Transferts internationaux de données RGPD : CCT, adéquation et le DPF

Les transferts internationaux de données constituent l’un des domaines les plus complexes de la conformité RGPD, et pour les entreprises SaaS, ils sont quasi inévitables. Si vous utilisez des régions AWS aux États-Unis, envoyez des emails via Mailchimp, suivez des analyses avec Amplitude, traitez des paiements via Stripe ou hébergez quoi que ce soit sur une plateforme basée aux États-Unis, des données personnelles traversent les frontières — et le RGPD a des règles strictes sur quand et comment cela peut se faire.

Le chapitre V du RGPD (articles 44 à 50) établit que les données personnelles ne peuvent être transférées en dehors de l’Espace économique européen que si des protections adéquates sont en place. Le règlement prévoit plusieurs mécanismes pour établir ces protections, et choisir le bon pour chaque flux de données est un élément essentiel de votre programme de conformité.

Ce guide couvre les mécanismes de transfert disponibles, leur fonctionnement en pratique pour les entreprises SaaS et ce que vous devez documenter.

Pourquoi les transferts internationaux sont importants

Les restrictions de transfert du RGPD existent parce que les lois sur la protection des données en dehors de l’EEE peuvent ne pas offrir le même niveau de protection. Lorsque des données personnelles quittent l’EEE, elles peuvent être soumises à la surveillance gouvernementale étrangère, à des réglementations de confidentialité plus faibles ou à une application insuffisante — tout cela pouvant compromettre les protections que le RGPD garantit.

Pour les entreprises SaaS, ce n’est pas une préoccupation abstraite. Votre pile de fournisseurs inclut presque certainement des services basés aux États-Unis. Votre infrastructure peut couvrir plusieurs continents. Vos clients peuvent être mondiaux. Chacun de ces flux de données nécessite une base juridique valide pour le transfert.

Mécanisme de transfert 1 : Décisions d’adéquation

Comment ça fonctionne

La Commission européenne peut déterminer qu’un pays (ou un secteur au sein d’un pays) offre un niveau « adéquat » de protection des données. Une fois qu’une décision d’adéquation est en place, les données peuvent circuler vers ce pays aussi librement qu’au sein de l’EEE — aucune garantie supplémentaire n’est requise.

Pays actuellement adéquats

En 2026, la Commission européenne a émis des décisions d’adéquation pour :

• Andorre, Argentine, Canada (organisations commerciales sous la LPRPDE), Îles Féroé, Guernesey, Île de Man, Israël, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, Royaume-Uni, Uruguay

Et pour les États-Unis, le Cadre de protection des données UE-États-Unis fournit une décision d’adéquation sectorielle (détaillée ci-dessous).

Utiliser l’adéquation en pratique

Si votre fournisseur est établi dans un pays adéquat et traite les données sur place, vous pouvez vous appuyer sur la décision d’adéquation sans garanties contractuelles supplémentaires. Cependant, vous devriez :

• Vérifier que le traitement du fournisseur a effectivement lieu dans le pays adéquat (pas externalisé vers un pays non adéquat)
• Surveiller les changements de décisions d’adéquation (la Commission peut les révoquer)
• Documenter la décision d’adéquation comme votre mécanisme de transfert dans votre RAT

Mécanisme de transfert 2 : Le Cadre de protection des données UE-États-Unis (DPF)

Contexte

Le Cadre de protection des données UE-États-Unis a remplacé le Privacy Shield (invalidé par la Cour de justice de l’UE dans la décision Schrems II en 2020). Le DPF a été adopté par la Commission européenne comme décision d’adéquation en juillet 2023, permettant les transferts de données vers les organisations américaines ayant obtenu leur autocertification dans le cadre du Framework.

Comment ça fonctionne

Les organisations américaines peuvent s’autocertifier au DPF auprès de l’International Trade Administration du Département du Commerce des États-Unis. Les organisations certifiées s’engagent sur un ensemble de principes de protection des données (notification, choix, responsabilité pour les transferts ultérieurs, sécurité, intégrité des données, limitation des finalités, accès et recours/application/responsabilité).

Vérifier la certification DPF

Avant de vous appuyer sur le DPF comme mécanisme de transfert, vérifiez que votre fournisseur spécifique est effectivement certifié :

1. Consultez la liste du Data Privacy Framework maintenue par le Département du Commerce
2. Vérifiez que la certification est en cours de validité (pas expirée ni retirée)
3. Confirmez que la certification couvre le type de données que vous transférez (le DPF distingue les données RH des données non-RH)

Considérations pratiques

Le DPF est spécifique au fournisseur. La décision d’adéquation couvre les transferts vers les organisations certifiées, pas tous les transferts vers les États-Unis. Si un fournisseur n’est pas certifié DPF, vous avez besoin d’un mécanisme différent.

