Les Clauses Contractuelles Types (CCT) ou Standard Contractual Clauses (SCC) sont un des mécanismes juridiques de transferts internationaux de données à caractère personnel en dehors de l’espace économique européen. Elles font partie des connaissances à maitriser pour réussir la certification CIPPE/E de l’IAPP. L’entrée en vigueur des nouvelles clauses de la Commission Européenne a été fixée à septembre 2021. Les importateurs et les exportateurs de données peuvent continuer à invoquer les anciennes CCT jusqu’au 27 décembre 2022. Les CCT intègrent la jurisprudence de la Cour de Justice de l’Union Européenne de l’affaire « Schrems II » qui a par ailleurs abouti à l’invalidation d’un autre mécanisme de transfert, le « Privacy Shield ».

Modules et sous-traitants ultérieurs

Les CCT « 2021 » combinent des clauses générales avec une approche par module correspondant à quatre scénarios de transfert. Les responsables de traitement (Data Controller) et les sous-traitants (Data Processor) doivent choisir le module applicable à leur situation parmi les cas de transferts suivants :

1. Responsable de traitement à responsable de traitement.
2. Responsable de traitement à sous-traitant.
3. Sous-traitant à sous-traitant.
4. Sous-traitant à responsable de traitement.

Les anciennes CCT ne couvraient que les relations contractuelles des modules 1 et 2.

Quelques exemples d’éléments à définir par les entités dans leurs CCT (liste exhaustive dans les 3 annexes des CCT 2021) sont récapitulés ci-dessous :

• Catégories de personnes concernées dont les données à caractère personnel sont transférées.
• Catégories de données à caractère personnel transférées.
• Fréquence du transfert.
• Nature du traitement.
• Finalité(s) du transfert et du traitement ultérieur des données.
• Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée.
• Autorité(s) de contrôle compétente(s).
• Mesure de sécurité des données (par exemple pseudonymisation, chiffrement, journalisation, durcissement des systèmes…).
• Les nouvelles CCT peuvent être utilisées dans les relations avec les sous-traitants ultérieurs (conformément à l’article 28 du RGPD). Les obligations contractuelles de transfert d’un sous-traitant étranger avec ses propres sous-traitants seront donc inclues dans la chaîne contractuelle des CCT.

Etapes

Les étapes à suivre pour mettre en places les CCT sont :

• Identifier les parties concernées en cartographiant les différents transferts de données personnelles et déterminer quelle CCT sont à utiliser.
• Compléter les CCT en utilisant les documents officiels (disponibles sur les sites des régulateurs, CNIL pour la France).
• Transmettre au régulateur uniquement dans le cas où le contenu des modèles officiels de l'Union Européenne a été modifié.

Référence

Les CCT 2021 sont disponibles sur le site de la commission européenne en version française et anglaise.

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :