Vous utilisez un logiciel SaaS hébergé aux États-Unis ? Votre prestataire est basé en Inde ? Et ce fournisseur britannique, est-il vraiment “européen” ?
Stop. Le transfert de données hors UE, c’est l’un des sujets les plus risqués du RGPD… et aussi l’un des plus mal compris.
DPO, responsable traitement, dirigeant : ce guide vous donne les bons réflexes. Articles 44 à 50 du RGPD, mécanismes de transfert, cas concrets, checklist métier : tout y est.
🌍 Êtes-vous conforme RGPD pour vos transferts de données hors UE ?
Transférer des données hors UE : un sujet à haut risque
Pourquoi c’est un enjeu majeur ?
Le RGPD impose que toute donnée personnelle bénéficie du même niveau de protection, peu importe où elle circule dans le monde.
Donc dès que vous transférez une donnée hors UE, vous devez garantir que le pays destinataire respecte aussi ces exigences.
Sans ça, vous risquez :
- Des sanctions administratives par la CNIL
- Une rupture de confiance avec vos clients ou partenaires
- Des litiges si les droits des personnes ne sont pas respectés
Qui est concerné ?
Vous êtes concerné si :
- Vous utilisez un logiciel dont les serveurs sont aux USA ou en Asie
- Vos équipes envoient des données à une filiale hors Europe
- Vous faites appel à un prestataire basé hors EEE
- Vous avez un cloud souverain… sauf que le support est au Maroc
➡️ Le simple fait qu’un prestataire ou outil accède aux données depuis l’étranger suffit à parler de transfert au sens du RGPD.
Articles 44 à 50 RGPD : ce que vous devez retenir
Ces 7 articles sont souvent cités… mais rarement bien compris.
Voici un résumé métier, à l’usage des opérationnels.
| Article | Contenu résumé | À retenir |
|---|---|---|
| 44 | Principe général | Tout transfert hors UE doit être encadré |
| 45 | Décision d’adéquation | Transfert libre vers les pays “sûrs” |
| 46 | Garanties appropriées | SCC, BCR, code de conduite, certification |
| 47 | BCR | Pour groupes multinationaux |
| 48 | Règlementation étrangère | Une autorité hors UE ne suffit pas |
| 49 | Dérogations | Cas exceptionnels (consentement, contrat) |
| 50 | Coopération internationale | Peu utilisé au quotidien |
💡 À retenir : pas de garantie = pas de transfert licite.
Quels pays sont “compatibles RGPD” ?
Qu’est-ce qu’une décision d’adéquation ?
Il s’agit d’une décision prise par la Commission européenne, après analyse du droit local et de la pratique.
Si un pays est jugé “adéquat”, vous pouvez y transférer des données sans formalité supplémentaire.
Liste à jour des pays “RGPD-compatibles”
- 🇬🇧 Royaume-Uni
- 🇨🇦 Canada (secteur privé)
- 🇯🇵 Japon
- 🇮🇱 Israël
- 🇰🇷 Corée du Sud
- 🇺🇾 Uruguay
- 🇳🇿 Nouvelle-Zélande
- 🇨🇱 Chili
- 🇺🇸 États-Unis (seulement pour les entreprises certifiées DPF)
Attention : la Data Privacy Framework (successeur du Privacy Shield) ne couvre pas toutes les entreprises américaines.
Pour les autres pays : 3 mécanismes de conformité
1. Clauses contractuelles types (SCC)
C’est le mécanisme par défaut pour encadrer les transferts vers les pays sans décision d’adéquation.
- Modèles fournis par la Commission
- Doivent être signées entre l’exportateur (vous) et l’importateur (prestataire)
- À compléter et contextualiser selon les traitements
💡 En plus : souvent, il faut une TIA (Transfer Impact Assessment) → c’est une analyse de risque sur le pays destinataire.
2. Règles d’entreprise contraignantes (BCR)
Utilisé par les groupes internationaux pour encadrer les transferts intra-groupe.
- Nécessite l’autorisation préalable de la CNIL
- Structure interne + codes de conduite + processus détaillés
- Long, mais durable et reconnu dans toute l’UE
3. Dérogations exceptionnelles (article 49)
Utilisables dans quelques cas très encadrés :
- Consentement explicite et informed
- Nécessité contractuelle
- Intérêt public important
⚠️ La CNIL surveille leur usage abusif → elles ne doivent jamais devenir la règle.
Résumé comparatif
| Mécanisme | Avantages | Limites |
|---|---|---|
| SCC | Rapide, clair, reconnu | Ne suffit pas seul : TIA souvent requise |
| BCR | Robuste, internalisé | Complexe à mettre en place |
| Dérogation | Simple en apparence | Risqué et limité juridiquement |
Comment se mettre en conformité
Vous avez identifié des transferts hors UE dans votre activité ?
Bonne nouvelle : il existe deux stratégies pour assurer votre conformité RGPD. L’une demande de l’huile de coude, l’autre de déléguer à des pros. À vous de choisir selon vos ressources et vos priorités.
Option 1 – Tout faire en interne
✅ Recommandé si :
- Vous disposez d’un DPO en interne formé aux transferts internationaux
- Vous avez accès à une ressource juridique (juriste, avocat, ou cabinet)
- Vos traitements sont limités ou simples à encadrer (ex : 1 ou 2 prestataires hors UE)
Ce que vous devrez faire :
- Rédiger ou adapter les clauses contractuelles types (SCC) pour chaque transfert
- Réaliser une TIA (Transfer Impact Assessment) pour chaque pays concerné
- Suivre les mises à jour de la CNIL et de la Commission Européenne
- Gérer la documentation (registre, contrats, politiques internes)
- Mettre en place un plan de contrôle régulier (veille juridique, audits)
⚠️ Attention aux écueils fréquents :
- Oubli d’un transfert indirect via un outil tiers (Google Tag Manager, Stripe, etc.)
- Clauses copiées-collées sans adaptation au traitement réel
- Absence de TIA ou d’analyse de risque documentée
- Clauses obsolètes (ex : anciennes SCC de 2010 encore utilisées)
💡 Astuce : utilisez un outil de gouvernance RGPD (OneTrust, Data Legal Drive, Captain DPO…) pour centraliser les tâches et générer les documents.
Option 2 – Externaliser (et dormir tranquille)
✅ Idéal si :
- Vous avez peu ou pas de ressource RGPD en interne
- Vous gérez plusieurs transferts sensibles (cloud, SaaS US, partenaires offshore)
- Vous recherchez un regard expert, un gain de temps ou une couverture juridique claire
Ce que vous pouvez externaliser :
- Rédaction des clauses SCC et ajustements contractuels
- Réalisation des TIA, DPIA, documentation juridique
- Analyse des risques pays et recommandations pratiques
- Suivi des évolutions juridiques et gestion proactive
- Mission de DPO externalisé (en veille + opérationnel)
Prestataires possibles :
- Cabinets spécialisés RGPD
- Juristes freelance / avocats
- Solutions DPO externalisé + accompagnement sur-mesure
💡 Bonus : certains prestataires proposent des abonnements mensuels incluant veille, assistance juridique et audits réguliers.
Notre conseil :
Si vous êtes une PME ou une scale-up avec des flux internationaux complexes → externalisez sans hésiter.
Si vous avez une base solide, commencez en interne, puis faites valider par un pro.
Conclusion : le RGPD n’interdit pas, il exige la maîtrise
Le RGPD autorise les entreprises à transférer des données hors UE, sous conditions.
C’est possible, mais encadré.
En tant que DPO, responsable traitement ou dirigeant, vous êtes légalement responsable de ces transferts.
FAQ – Les questions fréquentes
Comment savoir si je fais un transfert de données hors UE… sans le vouloir ?
👉 Un transfert peut avoir lieu à votre insu, dès qu’un outil ou un prestataire traite vos données depuis un pays tiers.
Exemples concrets : un plugin WordPress qui se connecte à une API hébergée aux États-Unis, un support technique en Tunisie qui lit des tickets clients, ou un outil de signature électronique avec des serveurs en Inde.
Astuce : cartographiez vos flux de données avec une logique de « localisation réelle du traitement », pas juste la nationalité de l’entreprise.
Mon fournisseur me dit que “tout est sécurisé”. Est-ce suffisant ?
🔒 Non. La sécurité technique ne suffit pas si le droit local permet à une autorité d’accéder aux données.
C’est l’un des enseignements majeurs de l’arrêt Schrems II.
Concrètement, même si les données sont chiffrées, la loi américaine (FISA 702, Executive Order 12333) peut forcer un fournisseur à collaborer avec les services de renseignement.
Ce qu’il vous faut ? Une garantie juridique, pas juste une promesse technique.
Est-ce risqué d’utiliser des outils US si je suis une PME ou une association ?
💡 Oui, et encore plus si vous n’avez pas de DPO ni de budget juridique.
Même une association locale qui utilise Mailchimp, Google Forms ou Trello transfère des données hors UE. Le RGPD ne fait aucune exception de taille ou de statut.
Et si un citoyen se plaint ? La CNIL peut enquêter… et des sanctions symboliques deviennent des précédents publics.
Existe-t-il des alternatives européennes à ces outils pour éviter les transferts ?
✅ Oui, et certaines sont matures. Voici quelques équivalents RGPD-friendly :
| Usage | Alternative 🇪🇺 RGPD |
|---|---|
| Emailing | Mailjet, Brevo (ex Sendinblue) |
| Formulaires | Tally, Framaforms |
| CRM | Axonaut, noCRM.io |
| Stockage Cloud | pCloud (Suisse), Oodrive |
| Signature électronique | Yousign, Universign |
La Data Privacy Framework (DPF) est-elle fiable ou temporaire ?
⚠️ Elle est déjà juridiquement fragile.
Plusieurs organisations, comme NOYB de Max Schrems, ont déjà engagé des recours, et la DPF risque d’être invalidée comme le furent le Safe Harbor (2015) et le Privacy Shield (2020).
➡️ Ne basez jamais toute votre conformité sur la DPF : ajoutez TIA + clauses contractuelles types, au minimum.
Comment auditer mes transferts en 30 minutes chrono ?
Voici une checklist express, testée en mission RGPD :
Identifiez tous vos outils numériques → via factures, extensions, emails.
Pour chaque outil, demandez :
→ Où sont hébergés les serveurs ?
→ Qui accède aux données ?
→ Quel droit s’applique au fournisseur ?
Classez les transferts en 3 niveaux :
🔵 Sans risque (EEE), 🟠 Sous conditions (pays avec garanties), 🔴 À risque (hors garanties).
Vérifiez que votre organisation a bien signé des SCC et réalisé une TIA disponible en documentation.
Si 🔴 = enclenchez soit un remplacement, soit une analyse complète.
Résultat : vous avez une cartographie claire pour documenter ou corriger.
