Le RGPD s'applique-t-il aux entreprises américaines ? L'article 3 expliqué (2026)

Le RGPD s'applique aux entreprises américaines qui offrent des biens ou des services à des personnes situées dans l'UE ou qui surveillent leur comportement, en vertu de l'article 3(2) du règlement (UE) 2016/679. Aucun bureau, employé ou établissement dans l'UE n'est requis. Ce guide couvre chaque déclencheur, obligation et exposition aux amendes qu'une entreprise américaine doit comprendre.
Pour une vue d'ensemble complète de ce qu'exige le RGPD, y compris les sept principes de traitement des données et les six bases juridiques, consultez le guide compagnon.
Le RGPD s'applique-t-il vraiment à une entreprise américaine sans présence dans l'UE ?
Oui. L'article 3(2) du règlement (UE) 2016/679 étend la portée du RGPD au-delà des frontières de l'UE. La disposition s'applique à tout responsable du traitement ou sous-traitant non établi dans l'Union lorsque son traitement de données à caractère personnel est lié : (a) à l'offre de biens ou de services, qu'un paiement soit exigé ou non, à des personnes concernées situées dans l'Union ; ou (b) au suivi du comportement de ces personnes, dans la mesure où ce comportement a lieu au sein de l'Union.
L'expression clé est « non établi dans l'Union ». L'article 3(2) a été rédigé spécifiquement pour viser les entités non européennes. Une société de logiciels à Austin, un éditeur de médias à Chicago et un détaillant de commerce en ligne à Phoenix peuvent tous relever du champ d'application du RGPD en fonction uniquement de la manière dont ils traitent les informations concernant des personnes physiquement présentes dans l'UE au moment de ce traitement. C'est l'idée centrale que les entreprises américaines manquent souvent : le critère de compétence du RGPD repose sur la localisation de la personne concernée au moment du traitement, et non sur la localisation de l'entreprise ou de ses serveurs.
Il existe une deuxième voie d'application du RGPD qui s'applique indépendamment de l'article 3(2). L'article 3(1) vise les responsables du traitement et les sous-traitants établis dans l'UE. Cela concerne les entreprises américaines qui ont ouvert une succursale, une filiale ou même un arrangement commercial stable dans un État membre de l'UE. Si cet établissement dans l'UE est impliqué dans le traitement de données à caractère personnel, même si le traitement effectif des données a lieu sur des serveurs américains, l'article 3(1) s'applique à ce traitement dans le contexte des activités de l'établissement de l'UE. Une entreprise américaine dotée d'un bureau de vente allemand, d'une filiale de distribution française ou d'une équipe de service client néerlandaise est susceptible d'être couverte au titre de l'article 3(1) pour ses opérations dans l'UE, indépendamment de l'analyse de l'article 3(2).
Le test d'établissement de l'article 3(1) découle de la jurisprudence antérieure au RGPD de la CJUE dans l'affaire Google Spain c. AEPD (affaire C-131/12, 2014), qui a jugé qu'une filiale espagnole d'une société mère américaine constituait un établissement dans l'UE, plaçant les activités de traitement de données de la société mère sous le droit européen de la protection des données. La même logique s'applique au titre de l'article 3(1) du RGPD.
Les deux déclencheurs de l'article 3(2) : ciblage et surveillance
Déclencheur 1 : le test de ciblage au titre de l'article 3(2)(a)
Le premier déclencheur s'applique lorsqu'une entreprise américaine offre des biens ou des services à des personnes concernées situées dans l'Union. « L'offre » requiert un élément de ciblage délibéré. Le considérant 23 du RGPD trace explicitement la limite : « La simple accessibilité du site internet du responsable du traitement, du sous-traitant ou d'un intermédiaire dans l'Union, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où le responsable du traitement est établi, est insuffisante pour établir une telle intention. »
En termes simples : une entreprise américaine dont le site web est en anglais ne cible pas automatiquement les résidents européens du seul fait que l'anglais est largement parlé en Europe. Les lignes directrices 3/2018 de l'EDPB sur le champ d'application territorial (version 2.0, adoptées le 12 novembre 2019) précisent cette limite en détail. L'EDPB identifie une liste non exhaustive de facteurs qui, pris ensemble ou individuellement, indiquent une intention d'offrir des biens ou des services à des personnes concernées de l'UE.
