Transferts internationaux de données RGPD : CCT et décisions d'adéquation

Les transferts internationaux de données personnelles hors de l’Espace économique européen (EEE) sont soumis au chapitre V du RGPD (Art. 44 à 49). Depuis l’arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020), qui a invalidé le Privacy Shield UE-États-Unis, les organismes français doivent redoubler de vigilance. La CNIL a été l’une des premières autorités européennes à sanctionner l’utilisation de Google Analytics pour transfert illicite de données vers les États-Unis. Ce guide détaille les mécanismes de transfert conformes et les sanctions encourues.

Points Clés

• Tout transfert de données personnelles hors EEE doit reposer sur l’un des mécanismes prévus par le chapitre V du RGPD (Art. 44 à 49).
• Les décisions d’adéquation (Art. 45) permettent un transfert libre vers les pays reconnus : Japon, Suisse, Royaume-Uni, Corée du Sud, et depuis juillet 2023, les États-Unis (Data Privacy Framework).
• En l’absence de décision d’adéquation, les clauses contractuelles types (CCT) adoptées par la Commission européenne (Décision 2021/914) sont le mécanisme le plus utilisé.
• L’arrêt Schrems II exige une analyse d’impact du transfert (Transfer Impact Assessment, TIA) pour tout transfert basé sur les CCT.
• La CNIL a infligé 150 millions d’euros à Google (Délibération n°SAN-2021-023, décembre 2021) et 60 millions d’euros à Facebook (Délibération n°SAN-2021-024) pour manquements liés aux cookies, incluant des transferts de données vers les États-Unis.

Le cadre juridique : Art. 44 à 49 RGPD

Le principe fondamental est posé par l’Art. 44 RGPD : un transfert de données vers un pays tiers ne peut avoir lieu que si le responsable de traitement ou le sous-traitant respecte les conditions du chapitre V. Trois mécanismes principaux sont prévus.

Décisions d’adéquation (Art. 45 RGPD)

La Commission européenne peut constater qu’un pays tiers assure un niveau de protection adéquat. Les transferts vers ces pays sont alors traités comme des transferts intra-EEE, sans formalité supplémentaire.

Les pays bénéficiant d’une décision d’adéquation à la date de rédaction de cet article :

• Andorre, Argentine, Canada (secteur commercial), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, Corée du Sud, Suisse, Royaume-Uni, Uruguay.
• États-Unis : depuis juillet 2023, le Data Privacy Framework (DPF) accorde une adéquation pour les organismes américains certifiés. Sa stabilité reste incertaine : une contestation judiciaire (« Schrems III ») est attendue.

Garanties appropriées (Art. 46 RGPD)

En l’absence de décision d’adéquation, le responsable de traitement doit mettre en place des garanties appropriées. Les principales sont :

Clauses contractuelles types (CCT) : adoptées par la Commission européenne (Décision d’exécution 2021/914 du 4 juin 2021), les nouvelles CCT remplacent les anciennes clauses depuis le 27 décembre 2022. Elles couvrent quatre scénarios : responsable de traitement vers responsable de traitement (Module 1), responsable de traitement vers sous-traitant (Module 2), sous-traitant vers sous-traitant (Module 3), sous-traitant vers responsable de traitement (Module 4).

Règles d’entreprise contraignantes (BCR) : approuvées par l’autorité de contrôle chef de file, elles permettent les transferts au sein d’un groupe multinational. Le processus d’approbation est long (12 à 18 mois) et coûteux, ce qui les réserve aux grandes entreprises.

Codes de conduite et certifications (Art. 46(2)(e) et (f)) : encore peu utilisés en pratique, ils offrent un cadre sectoriel pour les transferts.

Dérogations (Art. 49 RGPD)

En l’absence de décision d’adéquation et de garanties appropriées, l’Art. 49 prévoit des dérogations pour des situations spécifiques : consentement explicite, nécessité contractuelle, motifs importants d’intérêt public, constatation ou exercice de droits en justice. Ces dérogations doivent rester exceptionnelles et ne peuvent pas servir de base à des transferts systématiques.

L’arrêt Schrems II et ses conséquences

L’arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020) a bouleversé le cadre des transferts vers les États-Unis en invalidant le Privacy Shield et en posant des exigences renforcées pour l’utilisation des CCT.

La CJUE a jugé que :

1. Le Privacy Shield n’offrait pas un niveau de protection adéquat au regard de la surveillance de masse américaine (Section 702 FISA, Executive Order 12333).
2. Les CCT restent valides en principe, mais le responsable de traitement doit vérifier, au cas par cas, que la législation du pays destinataire n’empêche pas le respect effectif des garanties contractuelles.
3. Des mesures supplémentaires (techniques, organisationnelles ou contractuelles) peuvent être nécessaires pour combler les lacunes identifiées.

