Clauses contractuelles types (CCT)

Que sont les Clauses contractuelles types (CCT)

Les Clauses contractuelles types (CCT) constituent des modèles de contrats pour le transfert de données personnelles. C’est ainsi que la Commission Européenne les a adoptés. De fait, elles se considèrent comme des « garanties appropriées ». Ainsi, elles permettent aux organismes d’encadrer leurs transferts de données hors de l’UE.

Les CCT ont la possibilité d’être intégrées dans un contrat plus large, comme un contrat de prestation de services. Egalement, elles peuvent être utilisées dans les contrats conclus entre un responsable du traitement et un sous-traitants. A condition que ce dernier traite des données à caractère personnel pour le compte du responsable du traitement.

La Commission européenne a mis à jour les modèles de clauses contractuelles le 4 juin 2021. À partir du 27 décembre 2022, les anciennes clauses contractuelles types de la Commission ne sont plus utilisables.

Dans les faits, il est essentiel de noter que les parties s’engagent à ne pas modifier les clauses. Cependant, elles peuvent ajouter ou mettre à jour des informations dans les annexes. En fait, les parties peuvent également inclure les CCT dans un contrat plus large. Elles peuvent ajouter d’autres clauses ou des garanties supplémentaires. A condition qu’elles ne contredisent pas directement ou indirectement les clauses, ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

Les CCT s’utilisent pour le transfert de données vers un pays tiers. Cependant, il est de la responsabilité de l’exportateur et de l’importateur de données d’évaluer si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE.  Y compris les garanties fournies par les CCT.

Si ce niveau de protection ne peut pas être respecté, les entreprises doivent envisager des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui de l’UE.

Dans les faits, les nouvelles clauses contractuelles types reprennent les principales protections des droits des personnes. Elles apportent également plusieurs changements pour tenir compte du RGPD et intégrer de nouveaux mécanismes.

–Responsabilités du responsable de traitement et du sous-traitant :

Ainsi, le contrat doit inclure des mentions obligatoires, comme l’obligation pour le sous-traitant de se conformer aux instructions du responsable du traitement. Ces mentions comprennent :

• Confidentialité : Le contrat doit stipuler l’obligation de respecter la confidentialité.
• Mesures de sécurité : Le contrat doit détailler les mesures de sécurité à mettre en œuvre.
• Transfert de données vers un pays tiers : Les CCT s’utilisent pour le transfert de données vers un pays tiers. Cependant, il incombe à l’exportateur et à l’importateur de données d’évaluer si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE. Y compris les garanties fournies par les CCT.

Pour obtenir le texte complet des CCT, vous pouvez consulter le site de la CNIL ou de la Commission Européenne. Cependant, il faut noter que les CCT ne peuvent pas être modifiées. Cependant elles ont la possibilité de l’être pour l’ajout ou la mise à jour d’informations dans les annexes. Aussi, les parties peuvent inclure les CCT dans un contrat plus large. De fait, elles peuvent ajouter d’autres clauses ou des garanties supplémentaires. A condition qu’elles ne contredisent pas directement ou indirectement les clauses, ou qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.