Votre CRM est hébergé aux États-Unis, votre prestataire d’emailing opère depuis le Canada, et votre outil d’analytics envoie des données en Israël. Chacun de ces flux constitue un transfert de données hors de l’Union européenne — et chacun exige un mécanisme juridique conforme au RGPD. Dans mon expérience de conseil, c’est l’un des sujets où les erreurs sont les plus fréquentes : beaucoup d’entreprises transfèrent des données hors UE sans même en avoir conscience.

Qu’est-ce qu’un transfert de données hors UE au sens du RGPD ?

Le RGPD ne définit pas formellement la notion de « transfert » dans son texte. Cependant, le Comité européen de la protection des données (CEPD) a précisé dans ses lignes directrices 05/2021 trois critères cumulatifs pour identifier un transfert international :

• Un responsable de traitement ou sous-traitant (exportateur) est soumis au RGPD pour le traitement en question
• L’exportateur communique des données personnelles à un autre responsable ou sous-traitant (importateur)
• L’importateur se trouve dans un pays tiers ou est une organisation internationale

Concrètement, dès que des données personnelles quittent l’Espace économique européen (EEE) — les 27 États membres de l’UE plus l’Islande, le Liechtenstein et la Norvège — le chapitre V du RGPD (articles 44 à 50) s’applique.

Le simple fait d’utiliser un sous-traitant établi hors de l’EEE, ou d’autoriser un accès distant depuis un pays tiers, constitue un transfert. Cela inclut des situations très courantes : hébergement cloud aux États-Unis, support technique depuis l’Inde, ou encore utilisation d’un SaaS dont les serveurs sont au Canada.

Les décisions d’adéquation : le mécanisme le plus simple

Le premier mécanisme prévu par l’Art. 45 du RGPD est la décision d’adéquation. La Commission européenne constate qu’un pays tiers offre un niveau de protection des données « essentiellement équivalent » à celui de l’UE. Dans ce cas, les transferts vers ce pays sont autorisés sans garantie supplémentaire.

Liste des pays bénéficiant d’une décision d’adéquation (avril 2026)

À ce jour, les pays et territoires suivants bénéficient d’une décision d’adéquation :

Andorre, Argentine, Canada (pour les traitements soumis à la LPRPDE), États-Unis (Data Privacy Framework, depuis juillet 2023), Guernesey, Île de Man, Îles Féroé, Israël, Japon, Jersey, Nouvelle-Zélande, Royaume-Uni (décision prolongée jusqu’en juin 2025, puis renouvelée), Corée du Sud, Suisse, Uruguay et Brésil (depuis janvier 2026).

Ce qu’il faut savoir sur le Data Privacy Framework

Le cadre transatlantique EU-US Data Privacy Framework, adopté le 10 juillet 2023, remplace le Privacy Shield invalidé par l’arrêt Schrems II de la CJUE en 2020. Il ne couvre que les entreprises américaines auto-certifiées auprès du Department of Commerce. Si votre prestataire américain n’est pas inscrit sur la liste DPF, la décision d’adéquation ne s’applique pas, et vous devez recourir à un autre mécanisme — typiquement les clauses contractuelles types.

La pérennité de ce cadre reste incertaine. L’organisation NOYB a déjà contesté cette décision, et un « Schrems III » n’est pas exclu. Il est recommandé de documenter votre analyse et de prévoir un plan B en cas d’invalidation.

Les clauses contractuelles types (CCT) : le mécanisme le plus utilisé

En l’absence de décision d’adéquation, l’Art. 46(2)© du RGPD prévoit les clauses contractuelles types adoptées par la Commission européenne. C’est le mécanisme utilisé dans la grande majorité des transferts internationaux.

