En bref
Le transfert de données hors UE est encadré par les articles 44 à 49 du RGPD. Seules une décision d'adéquation, des garanties appropriées (CCT, BCR) ou une dérogation limitée le rendent licite. Sanctions : jusqu'à 4 % du CA mondial.
Le principe d'encadrement des transferts vers les pays tiers
Art. 44 RGPD (Règl. UE 2016/679)
« Tout transfert de données à caractère personnel faisant l'objet d'un traitement vers un pays tiers ne peut avoir lieu que si les conditions du chapitre V sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs. »
Source : RGPD — Règlement (UE) 2016/679
Ne pas identifier les transferts cachés
L'utilisation d'un outil SaaS hébergé hors EEE (analytics, CRM, messagerie collaborative) constitue un transfert de données même si l'entreprise n'en a pas conscience. Un audit régulier des sous-traitants est indispensable.
Les décisions d'adéquation de la Commission européenne
Art. 45 RGPD (Règl. UE 2016/679)
« La Commission peut constater par voie de décision qu'un pays tiers assure un niveau de protection adéquat. Un transfert fondé sur une telle décision ne nécessite pas d'autorisation spécifique. »
Source : RGPD — Règlement (UE) 2016/679
Vérifier systématiquement la liste officielle
Consultez la liste à jour des décisions d'adéquation publiée sur le site de la Commission européenne avant tout nouveau transfert. Cette liste évolue et certaines décisions sont assorties de clauses de réexamen.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Clauses contractuelles types et règles d'entreprise contraignantes
Art. 46 RGPD (Règl. UE 2016/679)
« En l'absence de décision d'adéquation, le responsable du traitement ne peut procéder à un transfert que s'il a prévu des garanties appropriées et à condition que les personnes concernées disposent de droits opposables et de voies de recours effectives. »
Source : RGPD — Règlement (UE) 2016/679
Signer les CCT sans réaliser de TIA
Depuis l'arrêt Schrems II, la signature des clauses contractuelles types ne suffit plus à elle seule. L'omission de l'analyse d'impact du transfert expose le responsable du traitement à des sanctions pour transfert illicite.
L'héritage déterminant des arrêts Schrems
CJUE, 16 juillet 2020, C-311/18, Schrems II
« La Cour a invalidé le Privacy Shield et jugé que les clauses contractuelles types restent valides mais imposent au responsable du traitement de vérifier, au cas par cas, que la législation du pays tiers ne compromet pas le respect des garanties. »
Source : CJUE — Cour de justice de l'Union européenne
CJUE, 6 octobre 2015, C-362/14, Schrems I
« La Cour a invalidé la décision d'adéquation Safe Harbor, estimant que la surveillance de masse américaine privait de substance les garanties annoncées et violait les articles 7 et 8 de la Charte des droits fondamentaux. »
Source : CJUE — Cour de justice de l'Union européenne
Le Data Privacy Framework UE–États-Unis : état des lieux en 2026
Amende record pour transfert illicite
Montant de la sanction infligée à Meta Platforms Ireland par la Data Protection Commission irlandaise pour transfert illicite de données d'utilisateurs européens vers les États-Unis.
Source : DPC Irlande, mai 2023
Anticiper une éventuelle invalidation du DPF
Préparez un plan de continuité prévoyant un basculement immédiat vers des CCT assorties d'une TIA et des solutions d'hébergement européen en cas d'invalidation judiciaire du Data Privacy Framework.
Dérogations exceptionnelles et régime des sanctions
Art. 49 RGPD (Règl. UE 2016/679)
« En l'absence de décision d'adéquation et de garanties appropriées, un transfert ne peut avoir lieu que sur le fondement de dérogations limitatives : consentement explicite, nécessité contractuelle, intérêt public important ou défense de droits en justice. »
Source : RGPD — Règlement (UE) 2016/679
Documenter chaque flux dans le registre des traitements
Inscrivez dans votre registre des traitements chaque transfert hors UE en précisant le pays destinataire, la base juridique retenue, les mesures supplémentaires adoptées et la date de la dernière TIA réalisée.
Questions fréquentes
Un transfert de données vers les États-Unis est-il encore autorisé en 2026 ?
Oui, à condition que le destinataire américain soit certifié dans le cadre du EU-US Data Privacy Framework. À défaut, le transfert doit reposer sur des clauses contractuelles types assorties d'une analyse d'impact du transfert démontrant l'effectivité des garanties.
Quelle est la sanction maximale pour un transfert illicite hors UE ?
L'article 83 du RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial du groupe, le montant le plus élevé étant retenu. Les autorités peuvent également ordonner la suspension des flux.
Les clauses contractuelles types suffisent-elles à légitimer un transfert ?
Non, depuis l'arrêt Schrems II de la CJUE, la seule signature des CCT ne suffit plus. Le responsable du traitement doit réaliser une Transfer Impact Assessment et, si nécessaire, mettre en œuvre des mesures techniques supplémentaires.
Comment vérifier si un pays bénéficie d'une décision d'adéquation ?
La Commission européenne publie et met à jour la liste officielle des pays bénéficiant d'une décision d'adéquation sur son site internet. Cette liste doit être consultée avant tout nouveau transfert, car les décisions sont révisables et peuvent être retirées.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours