Skip to Content
RGPDPartie 13 — Transferts internationaux13.3 — Garanties : CCT, BCR & TIA

Chapitre 13.3 — Garanties : CCT, BCR & TIA

⏱️ TL;DR — Pas d’adéquation pour le pays de destination ? Deuxième étage : les garanties appropriées (art. 46). La plus courante : les clauses contractuelles types (CCT / SCC), un modèle de contrat adopté par la Commission (décision d’exécution (UE) 2021/914 du 4 juin 2021). Pour les groupes internationaux : les BCR (règles d’entreprise contraignantes). Mais depuis Schrems II, un contrat ne suffit plus à lui seul : il faut une analyse d’impact du transfert (TIA) — vérifier que le droit du pays de destination ne vide pas les clauses de leur effet — et, si besoin, des mesures supplémentaires (chiffrement, pseudonymisation). Troisième étage, en dernier recours : les dérogations (art. 49), pour des cas ponctuels et exceptionnels.

🎯 Objectifs

  • Choisir la bonne garantie appropriée (CCT pour un prestataire, BCR pour un groupe).
  • Comprendre l’obligation de TIA post-Schrems II et les mesures supplémentaires.
  • Savoir que les dérogations (art. 49) sont exceptionnelles, pas un mode de fonctionnement.
  • Dérouler l’arbre de décision « puis-je transférer ? ».

Les CCT : le contrat type de la Commission

Les clauses contractuelles types (CCT ; en anglais Standard Contractual Clauses, SCC) sont un modèle de contrat pré-approuvé par la Commission européenne. Signées entre l’exportateur (dans l’EEE) et l’importateur (le destinataire hors EEE), elles engagent ce dernier à respecter des obligations de protection équivalentes au RGPD. C’est la garantie la plus utilisée, parce qu’elle est standardisée et rapide à mettre en place.

Le jeu de clauses en vigueur est fixé par la décision d’exécution (UE) 2021/914 du 4 juin 2021. Il est modulaire : on choisit le module correspondant aux rôles des parties (par exemple responsable vers responsable, ou responsable vers sous-traitant), et on remplit les annexes (description des traitements, mesures de sécurité, liste des sous-traitants ultérieurs).

Les BCR : pour les transferts intragroupe

Les BCR (Binding Corporate Rules, règles d’entreprise contraignantes) sont une politique interne de protection des données, contraignante pour toutes les entités d’un même groupe multinational, et approuvée par une autorité de contrôle après un processus exigeant. Une fois validées, elles autorisent les transferts au sein du groupe, partout dans le monde.

C’est lourd à obtenir mais durable : adapté aux grands groupes qui font circuler des données entre filiales. Pour un prestataire externe, on reste sur les CCT.

GarantiePour quiEffortIdéal quand
CCT / SCCEntre deux organismes distincts (client / prestataire)Modéré (signer + annexer)Tu contractes avec un sous-traitant hors EEE
BCREntités d’un même groupeÉlevé (validation par une autorité)Flux intragroupe récurrents, à l’échelle mondiale

Le tournant Schrems II : les CCT ne suffisent plus seules

Voici le point que tout le monde oublie. Depuis Schrems II, signer des CCT est nécessaire mais pas suffisant. La Cour a jugé que si le droit du pays de destination (typiquement des lois de surveillance) permet aux autorités d’accéder aux données par-dessus le contrat, alors les CCT sont vidées de leur effet. Un contrat ne protège pas contre une loi qui l’ignore.

Conséquence pratique : avant de transférer sous CCT (ou BCR), tu dois réaliser une analyse d’impact du transfert (TIA, Transfer Impact Assessment) :

  1. Cartographier le transfert : quelles données, vers quel pays, chez qui, pour quoi.
  2. Évaluer le droit local : le pays de destination offre-t-il une protection et des recours équivalents ? Existe-t-il des lois d’accès des autorités qui compromettent la garantie ?
  3. Conclure : si le risque est acceptable → transfert possible ; s’il ne l’est pas → mesures supplémentaires, ou renoncer.