Facteurs indiquant un ciblage au titre du considérant 23 et des lignes directrices 3/2018 de l'EDPB :
- Utiliser une langue ou une monnaie généralement utilisée dans un ou plusieurs États membres de l'UE, associée à la possibilité de commander des biens ou services dans cette langue (par exemple, une page produit en allemand avec un panier acceptant les euros).
- Mentionner directement des clients ou utilisateurs de l'UE ou d'États membres spécifiques.
- Offrir des options de livraison vers des adresses d'États membres de l'UE.
- Utiliser un domaine de premier niveau national pour un État membre de l'UE (par exemple, .de, .fr, .nl).
- Mener des campagnes publicitaires payantes géociblées vers des États membres de l'UE.
- Inclure des informations de TVA spécifiques à l'UE ou afficher des prix toutes taxes comprises pour les juridictions de l'UE.
- Fournir un support client dans une langue ou un fuseau horaire de l'UE.
Chacun de ces facteurs est une preuve d'intention ; aucun n'est automatiquement déterminant à lui seul. Les lignes directrices de l'EDPB reconnaissent qu'une combinaison de facteurs renforce le poids de l'analyse. Une entreprise américaine qui livre à des adresses de l'UE, accepte des euros et diffuse des annonces Google en français a accumulé trois indicateurs solides de ciblage.
Exemples concrets où le ciblage s'applique presque certainement :
| Scénario | Le RGPD s'applique-t-il au titre de l'art. 3(2)(a) ? |
|---|---|
| Un détaillant américain en ligne livre en Allemagne et en France ; le paiement se fait en euros | Presque certainement oui |
| Un SaaS américain dont la page tarifaire indique « Pour les clients de l'UE, TVA ajoutée au moment du paiement » | Presque certainement oui |
| Un service d'abonnement américain diffuse des campagnes publicitaires Facebook ou Google géociblées vers des États membres de l'UE | Presque certainement oui |
| Une application américaine ajoute une version en langue allemande de son produit | Presque certainement oui |
| Un site d'information américain n'utilise que l'anglais, sans tarification, livraison ou publicité spécifique à l'UE | Improbable à lui seul |
| Le site web d'un cabinet d'avocats américain avec un formulaire de contact en anglais uniquement, sans services destinés à l'UE | Improbable à lui seul |
| Un blogueur américain dont les publications sont accessibles mondialement sans fonctionnalité destinée à l'UE | Improbable à lui seul |
La distinction clé est l'intention associée à la capacité. L'accessibilité sans intention de ciblage échappe à l'article 3(2)(a). Un démarchage ciblé ou une infrastructure conçue pour servir les utilisateurs de l'UE franchit la limite.
Déclencheur 2 : le test de surveillance au titre de l'article 3(2)(b)
Le second déclencheur est le suivi comportemental. Le considérant 24 du RGPD explique que cela couvre le suivi de résidents de l'UE en ligne, en particulier l'utilisation de techniques de profilage pour analyser ou prédire des préférences, des comportements et des attitudes personnels. Le déclencheur de surveillance est plus large qu'il n'y paraît au premier abord : il ne requiert pas un ciblage intentionnel des utilisateurs de l'UE. Si votre infrastructure technique collecte des données au niveau individuel auprès de personnes se trouvant dans l'UE et utilise ces données pour prendre des décisions les concernant, le déclencheur de surveillance peut s'appliquer indépendamment de l'analyse de ciblage.
Les lignes directrices 3/2018 de l'EDPB soulignent que la « surveillance » requiert un élément de suivi ou de filature du comportement d'une personne dans le temps. Une collecte ponctuelle d'une adresse IP dans un journal d'accès, sans profilage ni utilisation ultérieure, est moins susceptible de constituer une surveillance. Le suivi persistant au moyen de cookies, de pixels, d'empreintes numériques d'appareils ou de technologies de suivi intersites l'est généralement.
Activités déclenchant couramment le test de surveillance pour les entreprises américaines :
- Installer des pixels publicitaires ou de reciblage tiers (balises de conversion Google Ads, Meta Pixel, LinkedIn Insight Tag) sur un site web visité par des utilisateurs de l'UE, lorsque ces pixels collectent des adresses IP et un comportement de navigation pour constituer des segments d'audience.
- Exécuter des outils d'analyse web (y compris auto-hébergés) configurés pour capturer et conserver des adresses IP ou identifiants d'appareils au niveau individuel des visiteurs de l'UE dans le temps.
- Utiliser une plateforme de données client (CDP) qui rassemble l'historique de navigation, les habitudes d'achat et les données d'ouverture d'e-mails des utilisateurs de l'UE en un profil comportemental destiné au ciblage ou à la personnalisation en aval.
- Exploiter une application mobile qui enregistre les données de localisation ou le comportement dans l'application des utilisateurs de l'UE dans le temps.
- Exécuter un programme de fidélité qui suit l'historique d'achat des membres de l'UE et envoie des offres ciblées sur la base de cet historique.
- Utiliser un outil d'enrichissement CRM qui combine les données de contact individuelles de l'UE avec des signaux comportementaux tiers.
Une entreprise américaine n'a pas besoin de savoir qu'un utilisateur spécifique se trouve dans l'UE pour que le déclencheur de surveillance s'applique. Si la technologie utilisée collecte des données au niveau individuel auprès de résidents de l'UE et que ces données sont traitées pour prendre des décisions les concernant, le déclencheur est satisfait. L'EDPB note explicitement que le suivi du comportement des personnes concernées « dans la mesure où ce comportement a lieu au sein de l'Union » se concentre sur le lieu où le comportement suivi se produit, et non sur le lieu où le traitement a lieu.
Le tableau des scénarios : le RGPD s'applique-t-il ?
| Scénario | Art. 3(2)(a) Ciblage | Art. 3(2)(b) Surveillance | Le RGPD s'applique-t-il ? |
|---|---|---|---|
| Détaillant américain livrant dans l'UE, paiement en euros | Oui | Dépend des analyses | Oui |
| SaaS américain avec une base d'abonnés de l'UE et une page tarifaire spécifique à l'UE | Oui | Probable (analyse d'utilisation) | Oui |
| Société américaine d'ad-tech exploitant des pixels de reciblage sur des utilisateurs de l'UE | Improbable à lui seul | Oui (profilage) | Oui |
| Entreprise américaine sans clients de l'UE mais GA4 collectant des IP de l'UE à des fins de profilage | Non | Possible | Possible (évaluer la configuration analytique) |
| Blogueur américain, anglais uniquement, aucune livraison, publicité ou profilage analytique destiné à l'UE | Non | Non | Non |
| Entreprise américaine avec une filiale commerciale allemande | Établissement au titre de l'art. 3(1) | Établissement au titre de l'art. 3(1) | Oui (art. 3(1)) |
Article 27 : l'exigence de représentant UE
Une fois qu'une entreprise américaine relève du champ d'application du RGPD au titre de l'article 3(2), l'article 27(1) impose une obligation structurelle : l'entreprise doit désigner par écrit un représentant établi dans l'un des États membres de l'UE où se trouvent les personnes concernées de l'entreprise.
Le rôle du représentant UE est substantiel, non symbolique. Le représentant sert de point de contact local pour l'entreprise, tant pour les personnes concernées que pour les autorités de contrôle. Les résidents de l'UE peuvent exercer leurs droits RGPD (accès, rectification, effacement, portabilité, opposition) directement par l'intermédiaire du représentant. Toute autorité de protection des données (APD) de l'UE peut adresser correspondance d'application, injonctions administratives et procédures au représentant. Au titre de l'article 27(4), la désignation ne dégage pas le responsable du traitement ou le sous-traitant de sa responsabilité au titre du RGPD ; le représentant agit en plus, et non à la place, de l'entreprise américaine.
Le représentant doit être établi (avoir une présence réelle, pas seulement une adresse enregistrée) dans un État membre de l'UE, et non simplement l'EEE. Cette distinction compte : la Norvège, l'Islande et le Liechtenstein ont adopté le RGPD en tant qu'États de l'EEE, et une présence dans l'EEE uniquement (par exemple, un représentant en Norvège) ne satisfait pas à l'article 27 aux fins des autorités de contrôle de l'UE, bien que l'EDPB ait noté en pratique que les représentants basés dans l'EEE sont généralement acceptables compte tenu de la mise en œuvre du RGPD dans l'EEE. Les entreprises américaines devraient confirmer auprès de leur conseil juridique si un État de l'EEE est admissible pour leur situation spécifique.
L'identité et les coordonnées du représentant au titre de l'article 27 doivent être divulguées dans l'avis de confidentialité de l'entreprise. Les personnes concernées doivent pouvoir joindre le représentant. Des services de représentation commerciale existent dans tous les grands États membres de l'UE spécifiquement à cette fin ; le coût s'élève généralement de quelques centaines à quelques milliers d'euros par an, bien en dessous de l'exposition aux amendes en cas de manquement à cette obligation.
L'exception étroite de l'article 27(2)
Toutes les entreprises américaines répondant à l'article 3(2) ne doivent pas nommer un représentant. L'article 27(2)(a) exclut le traitement qui est simultanément : (a) occasionnel (ni routinier ni continu) ; (b) n'inclut pas de traitement à grande échelle de données de catégorie particulière au titre de l'article 9(1) (données de santé, données biométriques, données génétiques, origine raciale ou ethnique, convictions religieuses ou philosophiques, opinions politiques, appartenance syndicale, orientation sexuelle ou condamnations pénales) ; et (c) est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, compte tenu de la nature, du contexte, de la portée et des finalités du traitement. Les autorités publiques sont également exemptées au titre de l'article 27(2)(b).
Cette exception est étroite en pratique. La plupart des entreprises américaines exploitant un site web avec des cookies publicitaires, une liste de diffusion marketing, une application mobile ou des analyses comportementales ne seront pas admissibles. Leur traitement est continu (non occasionnel) et implique un suivi persistant au niveau individuel. Un chercheur universitaire américain ayant mené une enquête anonyme ponctuelle auprès de participants de l'UE pourrait être admissible ; une entreprise SaaS américaine avec une base de clientèle européenne récurrente ne le sera pas.
Le défaut de désignation d'un représentant requis au titre de l'article 27 constitue une violation de niveau 1 (article 83(4)), exposant l'entreprise à une amende allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Le RGPD et les lois américaines sur la confidentialité au niveau des États : comment elles interagissent
De nombreuses entreprises américaines soumises au RGPD sont également couvertes par des lois américaines sur la confidentialité au niveau des États, principalement le California Consumer Privacy Act (CCPA), tel que modifié et renforcé par le California Privacy Rights Act (CPRA, en vigueur depuis le 1er janvier 2023). Le régime CCPA/CPRA et le RGPD partagent un ADN conceptuel commun (les deux exigent des avis de confidentialité, des droits pour les personnes concernées et une gouvernance des flux de données) mais diffèrent sur plusieurs points importants qui nécessitent un travail de conformité distinct plutôt qu'un programme unifié unique.
Base juridique par rapport au modèle d'opt-out. Le RGPD exige une base juridique pour chaque activité de traitement avant que le traitement ne commence (opt-in par défaut). Le CCPA/CPRA utilise un modèle différent : le traitement est généralement autorisé, mais les consommateurs ont le droit de s'opposer à la vente ou au partage de leurs informations personnelles. La norme de consentement du RGPD au titre de l'article 7 exige une indication d'accord libre, spécifique, éclairée et univoque ; le consentement du CCPA pour les données sensibles requiert un opt-in, mais le mécanisme général de « vente/partage » utilise un opt-out proéminent. Une entreprise américaine ne peut pas satisfaire à l'exigence de base juridique du RGPD en fournissant simplement un mécanisme d'opt-out CCPA.
