Tout transfert de données personnelles vers un pays tiers hors Espace économique européen (EEE) est soumis à des conditions strictes prévues au Chapitre V du RGPD (Art. 44-49). Depuis l’arrêt Schrems II de la CJUE du 16 juillet 2020 (C-311/18), qui a invalidé le Privacy Shield UE-US, les organismes doivent évaluer au cas par cas le niveau de protection offert par le pays destinataire. Le transfert de données hors UE RGPD est aujourd’hui l’un des sujets de conformité les plus complexes et les plus contrôlés.
Points Clés
- Aucun transfert de données personnelles hors EEE n’est autorisé sans un mécanisme prévu aux Art. 44-49 RGPD.
- Les décisions d’adéquation de la Commission européenne couvrent actuellement 15 pays et territoires, dont le Japon, le Royaume-Uni et les États-Unis (EU-US Data Privacy Framework, juillet 2023).
- Les clauses contractuelles types (CCT) de la Commission (version juin 2021) sont le mécanisme le plus utilisé, mais exigent une évaluation d’impact du transfert (Transfer Impact Assessment).
- L’arrêt Schrems II impose de vérifier que la législation du pays tiers n’empêche pas le respect des engagements contractuels pris dans les CCT.
- Les sanctions pour transferts illicites sont lourdes : la CNIL a sanctionné Clearview AI de 20 millions d’euros (Délibération n°SAN-2022-019) notamment pour transferts non encadrés.
Le principe : interdiction sauf garantie adéquate
L’Art. 44 RGPD pose le principe : un transfert de données personnelles vers un pays tiers ne peut avoir lieu que si le responsable de traitement ou le sous-traitant respecte les conditions du Chapitre V. Ce régime s’applique à tout transfert, y compris les transmissions vers un sous-traitant cloud hébergé hors EEE.
La notion de « transfert » est large. Elle couvre :
- L’envoi direct de données à un destinataire établi hors EEE
- L’accès à distance depuis un pays tiers (support technique, administration système)
- Le stockage de données sur des serveurs situés hors EEE
- La mise à disposition de données à un prestataire dont la société mère est hors EEE
Mécanisme 1 : les décisions d’adéquation (Art. 45)
La Commission européenne peut constater qu’un pays tiers assure un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE. Un transfert vers un pays bénéficiant d’une décision d’adéquation ne requiert aucune autorisation spécifique.
Pays et territoires couverts (au 1er janvier 2026) : Andorre, Argentine, Canada (organisations commerciales soumises au LPRPDE), îles Féroé, Guernesey, Israël, île de Man, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, Royaume-Uni, Uruguay, États-Unis (EU-US Data Privacy Framework).
Le cas américain : le Data Privacy Framework (DPF), adopté le 10 juillet 2023 (Décision d’exécution C(2023) 4745), permet les transferts vers les entreprises américaines auto-certifiées. Sa solidité juridique reste contestée : l’association NOYB a déjà annoncé son intention de le contester devant la CJUE.
Mécanisme 2 : les clauses contractuelles types (Art. 46(2)©)
Les CCT sont des contrats standardisés adoptés par la Commission européenne qui imposent au destinataire des obligations de protection des données équivalentes au RGPD.
La version en vigueur est celle de la Décision d’exécution (UE) 2021/914 du 4 juin 2021, qui a remplacé les anciennes CCT. Elle prévoit quatre modules :
| Module | Scénario |
|---|---|
| Module 1 | Responsable de traitement vers responsable de traitement |
| Module 2 | Responsable de traitement vers sous-traitant |
| Module 3 | Sous-traitant vers sous-traitant |
| Module 4 | Sous-traitant vers responsable de traitement |
L’évaluation d’impact du transfert (TIA)
Depuis Schrems II, les CCT ne suffisent pas seules. L’organisme exportateur doit réaliser une Transfer Impact Assessment (TIA) pour vérifier que la législation du pays tiers ne compromet pas les protections contractuelles.
La TIA examine :
- Le cadre juridique du pays destinataire (lois de surveillance, accès gouvernemental aux données)
- Les pratiques effectives des autorités locales
- L’existence de mesures supplémentaires techniques (chiffrement de bout en bout, pseudonymisation) ou organisationnelles
- Le volume, la nature et la sensibilité des données transférées
Le CEPD a publié ses Recommandations 01/2020 (version finale adoptée le 18 juin 2021) détaillant la méthodologie de la TIA en six étapes.
Mécanisme 3 : les règles d’entreprise contraignantes (Art. 47)
Les BCR (Binding Corporate Rules) sont des politiques internes adoptées par un groupe d’entreprises pour encadrer les transferts intra-groupe. Elles doivent être approuvées par une autorité de contrôle chef de file.
Les BCR sont particulièrement adaptées aux groupes multinationaux qui transfèrent régulièrement des données entre filiales. Leur procédure d’adoption est longue (12 à 24 mois en moyenne) et coûteuse, ce qui les réserve aux grandes entreprises.
Les dérogations de l’Art. 49
En l’absence de décision d’adéquation ou de garanties appropriées, l’Art. 49 RGPD prévoit des dérogations pour des situations spécifiques :
- Consentement explicite de la personne concernée, après information sur les risques (Art. 49(1)(a))
- Nécessité contractuelle : exécution d’un contrat entre la personne et le responsable de traitement (Art. 49(1)(b))
- Motifs importants d’intérêt public reconnus par le droit de l’Union ou d’un État membre (Art. 49(1)(d))
- Constatation, exercice ou défense de droits en justice (Art. 49(1)(e))
- Intérêts vitaux de la personne ou d’une autre personne (Art. 49(1)(f))
Le CEPD (Lignes directrices 2/2018) insiste : ces dérogations sont d’interprétation stricte et ne peuvent pas servir de base pour des transferts réguliers ou massifs.
Post-Schrems II : les mesures supplémentaires
L’arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18) a imposé un changement de paradigme. Les mesures supplémentaires recommandées par le CEPD incluent :
Mesures techniques :
- Chiffrement de bout en bout avec clés détenues exclusivement par l’exportateur
- Pseudonymisation avec table de correspondance conservée dans l’EEE
- Split processing : traitement distribué empêchant l’accès aux données en clair depuis le pays tiers
Mesures organisationnelles :
- Politiques internes de gestion des demandes d’accès gouvernementales
- Audit régulier des pratiques du sous-traitant
- Obligation de notification en cas de demande d’accès par une autorité du pays tiers
Mesures contractuelles :
- Engagement de contester toute demande d’accès disproportionnée
- Obligation de transparence sur les demandes reçues
- Droit de l’exportateur de suspendre ou résilier le transfert
Legiscope automatise l’inventaire des transferts hors EEE en analysant les contrats de sous-traitance et les flux techniques, et génère les TIA selon la méthodologie du CEPD.
Sanctions et jurisprudence
CNIL, Délibération n°SAN-2022-019 du 17 octobre 2022 : Clearview AI a été sanctionnée de 20 millions d’euros pour collecte et utilisation illicites de données biométriques, incluant des transferts vers les États-Unis sans base juridique.
DPC (Irlande), septembre 2023 : TikTok a reçu une amende de 345 millions d’euros pour des manquements relatifs aux transferts de données d’enfants européens vers la Chine, sans garanties adéquates.
CNIL, mise en demeure du 10 février 2022 : la CNIL a mis en demeure un gestionnaire de site web d’arrêter d’utiliser Google Analytics en raison du transfert de données vers les États-Unis sans garanties suffisantes, en application directe de Schrems II.
FAQ
Le Data Privacy Framework est-il fiable pour les transferts vers les États-Unis ?
Le DPF est juridiquement valide depuis juillet 2023. Toutefois, sa pérennité est incertaine — le Privacy Shield précédent a été invalidé en 2020 après seulement quatre ans. En pratique, les organismes doivent vérifier que leur partenaire américain est bien certifié DPF et anticiper le scénario d’une éventuelle invalidation en ayant des CCT en place comme filet de sécurité.
Que se passe-t-il si un sous-traitant cloud stocke des données hors EEE sans mon accord ?
Le responsable de traitement reste responsable. L’Art. 28 RGPD impose que le sous-traitant ne traite les données que sur instruction documentée du responsable. Un sous-traitant qui transfère des données hors EEE sans autorisation viole le contrat de sous-traitance et le RGPD. Le responsable de traitement doit auditer régulièrement les lieux de stockage effectifs.
Les CCT de 2021 remplacent-elles automatiquement les anciennes ?
Les anciennes CCT (Décisions 2001/497/CE et 2010/87/UE) ne peuvent plus être utilisées pour de nouveaux contrats depuis le 27 septembre 2021. Les contrats existants devaient être mis à jour avant le 27 décembre 2022. Tout contrat utilisant encore les anciennes CCT est en infraction.
Un transfert vers le Royaume-Uni nécessite-t-il des CCT ?
Non, tant que la décision d’adéquation du 28 juin 2021 reste en vigueur. Cette décision expire en juin 2025 sauf renouvellement. La Commission européenne a confirmé en 2025 la prolongation de l’adéquation du Royaume-Uni. Les organismes doivent néanmoins surveiller l’évolution de la législation britannique post-Brexit.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