Les mesures supplémentaires sont techniques (chiffrement fort avec clés conservées dans l’EEE, pseudonymisation, minimisation de ce qu’on envoie), contractuelles (engagements renforcés, transparence sur les demandes d’accès) et organisationnelles (politique de contestation des réquisitions). Le chiffrement dont seul l’exportateur détient les clés est la mesure reine : même accessible, la donnée reste illisible.

📚 Le texte — Les garanties appropriées sont à l’article 46 : les CCT en sont l’instrument phare, fixé par la décision d’exécution (UE) 2021/914 du 4 juin 2021 ; les BCR sont prévues à l’article 47. L’obligation d’analyse d’impact du transfert et de mesures supplémentaires découle de l’arrêt Schrems II (C-311/18) : les CCT restent valides, mais ne dispensent jamais de vérifier l’effectivité de la protection dans le pays de destination.

⚠️ Piège — « On a signé les CCT, c’est bon. » Faux depuis Schrems II. Les CCT sans TIA sont un dossier incomplet : si le droit du pays de destination casse la garantie et que tu n’as pris aucune mesure supplémentaire, le transfert reste illicite malgré le contrat. La signature n’est que la première moitié du travail ; le TIA est la seconde.

Les dérogations (art. 49) : la sortie de secours, pas la porte d’entrée

Quand il n’y a ni adéquation ni garanties appropriées, l’article 49 prévoit des dérogations pour des situations spécifiques : consentement explicite de la personne (dûment informée des risques), exécution d’un contrat avec elle, motifs importants d’intérêt public, constatation d’un droit en justice, etc.

Le mot d’ordre : exceptionnel et ponctuel. Les dérogations sont pensées pour des transferts occasionnels et non répétitifs — pas pour faire tourner une infrastructure en continu. Baser tout un hébergement ou un envoi massif d’e-mails sur le « consentement au transfert » est un détournement de l’article 49.

ÉtageBaseQuand l’utiliser
1Adéquation (art. 45)Le pays (ou le cadre DPF) est reconnu adéquat
2Garanties appropriées (art. 46 : CCT, BCR) + TIAPas d’adéquation, mais un transfert récurrent à encadrer
3Dérogations (art. 49)Cas ponctuel et exceptionnel, ni adéquation ni garanties

💡 Réflexe — Un transfert bien encadré = base + TIA + mesures + preuve. Signe la garantie (CCT/BCR), documente le TIA par écrit, applique les mesures supplémentaires (chiffrement avec clés dans l’EEE en tête), et classe le tout dans ton registre. Sans l’écrit, tu ne peux pas démontrer ta conformité — et en transferts comme ailleurs, ce qui n’est pas prouvable est réputé non fait (accountability, art. 5.2).

🧭 Sur FormaCampus — Pour son outil d’e-mailing américain, FormaCampus signe les CCT (module responsable vers sous-traitant) et réalise un TIA : elle constate que les e-mails contiennent des adresses d’élèves et de parents, évalue l’exposition au droit américain, et ajoute des mesures — minimiser les données envoyées, éviter d’y glisser des informations sensibles, s’appuyer en parallèle sur la certification DPF du prestataire quand elle existe. CCT + TIA restent le filet si le DPF venait à tomber. Le tout est écrit et rangé au registre.

🔒 Côté personne concernée — Les CCT et le TIA ne sont pas de la paperasse : ils existent pour qu’un élève, un parent ou un stagiaire garde une protection réelle même quand ses données partent dans un pays qui, seul, n’offrirait pas les mêmes garanties. Le chiffrement avec clés côté EEE est, pour la personne, la meilleure assurance : même si une autorité étrangère accède au serveur, elle ne lit qu’un charabia.

✏️ Exercices

Exercice 1 — Quelle garantie ? Choisis l’outil le plus adapté : (a) un contrat avec un prestataire d’e-mailing établi dans un pays sans adéquation ; (b) une multinationale qui fait circuler des données RH entre ses filiales sur trois continents ; (c) un envoi unique et exceptionnel de données à un partenaire pour une action en justice.

✅ Solution

(a) CCT (module responsable vers sous-traitant) + TIA — deux organismes distincts, transfert récurrent. (b) BCR — flux intragroupe récurrents à l’échelle mondiale, la garantie durable adaptée à un groupe. (c) Dérogation de l’article 49 — cas ponctuel et exceptionnel (constatation d’un droit en justice), à ne pas transformer en pratique permanente.

Exercice 2 — Le TIA oublié. Une équipe a signé les CCT avec un sous-traitant situé dans un pays doté de larges pouvoirs de surveillance, puis a mis le transfert en production sans autre analyse. Où est la faille, et que faut-il ajouter ?

✅ Solution

La faille : pas de TIA. Depuis Schrems II, les CCT ne suffisent pas si le droit local permet aux autorités d’accéder aux données par-dessus le contrat. Il faut réaliser le TIA, conclure sur le risque, et ajouter des mesures supplémentaires — en priorité un chiffrement dont les clés restent dans l’EEE, plus minimisation et pseudonymisation. Si aucune mesure ne rend le risque acceptable, il faut renoncer ou relocaliser dans l’EEE.

Exercice 3 — Dérogation détournée. Un dev propose de faire signer à chaque utilisateur une case « j’accepte le transfert de mes données aux États-Unis » pour fonder tout l’hébergement sur le consentement (art. 49). Bonne idée ?

✅ Solution

Non. Les dérogations de l’article 49 sont exceptionnelles et ponctuelles ; les utiliser comme base permanente d’une infrastructure est un détournement. Pour un hébergement récurrent, la bonne voie est l’adéquation (DPF si le prestataire est certifié) ou les garanties appropriées (CCT + TIA). Le consentement au transfert reste réservé à des cas isolés, avec information claire sur les risques.

🧠 Quiz de révision

1. Que sont les CCT, et qui les a adoptées ?

Les clauses contractuelles types (SCC) : un modèle de contrat pré-approuvé par la Commission européenne, fixé par la décision d’exécution (UE) 2021/914 du 4 juin 2021. Signées entre l’exportateur (EEE) et l’importateur (hors EEE), elles imposent à ce dernier des obligations équivalentes au RGPD. C’est la garantie de l’article 46 la plus utilisée.

2. Quelle est la différence entre CCT et BCR ?

Les CCT encadrent un transfert entre deux organismes distincts (par ex. client et prestataire). Les BCR (Binding Corporate Rules) sont une politique interne contraignante au sein d’un même groupe, approuvée par une autorité, pour les flux intragroupe mondiaux. CCT = rapide et courant ; BCR = lourd mais durable.

3. Pourquoi les CCT ne suffisent-elles plus seules depuis Schrems II ?

Parce que si le droit du pays de destination permet aux autorités d’accéder aux données par-dessus le contrat, les CCT sont vidées de leur effet. Il faut donc une analyse d’impact du transfert (TIA) et, si nécessaire, des mesures supplémentaires. Un contrat ne protège pas contre une loi qui l’ignore.

4. Qu’est-ce qu’un TIA et que fait-on de son résultat ?

Une analyse d’impact du transfert : on cartographie le transfert, on évalue le droit local (protection et recours équivalents ?), puis on conclut. Si le risque est acceptable, on transfère ; sinon, on ajoute des mesures supplémentaires (chiffrement avec clés dans l’EEE, pseudonymisation, minimisation) ou on renonce.

5. Les dérogations de l’article 49 peuvent-elles fonder un transfert permanent ?

Non. Elles sont exceptionnelles et ponctuelles (consentement explicite éclairé, exécution d’un contrat, intérêt public, action en justice…). Les utiliser pour un flux structurel et répétitif — un hébergement, un e-mailing de masse — est un détournement : il faut alors une adéquation ou des garanties appropriées.


Chapitre suivant : Le cloud américain & la souveraineté — pourquoi héberger « en Europe » chez un acteur américain ne clôt pas le débat, et quels repères pour décider.

Last updated on