Les CCT actuellement en vigueur sont celles adoptées par la décision d’exécution 2021/914 du 4 juin 2021. Elles couvrent quatre scénarios :

• Module 1 : responsable de traitement → responsable de traitement
• Module 2 : responsable de traitement → sous-traitant (le cas le plus fréquent)
• Module 3 : sous-traitant → sous-traitant
• Module 4 : sous-traitant → responsable de traitement

Obligations pratiques avec les CCT

L’utilisation des CCT ne se limite pas à les signer. L’exportateur doit :

1. Réaliser une analyse d’impact du transfert (AITD) — évaluer si la législation du pays de destination permet à l’importateur de respecter ses obligations au titre des CCT. La CNIL a publié la version finale de son guide AITD en 2024.
2. Mettre en place des mesures supplémentaires si l’AITD révèle des risques — chiffrement en transit et au repos avec gestion des clés en Europe, pseudonymisation, accès strictement limité.
3. Documenter l’ensemble dans le registre des traitements en précisant le mécanisme de transfert utilisé.
4. Intégrer les CCT dans le contrat de sous-traitance prévu par l’Art. 28 du RGPD.

L’analyse d’impact du transfert (AITD) : une étape obligatoire

L’AITD est requise pour tout transfert fondé sur les outils de l’Art. 46 du RGPD (CCT, BCR, codes de conduite). Elle n’est pas requise lorsqu’une décision d’adéquation couvre le pays de destination, ni pour les dérogations de l’Art. 49.

L’AITD doit évaluer concrètement si les autorités du pays de destination peuvent accéder aux données transférées de manière disproportionnée. Ayant travaillé sur de nombreuses AITD dans le cadre de mes missions de conseil, je constate que c’est souvent l’étape la plus délicate : évaluer la législation sur la surveillance d’un pays tiers exige une analyse juridique approfondie.

La CNIL recommande de prendre en compte la législation applicable à l’importateur (lois sur la surveillance, obligations de divulgation aux autorités), les pratiques effectives des autorités du pays tiers, les mesures contractuelles et techniques mises en place et l’expérience pratique de l’importateur (a-t-il déjà reçu des demandes d’accès ?).

Les règles d’entreprise contraignantes (BCR)

Les BCR, prévues par l’Art. 47 du RGPD, sont un mécanisme réservé aux groupes d’entreprises multinationaux. Elles permettent d’encadrer les transferts intra-groupe vers des entités situées hors de l’EEE.

L’avantage est structurel : une fois approuvées par l’autorité de contrôle chef de file (en France, la CNIL), les BCR couvrent l’ensemble des transferts intra-groupe sans avoir à négocier des CCT avec chaque entité. En revanche, leur mise en place est lourde : comptez 12 à 24 mois et des coûts significatifs (souvent entre 200 000 € et 500 000 €). Ce mécanisme concerne principalement les grandes entreprises et ETI internationales.

Le CEPD distingue deux types de BCR : les BCR-C (pour les responsables de traitement) et les BCR-P (pour les sous-traitants). Chacun exige un contenu minimum détaillé à l’Art. 47(2) du RGPD.

Les dérogations de l’Art. 49 : un usage strictement encadré

L’Art. 49 du RGPD prévoit des dérogations permettant des transferts en l’absence de décision d’adéquation ou de garanties appropriées. Mais attention : ces dérogations sont d’interprétation stricte et ne doivent pas devenir la règle.

Les principales dérogations sont :

• Consentement explicite (Art. 49(1)(a)) — La personne concernée a donné son consentement après avoir été informée des risques. Ce consentement doit être spécifique au transfert, pas noyé dans des CGU générales.
• Exécution d’un contrat (Art. 49(1)(b)) — Le transfert est nécessaire à l’exécution d’un contrat entre la personne et le responsable de traitement. Exemple : réserver un hôtel à l’étranger implique de transférer vos données à l’établissement.
• Motifs importants d’intérêt public (Art. 49(1)(d)) — Reconnus par le droit de l’UE ou d’un État membre.
• Défense de droits en justice (Art. 49(1)(e)).
• Intérêts vitaux (Art. 49(1)(f)) — Lorsque la personne est physiquement ou juridiquement incapable de donner son consentement.

Le CEPD a clairement indiqué dans ses lignes directrices 2/2018 que ces dérogations ne peuvent pas servir de base à des transferts systématiques et répétés. Si vous transférez quotidiennement des données vers un pays sans décision d’adéquation, les CCT ou les BCR restent indispensables.

Comment identifier vos transferts hors UE

En pratique, de nombreuses entreprises ne réalisent pas qu’elles effectuent des transferts internationaux. Voici une méthodologie simple pour les identifier :

Cartographiez vos prestataires. Listez tous vos sous-traitants et vérifiez le pays d’hébergement de leurs serveurs. Un prestataire français peut très bien héberger ses données aux États-Unis — c’est le lieu de traitement qui compte, pas le siège social.

Vérifiez les accès distants. Si un prestataire de support technique basé au Maroc accède à vos données depuis Casablanca, c’est un transfert hors UE, même si les serveurs sont en France.

Auditez votre site web. Les outils d’analytics, les pixels publicitaires, les CDN : chacun peut constituer un transfert. Le sujet Google Analytics a fait l’objet de multiples décisions des autorités européennes depuis 2022.

Documentez dans le registre. Pour chaque traitement impliquant un transfert, le registre doit mentionner le pays de destination, le mécanisme de transfert utilisé et les garanties mises en place (Art. 30(1)(e) du RGPD).

Sanctions en cas de non-conformité

Les transferts non conformes exposent à des sanctions significatives. L’Art. 83(5)© du RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Meta a été condamnée à 1,2 milliard d’euros en mai 2023 par l’autorité irlandaise (DPC) pour avoir transféré des données d’utilisateurs européens vers les États-Unis sans mécanisme adéquat après l’invalidation du Privacy Shield. C’est l’amende la plus élevée jamais prononcée au titre du RGPD.

Au-delà des sanctions financières, l’autorité de contrôle peut ordonner la suspension immédiate des transferts — ce qui, concrètement, peut paralyser votre activité si vos outils critiques sont hébergés hors de l’EEE.

Ce qu’il faut retenir

• Tout transfert de données personnelles hors de l’EEE doit reposer sur un mécanisme juridique prévu par le chapitre V du RGPD (Art. 44 à 50)
• Les décisions d’adéquation (Art. 45) offrent le cadre le plus simple — 16 pays et territoires sont actuellement couverts, dont les États-Unis via le Data Privacy Framework
• Les clauses contractuelles types (Art. 46) sont le mécanisme le plus courant et exigent une analyse d’impact du transfert (AITD) préalable
• Les dérogations de l’Art. 49 ne peuvent couvrir que des transferts occasionnels, jamais des flux systématiques
• Identifiez et documentez tous vos transferts dans votre registre des traitements — les transferts « invisibles » (SaaS, analytics, support distant) sont les plus risqués

FAQ

Puis-je continuer à transférer des données vers les États-Unis ?

Oui, à condition que votre prestataire américain soit certifié au titre du Data Privacy Framework (DPF). Vérifiez sur le site dataprivacyframework.gov. Si le prestataire n’est pas certifié, vous devez mettre en place des CCT avec une AITD. Il est également prudent de prévoir un plan B en cas d’invalidation du DPF.

Les CCT suffisent-elles à elles seules pour un transfert hors UE ?

Non, pas nécessairement. Depuis l’arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18), il est obligatoire de réaliser une AITD pour vérifier que la législation du pays de destination ne prive pas les CCT de leur effet utile. Si c’est le cas, des mesures supplémentaires (chiffrement, pseudonymisation) doivent être mises en place.

Mon sous-traitant est en France mais héberge les données aux États-Unis. Est-ce un transfert hors UE ?

Oui. Le critère déterminant est le lieu où les données sont effectivement traitées ou stockées, pas le siège social du prestataire. Un hébergement sur des serveurs américains constitue un transfert hors UE qui doit être encadré par un mécanisme du chapitre V.

Les BCR sont-elles réservées aux grandes entreprises ?

En pratique oui, compte tenu de leur coût et de leur complexité de mise en place (12 à 24 mois, plusieurs centaines de milliers d’euros). Les PME et ETI privilégient généralement les CCT, plus rapides et moins coûteuses à déployer. Les BCR sont pertinentes pour les groupes internationaux réalisant de nombreux transferts intra-groupe récurrents.