. Cet article reflète les textes et orientations vérifiés au 19 mai 2026.
Frequently Asked Questions
Que sont les clauses contractuelles types (CCT) ?
Les clauses contractuelles types sont des clauses contractuelles préapprouvées, adoptées par la Commission européenne au titre de l'article 46(2)(c) du RGPD. Elles créent des obligations contraignantes de protection des données entre un exportateur de données établi dans l'EEE et un importateur de données situé hors de l'EEE. La version actuelle, adoptée en juin 2021 (décision d'exécution 2021/914), a remplacé les anciennes clauses de 2001/2004 et de 2010. Les CCT constituent le mécanisme juridique le plus largement utilisé pour les transferts internationaux de données depuis l'UE.
Quels sont les quatre modules de CCT et quand utiliser chacun d'eux ?
Le module 1 (responsable à responsable) s'applique lorsqu'un responsable de traitement de l'UE transfère des données à un responsable de traitement non établi dans l'EEE. Le module 2 (responsable à sous-traitant) couvre les responsables de traitement de l'UE recourant à des sous-traitants hors de l'EEE, tels que des fournisseurs infonuagiques. Le module 3 (sous-traitant à sous-traitant) s'applique lorsqu'un sous-traitant basé dans l'UE recourt à un sous-traitant ultérieur hors de l'EEE. Le module 4 (sous-traitant à responsable) couvre les sous-traitants de l'UE restituant des données à des responsables de traitement non établis dans l'EEE. Un même accord de CCT peut intégrer plusieurs modules pour des parties assumant des rôles différents selon les activités de traitement.
Qu'est-ce qu'une analyse d'impact relative au transfert (TIA) ?
Une analyse d'impact relative au transfert évalue si les lois et pratiques du pays de destination offrent une protection essentiellement équivalente aux normes de l'UE. La clause 14 des CCT de 2021 exige des parties qu'elles complètent une TIA avant de transférer des données. L'évaluation examine les lois de surveillance du pays de destination, les cadres d'accès gouvernemental et les recours juridiques disponibles. Si la TIA identifie des risques, les organisations doivent mettre en œuvre des mesures supplémentaires (techniques, contractuelles ou organisationnelles) pour combler l'écart de protection.
Les anciennes CCT sont-elles toujours valables ?
Non. La Commission européenne a fixé une date limite de transition obligatoire au 27 décembre 2022, à laquelle toutes les organisations devaient remplacer les anciennes CCT (les clauses responsable à responsable de 2001/2004 et les clauses responsable à sous-traitant de 2010) par la version de 2021. Tout transfert de données s'appuyant encore sur les anciennes CCT après cette date est dépourvu de fondement juridique valable au titre du RGPD.
Les CCT peuvent-elles être utilisées pour des transferts vers les États-Unis ?
Oui. Les CCT demeurent un mécanisme valable pour les transferts vers les États-Unis, que le destinataire soit ou non certifié au titre du Data Privacy Framework (DPF) UE-États-Unis. Pour les transferts vers des organisations certifiées DPF, les CCT peuvent servir de solution de secours. Pour les transferts vers des organisations américaines non certifiées, les CCT constituent généralement le mécanisme de transfert principal. Une analyse d'impact relative au transfert doit évaluer les lois de surveillance américaines, en particulier la section 702 de la FISA et l'Executive Order 12333, et des mesures supplémentaires appropriées doivent être mises en œuvre.
Quel est l'équivalent britannique des CCT de l'UE ?
Le Royaume-Uni dispose de deux options : l'International Data Transfer Agreement (IDTA), un contrat autonome approuvé par l'ICO en mars 2022, et l'UK Addendum aux CCT de l'UE, qui adapte les CCT existantes de l'UE au droit britannique. Les CCT de l'UE seules ne peuvent pas être utilisées pour les transferts régis par le RGPD britannique. Les organisations doivent également compléter une analyse de risque de transfert conformément aux orientations de l'ICO. Le Data (Use and Access) Act 2025 britannique (sanction royale le 19 juin 2025) a modifié la norme britannique de transfert ; l'ICO a publié des lignes directrices actualisées le 15 janvier 2026 et prévoit de mettre à jour l'IDTA et l'Addendum au cours de 2026.
Quelles mesures supplémentaires les organisations peuvent-elles mettre en œuvre en complément des CCT ?
