- Le blog et les actualités de Witik
- RGPD et transfert de données hors UE : comment faire ?
RGPD et transfert de données hors UE : comment faire ?
:format(webp))
Les transferts de données personnelles vers un pays tiers sont devenus un enjeu crucial dans la mise en conformité RGPD. De plus en plus de contrats internationaux impliquent un transfert de données, notamment dans le cadre de relations avec des sous-traitants situés hors de l’Union européenne (UE) ou de l’Espace Économique Européen (EEE).
Qu’il s’agisse de services liés à l’exploitation des données ou simplement de l’accès à des données personnelles (ex. : fichiers clients, données RH), les entreprises doivent respecter les exigences strictes du RGPD en matière de protection des données.
L’article 44 du règlement pose une règle claire : tout transfert de données vers un pays tiers est interdit par principe, sauf si certaines garanties sont mises en place.
Les conditions du RGPD pour le transfert de données hors UE
Toute entreprise, qu’elle soit responsable de traitement ou sous-traitant, doit démontrer que le niveau de protection des données dans le pays destinataire est équivalent à celui prévu par le droit de l’Union européenne.
Tout transfert de données personnelles hors de l’UE ou de l’EEE nécessite que le niveau de protection dans le pays de destination soit équivalent à celui exigé dans l’Union européenne.
Les décisions d’adéquation de la Commission européenne
La Commission européenne peut émettre une décision d’adéquation lorsqu’un pays tiers offre un niveau de protection suffisant. Cette décision autorise les entreprises à transférer des données personnelles vers ce pays sans formalité supplémentaire. Parmi les pays bénéficiant d’une décision d’adéquation, on retrouve :
🇦🇩 Andorre
Depuis la décision d’adéquation du 19 octobre 2010, le niveau de protection des données personnelles en Andorre est considéré comme suffisant par la Commission européenne. Ce pays dispose d’une législation spécifique en matière de traitement des données, alignée sur les exigences du RGPD.
🇦🇷 Argentine
L’Argentine a été l’un des premiers pays à bénéficier d’une décision d’adéquation en 2003. Sa loi sur la protection des données personnelles (modifiée en 2016) garantit un niveau de protection similaire à celui de l’Union européenne, permettant des transferts de données sans conditions supplémentaires.
🇨🇦 Canada (secteur commercial)
Le Canada bénéficie d’une adéquation partielle : seuls les traitements de données personnelles à des fins commerciales sont couverts. La loi canadienne LPRPDE offre des garanties suffisantes pour ces transferts, mais elle ne s’applique pas aux autorités publiques.
🇫🇴 Îles Féroé
Depuis 2010, le cadre législatif des Îles Féroé a été jugé conforme par la Commission européenne. Ce pays tiers applique des normes de protection des données personnelles compatibles avec celles de l’Union, ce qui autorise les transferts sans mesures supplémentaires.
🇬🇬 Guernesey
Guernesey, dépendance du Royaume-Uni, dispose d’un régime juridique proche du RGPD. La Commission a validé son cadre légal, ce qui permet des transferts de données dans des conditions similaires à celles prévues au sein de l’UE.
🇮🇱 Israël
La décision d’adéquation de 2011 reconnaît à Israël un niveau de protection des données suffisant. L’ILITA, l’autorité israélienne compétente, assure le respect des droits fondamentaux des personnes concernées lors des traitements de données.
🇮🇲 Île de Man
L’Île de Man, autre dépendance britannique, applique une législation dérivée du droit européen. Le cadre réglementaire en matière de données personnelles permet de considérer les transferts vers ce pays comme sûrs au regard du RGPD.
🇯🇵 Japon
Le Japon a obtenu une décision d’adéquation en 2019, renforcée en 2023 par des garanties spécifiques pour les données européennes. L’autorité japonaise de protection des données supervise un mécanisme de réclamation, assurant une protection équivalente.
🇯🇪 Jersey
Jersey applique des règles proches du RGPD, en tant que territoire dépendant du Royaume-Uni. Le pays est reconnu comme disposant d’un niveau de protection adéquat, permettant les transferts de données personnelles sans formalités supplémentaires.
🇳🇿 Nouvelle-Zélande
La Nouvelle-Zélande bénéficie d’une décision d’adéquation depuis 2012. Sa législation garantit un traitement loyal et transparent des données personnelles, en accord avec les principes européens de protection des données.
🇨🇭 Suisse
La Suisse applique la Loi fédérale sur la protection des données, révisée en 2023 pour continuer à s’aligner sur le RGPD. Elle est l’un des pays historiquement reconnus comme offrant un niveau de protection adéquat pour les transferts depuis l’UE.
🇺🇾 Uruguay
L’Uruguay a mis en place une loi sur la protection des données personnelles dès 2008, renforcée par plusieurs décrets. Ce cadre juridique, validé par la Commission européenne, permet à l’entreprise européenne de transférer légalement des données vers ce pays.
🇰🇷 Corée du Sud
Depuis juillet 2021, la Corée du Sud bénéficie d’une décision d’adéquation, facilitant les flux de données avec les États membres de l’Union européenne. Cette reconnaissance est le fruit d’un alignement législatif progressif avec les exigences du RGPD.
🇬🇧 Royaume-Uni
Suite au Brexit, le Royaume-Uni a obtenu en 2021 une double décision d’adéquation garantissant la continuité des transferts de données sans contrainte supplémentaire. Son cadre juridique, similaire au RGPD, est toutefois soumis à un mécanisme de révision.
