Clauses contractuelles types et RGPD : ce que vous devez savoir.

8/5/2026
Tous les guides
🌍 Hors UE

Depuis 2018, le Règlement Général sur la Protection des Données (RGPD) a profondément transformé la manière dont les entreprises européennes gèrent les données personnelles. Mais dans une économie mondialisée, les données traversent quotidiennement les frontières - et c'est là que les choses se compliquent.

Chaque fois que vous utilisez un outil SaaS américain (Google Analytics, Salesforce, Mailchimp, HubSpot, AWS, Microsoft Azure...), vous opérez un transfert de données personnelles hors de l'Union européenne. Ce transfert doit être encadré par des garanties spécifiques reconnues par le RGPD.

Ces garanties, ce sont les clauses contractuelles types (CCT) - un contrat ou des annexes contractuelles qui organisent les modalités du transfert et les conditions de traitement des données personnelles à l'étranger. En 2021, la Commission européenne a adopté de nouvelles CCT, plus contraignantes. Voici tout ce que vous devez savoir.

Les enjeux des transferts de données personnelles hors UE

La plupart des entreprises opèrent des transferts hors UE sans en être pleinement conscientes. Navigateurs web, systèmes d'exploitation, solutions SaaS ou hébergeurs - dès lors que l'entreprise mère est établie hors de l'UE, vous transférez des données.

Point clé : pour savoir si un transfert hors UE est opéré, vous devez vous référer au lieu d'immatriculation de l'entreprise mère. Si vous hébergez vos données sur AWS ou Microsoft Azure, il s'agit d'un transfert vers les États-Unis même si les serveurs sont localisés en Europe.

En application du RGPD (article 28 et article 44), lorsqu'une entreprise transfère des données personnelles à un sous-traitant situé hors UE, elle doit s'assurer que ce dernier offre des garanties suffisantes. Deux options s'offrent à vous :

  1. Vérifier l'existence d'une décision d'adéquation de la Commission européenne pour le pays concerné (article 45 du RGPD). La Commission vérifie en continu la compatibilité des législations des pays hors UE avec le RGPD.
  2. En l'absence de décision d'adéquation (cas des États-Unis notamment), recourir aux clauses contractuelles types (CCT) ou aux règles d'entreprise contraignantes (BCR) au titre de l'article 46 du RGPD.

L'arrêt Schrems II : le point de départ d'une nouvelle réflexion

Une réaction européenne nécessaire

Le 16 juillet 2020, la Cour de Justice de l'Union Européenne (CJUE) invalide le Privacy Shield - un régime particulier de transferts de données personnelles vers les États-Unis en vigueur depuis 2016. Ce régime ne permettait plus d'assurer un niveau de protection adéquat pour les ressortissants européens.

Les lois de sécurité nationale américaines - FISA (Foreign Intelligence Surveillance Act) et le Cloud Act - autorisent les autorités américaines à demander l'accès à toute base de données détenue par des prestataires nationaux, quelle que soit la localisation du serveur. Des dispositions totalement conflictuelles avec le RGPD.

Une prise de décision ambiguë

La CJUE invalide les transferts vers les États-Unis mais valide simultanément les CCT de la Commission - à condition que des mesures complémentaires soient prises pour protéger les données des ressortissants européens. Sans recommandations concrètes sur ces mesures, l'arrêt Schrems II crée un vide juridique.

La réponse arrive en deux temps : le 11 novembre 2020, le Comité Européen de la Protection des Données formule ses premières recommandations. Le 4 juin 2021, la Commission européenne adopte de nouvelles clauses contractuelles types.

Les clauses contractuelles types de juin 2021

4 modules pour tous les scénarios de transfert

Les nouvelles CCT s'articulent autour de 4 modules couvrant tous les types de transferts de données :

  • Module 1 : Transfert de responsable de traitement à responsable de traitement (RT/RT)
  • Module 2 : Transfert de responsable de traitement à sous-traitant (RT/ST)
  • Module 3 : Transfert de sous-traitant à sous-traitant (ST/ST)
  • Module 4 : Transfert de sous-traitant à responsable de traitement (ST/RT)

Les anciennes CCT (2001 et 2010) ne couvraient que les deux premières relations. La version 2021 complète le dispositif pour tous les acteurs de la chaîne de sous-traitance.

Les différences notables avec les anciennes CCT

Elles ne peuvent pas être modifiées à la baisse

Les CCT ne peuvent pas être allégées. Les signataires peuvent uniquement les compléter pour apporter des garanties additionnelles - jamais les diminuer. Si une autre disposition de votre contrat est incompatible avec les CCT, les CCT prévalent de droit.

Le principe d'adhésion

Un nouvel acteur (responsable de traitement ou sous-traitant) peut rejoindre un contrat existant sans qu'il soit nécessaire de lui faire signer le contrat initial.

Des droits renforcés pour les personnes concernées

Les personnes concernées par le transfert deviennent des tiers bénéficiaires des CCT. Elles peuvent invoquer leurs droits RGPD directement sur la base des CCT, sans signer le moindre contrat. Sur demande, vous devez leur fournir une copie des CCT.

Pourquoi les nouvelles CCT peuvent mettre en risque votre activité

C'est le point que les entreprises sous-estiment le plus : les CCT seules ne garantissent pas toujours un niveau de protection adéquat. La CJUE l'a explicitement confirmé dans l'arrêt Schrems II.

Pour les transferts vers les États-Unis, la législation américaine (FISA, Cloud Act) est intrinsèquement incompatible avec le RGPD. Des CCT parfaitement rédigées ne peuvent pas neutraliser l'obligation légale pour une entreprise américaine de communiquer des données aux autorités de renseignement sur demande.

Concrètement : si vous hébergez des données sur AWS ou Azure, si vous utilisez Salesforce ou HubSpot, vous transférez des données vers les États-Unis. Vos CCT sont nécessaires, mais insuffisantes sans mesures complémentaires.

Le Comité européen de la protection des données préconise notamment :

  • Des mesures de chiffrement renforcé - les données doivent être chiffrées avant transfert, avec la clé détenue en Europe
  • Des mesures de pseudonymisation ou d'anonymisation des données personnelles
  • La documentation et l'enregistrement des demandes d'accès des autorités publiques

En pratique : si les mesures complémentaires ne permettent pas de garantir un niveau de protection équivalent au RGPD, le transfert doit être suspendu ou les données doivent être rapatriées vers un prestataire européen ou un pays bénéficiant d'une décision d'adéquation.

De nouvelles obligations pour les entreprises

Exportateurs et importateurs doivent adopter les mesures techniques, organisationnelles et contractuelles nécessaires pour garantir un niveau de sécurisation des données conforme aux attentes du RGPD. Les décisions de transfert reposent sur un triptyque :

Évaluation

Avant tout transfert, évaluez si vos CCT autorisent les personnes concernées à exercer leur droit d'opposition et leurs voies de droit effectives dans le pays destinataire. Questionnez-vous :

  • Vos CCT seront-elles véritablement efficaces sur place ?
  • Les garanties prévues pourront-elles s'appliquer convenablement ?
  • Le cadre législatif en vigueur assure-t-il un niveau de protection aussi élevé qu'en Europe ?
  • Quels risques spécifiques existent dans le pays tiers (surveillance étatique, lois extraterritoriales...) ?

Documentation

Les nouvelles CCT prévoient un travail de documentation supplémentaire pour démontrer votre mise en conformité au RGPD en cas de contrôle de la CNIL. Conservez une trace écrite détaillée de vos traitements et des mesures adoptées.

Décision

Deux options : si les droits RGPD des personnes concernées ne sont pas remis en cause, vous pouvez organiser le transfert. Si un risque subsiste, vous devez adopter de nouvelles mesures de protection ou chercher un prestataire européen ou un pays adéquat.

Comment se mettre en conformité avec les CCT ?

La mise en conformité CCT suit quatre étapes concrètes :

  1. Cartographier vos transferts hors UE - identifier chaque outil ou sous-traitant établi hors UE dans votre registre des traitements (y compris les SaaS américains dont les serveurs sont en Europe)
  2. Vérifier les décisions d'adéquation - si le pays bénéficie d'une décision d'adéquation, pas besoin de CCT
  3. Mettre en place les CCT 2021 - utiliser les modèles officiels de la Commission européenne sans les alléger, en choisissant le bon module selon la relation exportateur/importateur
  4. Documenter et évaluer en continu - la conformité CCT n'est pas un acte ponctuel mais un processus continu, notamment pour les transferts vers des pays à risque (États-Unis, Chine, Inde...)

Leto vous aide à cartographier vos transferts hors UE, à identifier les CCT manquantes et à maintenir votre documentation RGPD à jour. Réservez une démo pour voir comment.

FAQ - Clauses contractuelles types (CCT) RGPD

Qu'est-ce qu'une CCT (Clause Contractuelle Type) en RGPD ?

Une clause contractuelle type (CCT) est un contrat standardisé adopté par la Commission européenne permettant d'encadrer les transferts de données personnelles hors de l'Union européenne. Les CCT constituent une garantie appropriée au sens de l'article 46 du RGPD, à condition d'être adoptées intégralement et sans modification à la baisse.

Quand utiliser des CCT plutôt qu'une décision d'adéquation ?

Les CCT s'utilisent lorsque le pays destinataire des données ne bénéficie pas d'une décision d'adéquation de la Commission européenne. Les décisions d'adéquation (article 45 du RGPD) attestent que le pays offre un niveau de protection équivalent au RGPD - dans ce cas, les transferts sont libres. Pour les pays sans décision d'adéquation (États-Unis, Inde, Chine...), les CCT ou les BCR sont nécessaires.

Les CCT 2021 sont-elles toujours valides en 2026 ?

Oui, les CCT adoptées par la Commission européenne le 4 juin 2021 sont les CCT en vigueur. Les anciennes CCT (2001 et 2010) sont devenues caduques au 27 décembre 2022. En 2026, toute entreprise utilisant encore les anciens modèles doit les avoir remplacés par les CCT 2021, sous peine de transferts non conformes passibles de sanctions CNIL (jusqu'à 20 millions d'euros ou 4 % du CA mondial).

Faut-il refaire ses CCT après l'arrêt Schrems II ?

L'arrêt Schrems II (CJUE, 16 juillet 2020) a invalidé le Privacy Shield mais validé les CCT sous conditions. Il ne faut pas "refaire" les CCT mais y ajouter des mesures complémentaires - notamment pour les transferts vers les États-Unis - pour compenser les risques liés à la surveillance étatique (FISA, Cloud Act). Le passage aux CCT 2021 était obligatoire avant le 27 décembre 2022.

Quelle différence entre CCT, BCR et codes de conduite ?

Les CCT (clauses contractuelles types) sont des contrats standardisés Commission UE, accessibles à tout organisme. Les BCR (Binding Corporate Rules / règles d'entreprise contraignantes) sont des politiques internes approuvées par une autorité de protection des données, réservées aux groupes multinationaux pour les transferts intra-groupe. Les codes de conduite (article 40 du RGPD) sont des instruments sectoriels approuvés par la CNIL. Les CCT restent l'outil le plus accessible et le plus utilisé en pratique.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

CCPA : connaissez-vous le RGPD californien ?
16/8/2021
Comment transférer des données personnelles vers les Etats-Unis ?
15/11/2022
Pays compatibles au RGPD & transfert de données
20/1/2023
Clauses contractuelles types et RGPD : ce que vous devez savoir.
7/5/2023
CPRA vs CCPA : que dit la nouvelle loi californienne ?
1/10/2021
Qu'est-ce que le Cloud Act ? Guide Complet 2026
30/8/2021

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026