La vision de Cyber Academy
Les CCT sont des clauses types approuvées par la Commission européenne pour transférer des données personnelles vers des pays tiers en l'absence de décision d'adéquation. Les CCT de 2021 ont remplacé les versions antérieures et imposent une analyse d'impact du transfert (Transfer Impact Assessment, TIA) depuis l'arrêt Schrems II. Un passage obligé pour toute organisation utilisant des fournisseurs SaaS non européens.
Ce que font réellement les SCC
Les clauses contractuelles types sont un contrat pré-rédigé entre un exportateur de données dans l'UE et un importateur situé dans un pays sans décision d'adéquation. En les signant, l'importateur s'engage à respecter des obligations de niveau GDPR : limitation des finalités, sécurité, contrôle des transferts ultérieurs, droits des personnes concernées et coopération avec l'autorité de contrôle. Comme la Commission européenne a déjà approuvé la rédaction, vous n'avez pas à négocier ni à justifier les clauses elles-mêmes, ce qui en fait le mécanisme de transfert par défaut pour presque toute relation SaaS, cloud ou sous-traitant hors UE.
Les clauses sont modulaires. Vous choisissez le module qui correspond à la relation réelle : responsable de traitement à responsable de traitement, responsable de traitement à sous-traitant, sous-traitant à sous-traitant, ou sous-traitant à responsable de traitement. Se tromper de module est l'erreur de rédaction la plus fréquente, car les obligations et les points d'arrimage pour les sous-traitants diffèrent d'un module à l'autre. Les SCC comprennent aussi une clause d'arrimage qui permet à de nouvelles parties de rejoindre un ensemble existant, ce qui rend les longues chaînes de sous-traitance gérables.
Pourquoi la TIA a changé la donne
Avant l'arrêt Schrems II de 2020, signer des SCC était considéré comme suffisant en soi. La Cour de justice y a mis fin. Elle a jugé que des engagements contractuels ne peuvent lier un gouvernement étranger, de sorte que l'exportateur doit évaluer si l'importateur peut véritablement honorer les clauses au regard du droit local en matière de surveillance et d'accès. Cette évaluation est l'analyse d'impact du transfert. En pratique, vous documentez le pays de destination, les lois susceptibles de contraindre à la divulgation, la nature et la sensibilité des données, et la question de savoir si des mesures supplémentaires telles qu'un chiffrement fort, une pseudonymisation ou un traitement fractionné comblent l'écart que vous identifiez.
Si la TIA conclut que l'importateur ne peut pas respecter les engagements des SCC et qu'aucune mesure supplémentaire n'y remédie, le transfert ne devrait pas se faire sur la base des SCC. C'est là que les SCC diffèrent nettement d'une décision d'adéquation : l'adéquation est un constat de la Commission qui supprime la charge au cas par cas, tandis que les SCC font peser cette charge sur vous pour chaque transfert. L'EU-US Data Privacy Framework offre désormais une voie d'adéquation pour les importateurs américains certifiés, mais les SCC restent l'outil de référence pour tout autre pays tiers et pour les fournisseurs américains qui ne sont pas certifiés.
Ce que font réellement les praticiens
Un processus SCC qui fonctionne est reproductible, et non un exercice juridique ponctuel. Le schéma sur lequel la plupart des équipes s'accordent ressemble à ceci.
- Cartographier le transfert : identifier l'exportateur, l'importateur, les catégories de données et le module correct avant de toucher au modèle.
- Compléter les annexes : les parties, la description du traitement et les mesures de sécurité techniques et organisationnelles. Des annexes vagues sont la partie que les régulateurs questionnent en premier.
- Mener et documenter la TIA, y compris toute mesure supplémentaire, et la conserver avec les clauses signées.
- Intégrer les SCC à l'intégration de vos fournisseurs afin qu'elles soient signées avant que les données ne circulent, et non rajoutées après qu'un audit a révélé la lacune.
- Réexaminer lorsque le fournisseur change de sous-traitants, lorsque le pays de destination ou ses lois changent, ou selon une cadence fixe.
Les SCC s'inscrivent dans votre récit plus large de responsabilité GDPR. Elles renvoient aux registres des activités de traitement, à la DPIA lorsqu'elle est requise et aux mesures de sécurité que vous vous êtes déjà engagé à mettre en œuvre. Traitées comme des documents vivants plutôt que comme une signature recueillie une seule fois, elles font la différence entre un transfert que vous pouvez défendre et un transfert qui s'effondre dès qu'un régulateur ou une personne concernée demande comment vous protégez les données qui quittent l'UE.
Frequently asked questions
01Quand avons-nous besoin de SCC plutôt que de nous appuyer sur une décision d'adéquation ?
Vous avez besoin de SCC dès lors que des données à caractère personnel partent vers un pays tiers que la Commission européenne n'a pas déclaré adéquat, ou vers un importateur non couvert par un mécanisme d'adéquation tel que l'EU-US Data Privacy Framework. S'il existe une voie d'adéquation valable pour ce transfert précis, vous n'avez pas besoin de SCC pour celui-ci.
02Les SCC de 2021 sont-elles différentes des anciennes ?
Oui. Les SCC modulaires de 2021 ont remplacé les ensembles antérieurs datant de 2010. Elles couvrent quatre scénarios de traitement dans un seul document, ajoutent la clause d'arrimage pour les nouvelles parties et reflètent l'exigence issue de Schrems II selon laquelle la seule signature ne suffit pas.
03Une analyse d'impact du transfert est-elle obligatoire avec les SCC ?
En pratique, oui. Depuis Schrems II, vous devez évaluer si l'importateur peut réellement honorer les clauses au regard du droit local, et documenter cette analyse ainsi que toute mesure supplémentaire. Des SCC sans TIA sont largement considérées comme incomplètes.
04Quel module de SCC devons-nous utiliser ?
Choisissez le module qui correspond à la relation réelle : responsable de traitement à responsable de traitement, responsable de traitement à sous-traitant, sous-traitant à sous-traitant, ou sous-traitant à responsable de traitement. Choisir le mauvais module est une erreur fréquente, car chacun comporte des obligations et des règles relatives aux sous-traitants différentes.
05Les SCC remplacent-elles un accord de traitement des données ?
Pas exactement. Les SCC traitent du transfert international, tandis que les modules relatifs aux sous-traitants satisfont aussi aux clauses essentielles de traitement de l'article 28. De nombreuses organisations les combinent afin qu'un instrument unique couvre à la fois le transfert et la relation de traitement.