Les Clauses Contractuelles Types (CCT)
En l’absence de décision d’adéquation, les clauses contractuelles types constituent le mécanisme le plus fréquemment utilisé. Ces clauses, approuvées par la Commission européenne, encadrent contractuellement les transferts de données et imposent des obligations strictes en matière de protection.
Depuis l’entrée en application du RGPD, il est aussi possible d’utiliser les clauses types proposées par les autorités nationales, comme la CNIL, à condition qu’elles soient validées par la Commission.
Les BCR ou Binding Corporate Rules
Les BCR sont des règles internes d’entreprise, destinées aux groupes internationaux. Elles permettent les transferts de données entre filiales situées dans des pays tiers, en garantissant un niveau de protection des données conforme au droit européen.
Toutefois, depuis l’invalidation du Privacy Shield, les BCR sont insuffisantes pour transférer des données vers certains pays et notamment vers les Etats-Unis. D’autres mesures doivent être prises pour les compléter.
Codes de conduite et certifications
Les codes de conduite sectoriels ou les certifications peuvent aussi servir de base pour un transfert conforme. Ils doivent être validés par la Commission européenne ou une autorité de contrôle. Ces mécanismes témoignent de la volonté de certaines entreprises de structurer leur politique de protection des données dans un cadre reconnu.
Le cas particulier du Privacy Shield et son remplacement
Le Privacy Shield était un mécanisme d’auto-certification conclu entre l’Union européenne et les États-Unis, visant à faciliter les transferts de données personnelles en garantissant un niveau de protection adéquat. Il permettait aux entreprises américaines certifiées de recevoir des données issues de l’UE tout en s’engageant à respecter certains principes de protection des données.
Cependant, ce mécanisme a été invalidé en 2020 par un arrêt retentissant de la Cour de justice de l’Union européenne (CJUE). La juridiction européenne a estimé que la législation américaine permettait des ingérences excessives dans les données personnelles par les agences de renseignement, sans offrir aux personnes concernées un recours juridique effectif. Le niveau de protection n’était donc pas équivalent à celui exigé par le RGPD.
Depuis cette décision, le Privacy Shield ne peut plus servir de base légale pour effectuer un transfert de données vers les États-Unis, y compris dans le cadre des BCR (Binding Corporate Rules). Les entreprises doivent désormais s’appuyer sur d’autres garanties appropriées, comme les clauses contractuelles types ou des mesures techniques supplémentaires.
Les conséquences ont été majeures. Plusieurs autorités de protection des données, notamment en Autriche et en France (via la CNIL), ont jugé non conformes certains transferts de données vers les États-Unis, en particulier ceux réalisés via des outils comme Google Analytics.
Malgré cette invalidation, les discussions entre les États-Unis et l’Union européenne ont continué. Un accord de principe sur un nouveau cadre de transfert a été annoncé en 2022, mais il nécessitait d’importantes modifications de la législation américaine. Ce processus a abouti, en 2023, à la mise en place du Data Privacy Framework, qui vient remplacer le Privacy Shield.
Transfert de données hors UE : les exceptions prévues par l’article 49 du RGPD
L’article 49 du RGPD prévoit des exceptions pour autoriser certains transferts de données personnelles même en l’absence de garanties suffisantes.
Parmi ces cas :
Consentement explicite de la personne concernée, avec information sur les risques.
Exécution d’un contrat entre l’entreprise et la personne concernée.
Exercice d’un droit en justice.
Motifs importants d’intérêt public ou sauvegarde d’intérêts vitaux.
Recherche scientifique, travail journalistique ou divulgation d’intérêt légitime (ex. : lanceurs d’alerte).
Dans tous ces cas toutefois, le transfert lui-même doit respecter quelques règles : il ne doit pas être répétitif, doit concerner un petit nombre de personnes et doit être nécessaire à la poursuite de l’objectif poursuivi et cité par l’article 49.
Ces transferts doivent donc être occasionnels, proportionnés et justifiés.
Enfin, s’ajoutent à ces règles celles qui encadrent la relation entre le responsable de traitement et le sous-traitant dans le cadre d’un transfert de données. Notamment, il est nécessaire de rédiger et de fournir certaines documentations comme le registre des sous-traitants.
Quelles nouveautés sur les transferts de données depuis 2023 ?
Le Data Privacy Framework (2023)
En juillet 2023, la Commission européenne a adopté une nouvelle décision d’adéquation pour les États-Unis, créant le Data Privacy Framework. Ce mécanisme permet aux entreprises américaines certifiées de recevoir des données personnelles dans des conditions de protection renforcées.
Cependant, ce cadre fait toujours l’objet de débats juridiques et pourrait être à nouveau contesté devant la CJUE.
Évaluation d’impact sur les transferts (TIA) et contrôles accrus
Depuis 2024, les entreprises doivent mener une analyse d’impact spécifique pour chaque transfert de données personnelles vers un pays tiers, en particulier si ce pays ne dispose pas d’une décision d’adéquation. Cette évaluation TIA permet d’apprécier les risques et les mesures de protection appliquées (chiffrement, pseudonymisation…).
Les autorités de protection, dont la CNIL, accentuent les contrôles sur ces transferts, en exigeant des preuves concrètes de la conformité RGPD.
Nouvelles recommandations du CEPD (2025)
En 2025, le Comité européen de la protection des données (CEPD) a renforcé ses lignes directrices sur l’usage des clauses contractuelles types, soulignant l’importance de mesures techniques complémentaires dans les pays tiers où le niveau de protection des données pourrait être insuffisant.
:format(webp))
)
)