Transfert hors UE : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le transfert de données hors UE désigne, au sens du RGPD, toute communication ou mise à disposition de données à caractère personnel à un destinataire situé dans un pays tiers à l'Union européenne ou à une organisation internationale.

Le transfert de données hors UE désigne, au sens du RGPD, toute communication ou mise à disposition de données à caractère personnel à un destinataire situé dans un pays tiers à l'Union européenne ou à une organisation internationale. Le chapitre V du Règlement (UE) 2016/679 (articles 44 à 50) organise un régime strict qui conditionne ces transferts à l'existence de garanties appropriées, afin de prévenir le contournement du niveau de protection européen.

L'enjeu pratique des transferts hors UE est devenu central avec la mondialisation des services numériques. La majorité des entreprises européennes utilise des outils ou des sous-traitants établis aux États-Unis (cloud, CRM, analytique, communication), au Royaume-Uni post-Brexit, en Inde, en Chine ou dans d'autres juridictions. Chaque transfert doit reposer sur l'un des mécanismes prévus par le règlement, faute de quoi il encourt l'illicéité.

L'arrêt CJUE Schrems II du 16 juillet 2020 (C-311/18) a profondément redessiné le paysage des transferts internationaux. La Cour a invalidé le Privacy Shield entre l'UE et les États-Unis et imposé aux responsables de traitement des mesures supplémentaires lorsque les garanties contractuelles ne suffisent pas à atteindre un niveau de protection équivalent à celui de l'UE. Cette jurisprudence a déclenché une refonte massive des architectures contractuelles et techniques des transferts internationaux.

Vous souhaitez sécuriser vos transferts internationaux de données ? Le Cabinet Aurore Bonavia accompagne les organisations dans l'analyse juridique et la sécurisation de leurs transferts hors UE. → Voir l'accompagnement en droit du numérique

Le principe d'interdiction des transferts non sécurisés

L'article 44 du RGPD pose le principe d'interdiction des transferts non sécurisés :

« Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. »

Cette disposition impose plusieurs exigences cumulatives :

  • l'identification précise du transfert, du destinataire (responsable de traitement, sous-traitant, groupe d'entreprises) et du pays de destination ;
  • la vérification de l'existence d'un mécanisme juridique applicable parmi ceux limitativement prévus par le chapitre V ;
  • la continuation des garanties pour les transferts ultérieurs (re-transferts depuis le pays tiers vers d'autres pays).

Le simple accès à distance depuis un pays tiers à des données stockées dans l'UE constitue un transfert au sens du règlement. Cette interprétation large couvre les hypothèses de support technique externalisé, de maintenance à distance ou de consultation de données via une interface accessible depuis l'étranger.

Les décisions d'adéquation

L'article 45 du RGPD organise le mécanisme principal de sécurisation des transferts : la décision d'adéquation prise par la Commission européenne. Lorsque la Commission constate qu'un pays tiers, un territoire ou un secteur d'activité au sein d'un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat, le transfert peut s'effectuer librement, sans autorisation spécifique requise.

À ce jour, la Commission a adopté des décisions d'adéquation pour les pays et territoires suivants : Andorre, Argentine, Canada (organismes commerciaux), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, Royaume-Uni, Uruguay et États-Unis (sous le EU-US Data Privacy Framework adopté le 10 juillet 2023).

L'EU-US Data Privacy Framework, qui a remplacé le Privacy Shield invalidé par Schrems II, repose sur un engagement présidentiel américain (Executive Order 14086 du 7 octobre 2022) limitant les programmes de surveillance américains aux situations strictement nécessaires et proportionnées et créant une voie de recours pour les personnes européennes via la Data Protection Review Court. La validité de ce nouveau cadre fait toutefois l'objet d'un recours devant la CJUE (Schrems III), dont l'issue conditionnera la stabilité juridique des transferts vers les États-Unis.

Les clauses contractuelles types

L'article 46 paragraphe 2 c) du RGPD permet aux responsables de traitement d'adopter des clauses contractuelles types (CCT, ou Standard Contractual Clauses) approuvées par la Commission européenne pour encadrer leurs transferts vers les pays tiers ne bénéficiant pas d'une décision d'adéquation.

La Commission a adopté de nouvelles clauses contractuelles types par décision du 4 juin 2021, qui ont remplacé les précédentes versions de 2001, 2004 et 2010. Ces nouvelles clauses :

  • couvrent quatre modules correspondant aux différentes configurations de transfert (responsable à responsable, responsable à sous-traitant, sous-traitant à sous-traitant, sous-traitant à responsable) ;
  • intègrent les exigences post-Schrems II, notamment l'évaluation des risques liés aux lois du pays de destination et la mise en place de mesures supplémentaires si nécessaire ;
  • imposent une transparence renforcée sur les demandes d'accès des autorités publiques du pays tiers et un droit d'information pour les personnes concernées ;
  • permettent la modulation par modules optionnels selon les caractéristiques du transfert.

Le délai transitoire pour la migration vers les nouvelles clauses a expiré le 27 décembre 2022. Toute relation contractuelle de transfert utilisant encore les anciennes clauses encourt l'illicéité du transfert et expose le responsable à des sanctions au titre de l'article 83 paragraphe 5 du RGPD.

Les règles d'entreprise contraignantes

L'article 47 du RGPD permet aux groupes d'entreprises ou aux groupes d'entreprises engagées dans une activité économique conjointe de mettre en place des règles d'entreprise contraignantes (BCR - Binding Corporate Rules) pour encadrer leurs transferts intragroupe.

Les BCR doivent :

  • être juridiquement contraignantes pour l'ensemble des entités du groupe et opposables aux personnes concernées ;
  • être approuvées par l'autorité de contrôle compétente (typiquement la CNIL pour les groupes établis principalement en France) selon une procédure formalisée ;
  • couvrir l'ensemble des principes essentiels du RGPD (transparence, minimisation, droits des personnes, mesures de sécurité) ;
  • prévoir des mécanismes de mise en œuvre (formation, audit, gestion des plaintes, sanctions internes en cas de manquement).

L'EDPB publie régulièrement des lignes directrices et des modèles facilitant la rédaction des BCR. La procédure d'approbation reste néanmoins longue (en moyenne deux à trois ans) et coûteuse, ce qui réserve cet outil aux groupes internationaux de taille significative.

L'arrêt Schrems II et les mesures supplémentaires

L'arrêt CJUE Schrems II du 16 juillet 2020 (C-311/18) a profondément redessiné le régime des transferts internationaux en imposant aux responsables de traitement une analyse de risque spécifique au pays de destination. Cette analyse doit vérifier :

  • si les lois du pays tiers garantissent un niveau de protection essentiellement équivalent à celui de l'UE ;
  • en particulier, si les programmes de surveillance des autorités publiques du pays respectent les principes de nécessité et de proportionnalité ;
  • si les personnes concernées disposent de voies de recours effectives contre les atteintes éventuelles à leurs droits.

Lorsque cette analyse révèle un niveau de protection insuffisant, le responsable de traitement doit mettre en place des mesures supplémentaires garantissant une protection équivalente, soit à titre contractuel (engagements renforcés du destinataire), soit à titre technique (chiffrement de bout en bout, pseudonymisation, calcul multi-partite sécurisé).

L'EDPB a publié le 18 juin 2021 ses Recommandations 01/2020 sur les mesures supplémentaires, qui détaillent les bonnes pratiques d'analyse et les techniques de protection. La pratique a forgé un outil opérationnel : le Transfer Impact Assessment (TIA), document d'analyse de risque qui doit accompagner toute relation de transfert vers un pays sans décision d'adéquation.

Spécificité juridique sur les dérogations de l'article 49

L'article 49 du RGPD organise un régime de dérogations exceptionnelles lorsque ni les décisions d'adéquation ni les garanties appropriées ne sont disponibles. Ces dérogations couvrent notamment :

  • le consentement explicite de la personne concernée au transfert spécifique, après information sur les risques liés à l'absence de garanties appropriées ;
  • l'exécution d'un contrat entre la personne concernée et le responsable de traitement ;
  • l'exécution d'un contrat dans l'intérêt de la personne concernée ;
  • les motifs importants d'intérêt public reconnus par le droit de l'Union ou de l'État membre ;
  • la constatation, l'exercice ou la défense de droits en justice ;
  • la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes ;
  • les transferts depuis un registre public légalement consultable.

L'EDPB a précisé dans ses Lignes directrices 2/2018 sur les dérogations de l'article 49 que ces dérogations doivent être interprétées restrictivement. Elles s'appliquent à des transferts occasionnels, non systématiques et liés à des situations particulières. Elles ne peuvent en principe pas justifier des transferts massifs et réguliers, qui doivent reposer sur les mécanismes principaux du chapitre V.

L'article 48 du RGPD prévoit par ailleurs qu'aucune décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant le transfert de données ne peut être reconnue ou rendue exécutoire, sauf si elle se fonde sur un accord international (traité d'entraide judiciaire). Cette disposition vise notamment les demandes des autorités américaines fondées sur le Cloud Act ou la FISA.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de transfert hors UE

  • la cartographie de vos flux de données vers les pays tiers et l'identification des transferts à sécuriser ;
  • l'analyse juridique des mécanismes applicables à chaque transfert (adéquation, CCT, BCR, dérogations) ;
  • la rédaction et la migration vers les nouvelles clauses contractuelles types de 2021 ;
  • la rédaction des Transfer Impact Assessments (TIA) post-Schrems II ;
  • la mise en place de mesures supplémentaires techniques et contractuelles ;
  • l'accompagnement des projets de Binding Corporate Rules et leur approbation par la CNIL ;
  • la défense face aux contrôles CNIL portant sur la conformité des transferts internationaux ;
  • l'analyse des risques liés aux nouveaux cadres (EU-US DPF) et à leur évolution jurisprudentielle ;
  • la formation des équipes juridiques et opérationnelles aux enjeux des transferts internationaux.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) chapitre V (art. 44 à 50), décision d'exécution (UE) 2021/914 du 4 juin 2021 sur les clauses contractuelles types, décision d'adéquation EU-US Data Privacy Framework du 10 juillet 2023, jurisprudence CJUE 16 juillet 2020 (Schrems II C-311/18), EDPB Recommandations 01/2020 sur les mesures supplémentaires, Lignes directrices 2/2018 sur les dérogations de l'article 49. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.