Le CEPD a publié ses Recommandations 01/2020 détaillant la méthodologie pour réaliser une Transfer Impact Assessment (TIA) et les mesures supplémentaires envisageables : chiffrement de bout en bout, pseudonymisation avant transfert, hébergement sur des serveurs européens.

L’affaire Google Analytics en France

L’affaire Google Analytics illustre parfaitement l’application concrète de Schrems II en France.

CNIL, mises en demeure de février 2022 : la CNIL a constaté que plusieurs gestionnaires de sites français utilisaient Google Analytics dans sa configuration standard, ce qui impliquait le transfert d’adresses IP et d’identifiants uniques de visiteurs vers les serveurs de Google aux États-Unis. La CNIL a jugé que :

• Les données transférées (dont les adresses IP, qualifiées de données personnelles) constituaient un transfert au sens de l’Art. 44 RGPD.
• Le Privacy Shield ayant été invalidé, et Google se fondant uniquement sur les CCT, le transfert était illégal en l’absence de mesures supplémentaires efficaces.
• Le chiffrement proposé par Google était insuffisant car Google détenait les clés de chiffrement, ce qui ne protégeait pas les données contre les demandes d’accès des autorités américaines.

Cette décision a conduit de nombreuses organisations françaises à migrer vers des solutions d’analytique européennes (Matomo, Piano Analytics) ou à mettre en place un proxy de données conforme.

Sanctions pour transferts illicites

DPC (Irlande), 12 mai 2023 : la Data Protection Commission irlandaise a infligé une amende record de 1,2 milliard d’euros à Meta (Facebook) pour avoir transféré les données de millions d’utilisateurs européens vers les États-Unis en violation du chapitre V du RGPD, en se fondant sur des CCT sans mesures supplémentaires efficaces.

DPC (Irlande), 2 mai 2025 : TikTok a été condamné à 530 millions d’euros pour transfert de données d’utilisateurs de l’EEE vers la Chine sans garanties adéquates, un cas qui soulevait également des questions de limitation des finalités.

CNIL, Délibération n°SAN-2021-023, 31 décembre 2021 : Google a été sanctionné de 150 millions d’euros pour manquements liés aux cookies et aux transferts de données associés.

AEPD (Espagne), 2021 : CaixaBank a reçu une amende de 6 millions d’euros incluant des manquements relatifs aux transferts de données vers des prestataires hors EEE.

Checklist de conformité pour les transferts internationaux

1. Cartographier les flux : identifier tous les transferts de données hors EEE, y compris les accès distants, les services cloud, les sous-traitants.
2. Vérifier le pays destinataire : existe-t-il une décision d’adéquation en vigueur ?
3. Choisir le mécanisme : CCT (le plus courant), BCR (groupes multinationaux), ou dérogation Art. 49 (exceptionnel).
4. Réaliser une TIA : évaluer la législation du pays destinataire et son impact sur la protection effective des données.
5. Mettre en place des mesures supplémentaires : chiffrement, pseudonymisation, clauses contractuelles renforcées.
6. Documenter : conserver la TIA, les CCT signées et les preuves de mesures supplémentaires dans le registre des traitements.
7. Réexaminer périodiquement : la situation juridique des pays tiers évolue. Un audit RGPD annuel des transferts est recommandé.

FAQ

Les CCT suffisent-elles à elles seules pour un transfert vers les États-Unis ?

Non. Depuis l’arrêt Schrems II, les CCT ne suffisent pas si la législation du pays destinataire empêche le respect effectif des garanties. Pour les États-Unis, si le destinataire est certifié au titre du Data Privacy Framework (DPF), le transfert repose sur la décision d’adéquation. Sinon, les CCT doivent être complétées par des mesures supplémentaires (chiffrement, pseudonymisation) après une TIA documentée.

Qu’est-ce qu’une Transfer Impact Assessment (TIA) ?

C’est l’évaluation, exigée par l’arrêt Schrems II et les recommandations CEPD 01/2020, de la législation du pays destinataire et de son impact sur les garanties contractuelles. Elle comprend : l’analyse des lois de surveillance, l’évaluation de l’accès des autorités publiques aux données, et la détermination des mesures supplémentaires nécessaires.

Le Data Privacy Framework UE-États-Unis est-il stable ?

La Commission européenne a adopté le DPF en juillet 2023. Toutefois, le Tribunal de l’UE a rejeté un recours en 2025, et Max Schrems a annoncé préparer un nouveau recours (« Schrems III »). La stabilité à long terme reste incertaine. Les organismes sont invités à préparer des plans de contingence au cas où le DPF serait invalidé.

Comment la CNIL contrôle-t-elle les transferts de données ?

La CNIL vérifie les transferts dans le cadre de ses contrôles réguliers et thématiques. Elle peut ordonner la suspension d’un transfert non conforme (Art. 58(2)(j) RGPD). En 2022, elle a ciblé spécifiquement Google Analytics et a publié des recommandations pour les alternatives conformes. Le CEPD coordonne également des actions de contrôle transfrontalières sur les transferts.