Les mesures supplémentaires se répartissent en trois catégories. Les mesures techniques comprennent le chiffrement de bout en bout (où seul l'exportateur détient la clé de déchiffrement), la pseudonymisation, et le traitement scindé. Les mesures contractuelles exigent des importateurs qu'ils contestent les demandes d'accès gouvernemental et fournissent des rapports de transparence. Les mesures organisationnelles comprennent les contrôles d'accès, la minimisation des données et les audits réguliers. Le CEPD a souligné que les mesures techniques empêchant l'accès à des données lisibles constituent la garantie la plus efficace dans les juridictions à haut risque. Les mesures contractuelles et organisationnelles seules ne peuvent compenser un cadre juridique du pays de destination qui autorise un accès gouvernemental contraint aux données.
À quelle fréquence les analyses d'impact relatives au transfert doivent-elles être mises à jour ?
Les CCT exigent une conformité continue, et non une évaluation ponctuelle. Les organisations doivent réévaluer leurs TIA lorsque les circonstances changent de manière significative, par exemple en cas de nouvelle législation de surveillance dans le pays de destination, de changements dans les arrangements de sous-traitance, de nouvelles pratiques gouvernementales, ou de décisions de justice pertinentes. Le CEPD recommande la mise en place d'un processus de suivi régulier des évolutions juridiques dans tous les pays de destination. Les lignes directrices 02/2024 du CEPD de 2025 sur l'article 48 du RGPD ont ajouté un facteur de risque supplémentaire à évaluer : les obligations légales de l'importateur lorsque des autorités gouvernementales de pays tiers exigent l'accès aux données personnelles.
Que sont les nouvelles CCT pour les importateurs soumis au RGPD, et quand seront-elles disponibles ?
La Commission européenne élabore un nouveau jeu de CCT spécifiquement destiné aux transferts vers des responsables et sous-traitants situés hors de l'EEE dont le traitement est déjà directement soumis au RGPD au titre de l'article 3(2), par exemple parce qu'ils ciblent des résidents de l'UE. Les CCT de 2021 ne conviennent pas à ce scénario, car elles supposent que l'importateur n'est pas soumis au RGPD. La Commission avait prévu une consultation publique pour le quatrième trimestre 2024 et un projet en vue d'une adoption au deuxième trimestre 2025. En mai 2026, aucune décision d'exécution formelle n'avait été publiée au Journal officiel. Les organisations devraient surveiller la page des CCT de la Commission pour l'annonce d'une adoption formelle.
Comment les CCT se comparent-elles aux règles d'entreprise contraignantes (REC) ?
Les CCT sont des clauses contractuelles utilisées pour des relations de transfert individuelles ; elles peuvent être utilisées par toute organisation et ne nécessitent aucune approbation préalable d'une autorité de contrôle. Les règles d'entreprise contraignantes sont des politiques intragroupes approuvées par une autorité de contrôle chef de file au titre de l'article 47 du RGPD. Les REC couvrent tous les transferts intragroupes dans le champ approuvé sans accords CCT au cas par cas, ce qui les rend efficaces pour les grandes multinationales, mais l'obtention de l'approbation prend généralement de un à trois ans et des ressources juridiques substantielles. Les REC ne peuvent pas être utilisées pour les transferts vers des tiers extérieurs ; les CCT restent nécessaires pour ceux-ci. Les deux mécanismes sont complémentaires.
Ai-je besoin de CCT pour transférer des données de l'EEE vers le Royaume-Uni ?
Non. La décision d'adéquation de la Commission européenne pour le Royaume-Uni couvre les transferts EEE-Royaume-Uni, ce qui signifie qu'aucune CCT ni aucun autre mécanisme de l'article 46 n'est requis pour ces transferts. La décision d'adéquation a été renouvelée le 19 décembre 2025 et est valable jusqu'au 27 décembre 2031. Toutefois, les organisations basées au Royaume-Uni transférant des données hors du Royaume-Uni vers des pays non adéquats ont toujours besoin de l'IDTA ou de l'UK Addendum britanniques (les équivalents britanniques des CCT de l'UE) pour ces transferts sortants.
Sources and References
- Les CCT actuelles de l'UE ont été adoptées par la décision d'exécution (UE) 2021/914 de la Commission, du 4 juin 2021.(eur-lex.europa.eu).gov
- La CJUE a statué dans l'affaire Data Protection Commissioner contre Facebook Ireland Limited et Maximillian Schrems, affaire C-311/18, ECLI:EU:C:2020:559, 16 juillet 2020 (Schrems II), confirmant la validité des CCT comme mécanisme de transfert en principe, tout en exigeant des exportateurs qu'ils vérifient si le cadre juridique du pays importateur(eur-lex.europa.eu).gov
- Les recommandations 01/2020 du CEPD sur les mesures supplémentaires (finalisées en juin 2021) décrivent un processus en six étapes pour les TIA.(edpb.europa.eu).gov
- L'amende de 1,2 milliard d'euros infligée à Meta/Facebook a été prononcée par l'autorité de contrôle irlandaise à la suite de la décision contraignante 1/2023 du CEPD (13 avril 2023). L'autorité a jugé que les transferts de données d'utilisateurs Facebook vers les États-Unis via des CCT manquaient de mesures supplémentaires suffisantes pour compenser les lois américaines de surveillance.(edpb.europa.eu).gov
- L'autorité de contrôle néerlandaise (Autoriteit Persoonsgegevens) a infligé une amende de 290 millions d'euros à Uber pour des transferts de données personnelles de chauffeurs vers les États-Unis sans mécanisme de transfert valable. Il s'agit de la troisième amende infligée à Uber par l'autorité néerlandaise.(edpb.europa.eu).gov
- Le Tribunal de l'Union européenne a rejeté le recours en annulation Latombe contre le Data Privacy Framework UE-États-Unis le 3 septembre 2025. M. Latombe a formé un pourvoi devant la CJUE le 31 octobre 2025. Ce pourvoi est pendant.(noyb.eu)
- Le Data (Use and Access) Act britannique a reçu la sanction royale le 19 juin 2025. L'annexe 7 de la loi a modifié la norme applicable aux transferts internationaux, la faisant passer de « non compromise » à « non matériellement inférieure » à la protection du RGPD britannique (le « critère de protection des données »). L'ICO a publié des lignes directrices actualisées(ico.org.uk).gov
- L'ICO prévoit de mettre à jour l'IDTA et l'Addendum au cours de 2026 pour refléter les modifications du DUAA. Les organisations devraient continuer d'utiliser les versions actuelles de l'IDTA et de l'Addendum d'ici là.(ico.org.uk).gov
- La Commission européenne est en train d'élaborer de nouvelles CCT pour les transferts vers des responsables et sous-traitants situés hors de l'EEE dont le traitement est directement soumis au RGPD au titre de l'article 3(2). Une consultation publique était prévue pour le quatrième trimestre 2024, avec un projet attendu pour le deuxième trimestre 2025. En mai 2026, la Commission(commission.europa.eu).gov
- Le CEPD a adopté la version finale des lignes directrices 02/2024 sur l'article 48 du RGPD (transferts de données vers des autorités de pays tiers) le 5 juin 2025. Ces lignes directrices précisent que les jugements ou décisions d'autorités de pays tiers ne peuvent pas être automatiquement reconnus ou exécutés dans l'UE, et que les organisations doivent évaluer chaque(edpb.europa.eu).gov
- Les CCT actuelles de 2021 se limitent aux transferts où le traitement de l'importateur de données N'EST PAS soumis au RGPD. Elles ne conviennent pas au scénario où l'exportateur et l'importateur sont tous deux soumis au RGPD, car les clauses feraient à la fois double emploi et s'écarteraient d'obligations déjà(commission.europa.eu).gov
- Le CEPD a exhorté la Commission européenne à préparer de nouvelles CCT couvrant le scénario où l'exportateur et l'importateur de données sont tous deux soumis au RGPD, soulignant que ces CCT ne devraient pas reproduire les obligations du RGPD mais se concentrer sur des éléments spécifiquement liés aux risques de l'importateur(edpb.europa.eu).gov
- ICO britannique - Analyses de risque de transfert(ico.org.uk).gov
- Data Protection Act 2018 britannique(legislation.gov.uk).gov
- Commission européenne - CCT pour les transferts internationaux(commission.europa.eu).gov
- CEPD : décision contraignante 1/2023 sur Meta Platforms Ireland (transferts Facebook vers les États-Unis)(edpb.europa.eu)