Le DPF peut être contesté. Des défenseurs de la vie privée ont déjà déposé des recours contre le Framework. Bien qu’il soit en vigueur en 2026, l’historique des accords de transfert de données États-Unis-UE (Safe Harbor invalidé en 2015, Privacy Shield invalidé en 2020) suggère que la longévité du DPF n’est pas garantie. Disposer des CCT comme solution de repli est prudent.

Chaînes de sous-traitants ultérieurs. Même si votre fournisseur principal est certifié DPF, vérifiez si ses sous-traitants ultérieurs sont également certifiés ou couverts par un mécanisme de transfert alternatif.

Mécanisme de transfert 3 : Clauses Contractuelles Types (CCT)

Comment fonctionnent les CCT

Les Clauses Contractuelles Types sont des clauses contractuelles pré-approuvées adoptées par la Commission européenne qui fournissent des garanties de protection des données pour les transferts internationaux. En incorporant les CCT dans votre contrat avec un destinataire de données en dehors de l’EEE, les deux parties s’engagent sur des obligations spécifiques de protection des données.

Les CCT actuelles

La Commission européenne a adopté de nouvelles CCT en juin 2021 (remplaçant les versions précédentes). Les nouvelles CCT sont modulaires, avec quatre scénarios :

Module 1 : Responsable du traitement à responsable du traitement. Pour les transferts entre deux responsables du traitement — par exemple, partager des données clients avec une organisation partenaire en dehors de l’EEE.

Module 2 : Responsable du traitement à sous-traitant. Le module le plus courant pour les entreprises SaaS — pour les transferts vers des sous-traitants qui traitent des données pour votre compte en dehors de l’EEE. Cela couvre votre relation avec les fournisseurs basés aux États-Unis lorsque vous êtes le responsable du traitement.

Module 3 : Sous-traitant à sous-traitant. Pour les transferts entre sous-traitants — lorsque votre sous-traitant engage un sous-traitant ultérieur en dehors de l’EEE.

Module 4 : Sous-traitant à responsable du traitement. Pour les scénarios moins courants où un sous-traitant retransfère des données à un responsable du traitement en dehors de l’EEE.

Les CCT en pratique

Intégration avec les DPA. Les CCT sont généralement incorporées comme annexe à votre Accord de Traitement de Données. La plupart des grands fournisseurs SaaS incluent les CCT dans leur DPA par défaut.

Mesures supplémentaires. Depuis Schrems II, les CCT seules peuvent ne pas être suffisantes. Vous devez évaluer si les lois du pays destinataire compromettent les protections fournies par les CCT et, le cas échéant, mettre en oeuvre des mesures supplémentaires. Cette évaluation est formalisée sous la forme d’une évaluation d’impact des transferts (voir ci-dessous).

Ne peuvent pas être modifiées. Les CCT sont standardisées — vous ne pouvez pas modifier leurs clauses fondamentales. Vous pouvez ajouter des clauses supplémentaires (par exemple, des conditions commerciales) tant qu’elles ne contredisent pas les protections des CCT.

Mécanisme de transfert 4 : Règles d’entreprise contraignantes (BCR)

Les BCR sont des politiques internes de protection des données adoptées par un groupe multinational d’entreprises pour les transferts de données personnelles au sein du groupe. Elles doivent être approuvées par l’autorité de contrôle compétente.

Les BCR sont principalement pertinentes pour les grandes entreprises ayant des entités dans plusieurs pays. Pour la plupart des entreprises SaaS, les CCT et le DPF sont les mécanismes pratiques. Si vous faites partie d’un groupe d’entreprises ayant des BCR, vous pouvez vous y appuyer pour les transferts intra-groupe.

Évaluations d’impact des transferts

Pourquoi elles sont nécessaires

La décision Schrems II a établi qu’avant de s’appuyer sur les CCT (ou les BCR) pour des transferts, vous devez évaluer si le cadre juridique du pays de destination offre des protections « essentiellement équivalentes » à celles garanties au sein de l’UE. Si ce n’est pas le cas, vous devez mettre en oeuvre des mesures supplémentaires pour combler l’écart — ou arrêter le transfert.

Comment réaliser une EIT

Étape 1 : Connaissez votre transfert. Identifiez les données transférées, la finalité, le destinataire et le pays de destination.

Étape 2 : Identifiez le mécanisme de transfert. Quel module de CCT s’applique ? Le DPF est-il une alternative ?

Étape 3 : Évaluez les lois du pays de destination. Le pays dispose-t-il de lois de surveillance qui pourraient contraindre le destinataire à divulguer des données personnelles ? Existe-t-il des recours juridiques effectifs pour les personnes concernées ? Domaines clés à évaluer :

• Accès gouvernemental aux données (lois de surveillance, demandes des forces de l’ordre)
• Législation et application de la protection des données
• État de droit et indépendance judiciaire
• Engagements internationaux en matière de protection des données

Étape 4 : Évaluez si le mécanisme de transfert est efficace. Compte tenu des lois du pays de destination, les CCT fournissent-elles une protection suffisante ? Si les autorités gouvernementales pouvaient contraindre le destinataire à divulguer des données de manière à outrepasser les protections des CCT, le mécanisme seul n’est pas efficace.

Étape 5 : Identifiez les mesures supplémentaires si nécessaire. Celles-ci peuvent être :

• Techniques : Chiffrement où le destinataire ne détient pas la clé, pseudonymisation, traitement fractionné
• Organisationnelles : Contrôles d’accès stricts, rapports de transparence, politiques sur les demandes gouvernementales
• Contractuelles : Engagements supplémentaires pour contester les demandes gouvernementales, obligations de notification

Étape 6 : Documentez l’évaluation. Enregistrez votre analyse, vos conclusions et toute mesure supplémentaire. Cette documentation démontre la responsabilité.

Conseils pratiques pour les transferts vers les États-Unis

Pour les transferts vers les États-Unis — la destination la plus courante pour les entreprises SaaS — l’analyse dépend du mécanisme :

Fournisseurs certifiés DPF : La décision d’adéquation traite les préoccupations soulevées dans Schrems II (y compris les réformes américaines de la surveillance par le décret exécutif 14086). Aucune EIT supplémentaire n’est requise pour les transferts vers les organisations certifiées DPF. Toutefois, surveillez les contestations du Framework.

CCT vers des fournisseurs américains non certifiés DPF : Vous avez besoin d’une EIT. Les mesures supplémentaires doivent traiter le risque d’accès gouvernemental américain. Le chiffrement en transit et au repos, où les clés sont contrôlées par vous (le responsable du traitement), est la mesure technique la plus robuste.

Ce qu’il faut documenter dans votre RAT

Pour chaque transfert international, votre Registre des Activités de Traitement doit inclure :

• Le pays de destination
• Le mécanisme de transfert (adéquation, DPF, module de CCT, BCR)
• Le destinataire (nom du fournisseur et rôle)
• Les catégories de données transférées
• La référence à l’EIT (si des CCT sont utilisées)
• La référence aux mesures supplémentaires (le cas échéant)

Pièges courants pour les entreprises SaaS

Supposer que tous les fournisseurs américains sont couverts par le DPF. Le DPF est optionnel. Toutes les entreprises américaines ne se sont pas certifiées. Vérifiez le statut de chaque fournisseur individuellement.

Oublier les transferts des sous-traitants ultérieurs. Votre fournisseur peut être dans l’UE, mais ses sous-traitants ultérieurs peuvent ne pas l’être. Examinez les listes de sous-traitants ultérieurs de vos fournisseurs pour identifier où les données vont réellement.

Ne pas mettre à jour quand les fournisseurs changent. Si un fournisseur change sa région d’hébergement, ajoute un sous-traitant ultérieur dans un nouveau pays ou perd sa certification DPF, votre mécanisme de transfert peut nécessiter une mise à jour.

Ignorer les transferts de données employés. Si vous utilisez des plateformes RH basées aux États-Unis, des fournisseurs de paie ou des administrateurs d’avantages sociaux, les données employés sont transférées internationalement. Ces transferts nécessitent la même base juridique que les transferts de données clients.

Traiter le Royaume-Uni comme faisant partie de l’EEE. Depuis le Brexit, le Royaume-Uni est un « pays tiers » au sens du RGPD. L’UE a émis une décision d’adéquation pour le Royaume-Uni (en vigueur en 2026), donc les transferts peuvent se poursuivre librement — mais si cette décision d’adéquation expire ou est révoquée, vous aurez besoin de CCT.

Comment GRCTrail cartographie vos transferts

GRCTrail offre de la visibilité sur vos flux de données internationaux :

Registre des fournisseurs avec cartographie des transferts. Chaque fournisseur dans votre registre inclut ses localisations de traitement de données, ses mécanismes de transfert et son statut de certification DPF. Visualisez d’un coup d’oeil quels fournisseurs transfèrent des données internationalement et sous quel mécanisme.

Connecté à votre RAT. Les transferts internationaux sont documentés dans votre Registre des Activités de Traitement automatiquement, liés aux dossiers fournisseurs et entrées DPA pertinents.

Surveillance des certifications. Suivez le statut de certification DPF pour vos fournisseurs américains. Recevez une alerte si la certification d’un fournisseur expire ou change.

Cartographiez vos flux de données internationaux →

Guides connexes

• Accords de Traitement de Données (DPA) — Les contrats qui régissent les relations avec les sous-traitants
• Checklist de conformité RGPD — Le cadre de conformité complet
• Amendes et sanctions du RGPD — Le coût des transferts non conformes
• Registre des Activités de Traitement (RAT) — Documenter votre traitement

Commencez avec GRCTrail →