Portée des droits des personnes concernées. Les deux régimes accordent des droits d'accès, de suppression et de portabilité. Le RGPD prévoit en outre le droit d'opposition au titre de l'article 21 et le droit de limitation du traitement au titre de l'article 18, qui n'ont pas d'équivalent direct dans le CCPA/CPRA. Le RGPD accorde également des droits relatifs à la prise de décision automatisée au titre de l'article 22 qui vont au-delà de l'opt-out de profilage du CCPA.
Définitions des données sensibles. Le CPRA a ajouté une catégorie de « informations personnelles sensibles » (SPI) avec des exigences de consentement opt-in pour certains usages. Les catégories particulières de l'article 9 du RGPD sont similaires mais non identiques. Par exemple, le CPRA inclut les numéros de pièce d'identité gouvernementale, la géolocalisation précise et l'appartenance syndicale comme SPI ; le RGPD inclut l'origine raciale ou ethnique, les convictions religieuses et les données de santé. Une entreprise doit cartographier ses types de données par rapport aux deux définitions séparément.
Seuils de champ d'application. Le CCPA/CPRA s'applique aux entreprises à but lucratif qui remplissent l'un des trois seuils suivants : chiffre d'affaires brut annuel supérieur à 25 millions de dollars ; achat, vente ou partage annuel d'informations personnelles de 100 000 consommateurs ou foyers ou plus ; ou tirer 50 % ou plus des revenus annuels de la vente ou du partage d'informations personnelles. Le RGPD n'a aucun seuil de chiffre d'affaires ou de volume ; toute entreprise qui remplit les tests de l'article 3(2) est couverte, quelle que soit sa taille, sous réserve d'obligations plus étroites pour les sous-traitants plus petits en vertu de certains articles.
Sous-traitant par rapport à prestataire de services. L'article 28 du RGPD utilise le terme « sous-traitant » pour les fournisseurs qui traitent des données pour le compte d'un responsable du traitement. Le CCPA/CPRA utilise « prestataire de services ». Les deux exigent un contrat écrit précisant la portée du traitement, mais les termes contractuels requis diffèrent. Un accord combiné de traitement des données / accord de prestataire de services satisfaisant aux deux régimes est réalisable mais nécessite une rédaction minutieuse.
Implication pratique. Une entreprise américaine de taille moyenne avec des utilisateurs de l'UE et des clients ou employés basés en Californie devrait traiter le RGPD et le CCPA/CPRA comme deux programmes de conformité parallèles avec une base commune de cartographie des données et de gestion des fournisseurs, et non comme un seul exercice. Les étapes d'audit se recoupent (inventaire des données, contrats fournisseurs, mise à jour de l'avis de confidentialité, processus des droits des personnes) mais les normes juridiques de fond divergent aux niveaux de la base juridique et du consentement.
Pour la comparaison complète, consultez le guide de comparaison RGPD contre CCPA.
Transferts de données UE-États-Unis : le DPF et les CCT 2021
Lorsqu'une entreprise américaine reçoit des données à caractère personnel d'une entité de l'UE (un client, un partenaire ou un fournisseur), une question juridique distincte se pose : le chapitre V du RGPD (articles 44 à 49) exige un mécanisme de transfert licite pour les données à caractère personnel circulant de l'UE vers un pays tiers, y compris les États-Unis. L'arrêt Schrems II de la CJUE (Commissaire à la protection des données c. Facebook Ireland, affaire C-311/18, 16 juillet 2020) a invalidé le mécanisme précédent du Privacy Shield, laissant un vide jusqu'à l'adoption de l'actuel DPF.
Deux outils principaux sont désormais disponibles.
Le cadre de protection des données UE-États-Unis (DPF)
Le 10 juillet 2023, la Commission européenne a adopté sa décision d'adéquation pour le cadre de protection des données UE-États-Unis, sous la forme de la décision d'exécution (UE) 2023/1795 de la Commission, au titre de l'article 45(3) du RGPD. La décision d'adéquation conclut que les États-Unis assurent un niveau de protection adéquat pour les données à caractère personnel transférées vers des organisations américaines certifiées DPF. Cela signifie que les entreprises et particuliers européens peuvent transférer des données à caractère personnel vers une entreprise américaine certifiée sans exécuter de contrat de transfert distinct ni réaliser d'analyse d'impact du transfert pour ce transfert spécifique.
Le DPF est administré par le département du Commerce des États-Unis. Une entreprise américaine s'auto-certifie annuellement auprès du département du Commerce, s'engageant à respecter les sept principes du DPF : notification, choix, responsabilité en matière de transfert ultérieur, sécurité, intégrité des données et limitation de la finalité, accès, et recours/exécution/responsabilité. La certification est publique : le département du Commerce maintient une liste consultable d'organisations certifiées sur dataprivacyframework.gov, que les entreprises européennes peuvent consulter pour vérifier le statut d'un partenaire américain.
L'admissibilité à la certification DPF est limitée aux organisations américaines relevant de la compétence de la Federal Trade Commission ou du département des Transports des États-Unis. Cela couvre la plupart des entreprises américaines du secteur privé. Toutefois, les institutions financières régies exclusivement par le GLBA, les opérateurs de télécommunications relevant de la compétence de la FCC et certaines organisations à but non lucratif peuvent ne pas être admissibles. Toute entreprise incertaine de son admissibilité devrait confirmer auprès du département du Commerce ou d'un conseil juridique avant de s'engager avec le DPF comme mécanisme de transfert.
Au titre de la décision d'adéquation du DPF, les personnes de l'UE dont les données sont transférées vers une entreprise américaine certifiée DPF disposent de quatre niveaux de recours : (1) plainte directe auprès de l'organisation certifiée (qui doit répondre dans un délai de 45 jours) ; (2) règlement indépendant des litiges par l'intermédiaire de l'un des organismes approuvés par le DPF ; (3) arbitrage contraignant par l'intermédiaire du panel DPF pour les réclamations résiduelles non résolues ; et (4) le Privacy and Civil Liberties Oversight Board (PCLOB) pour les plaintes concernant l'accès du gouvernement américain aux données transférées, un mécanisme inséré spécifiquement pour répondre aux préoccupations de sécurité nationale ayant conduit la CJUE à invalider le Privacy Shield.
La stabilité à long terme du DPF fait l'objet d'un examen juridique continu. L'autorité française de protection des données (CNIL) et d'autres ont noté que les différences structurelles entre le droit européen et américain de la surveillance demeurent, et de futures contestations devant la CJUE sont possibles. La décision d'adéquation fait l'objet d'un réexamen périodique par la Commission européenne. Les entreprises américaines souhaitant un mécanisme de transfert moins dépendant de la pérennité politique d'une seule décision d'adéquation devraient également exécuter les CCT 2021 comme mesure de ceinture et de bretelles.
Pour un traitement détaillé du risque contentieux du DPF et du mécanisme PCLOB, consultez le guide des transferts internationaux de données RGPD.
Clauses contractuelles types 2021
Les entreprises américaines qui ne sont pas certifiées DPF, ou qui préfèrent un mécanisme de transfert contractuel, utilisent les clauses contractuelles types (CCT) 2021 établies par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021. Les CCT 2021 remplacent les décisions CCT de 2001 et 2010 antérieures au RGPD ; ces anciennes clauses ne peuvent plus être utilisées pour de nouveaux transferts.
Les CCT 2021 utilisent une structure modulaire à quatre modules correspondant à différentes relations de transfert :
- Module 1 (responsable à responsable) : l'entreprise américaine reçoit des données à caractère personnel de l'UE d'un responsable du traitement de l'UE et les traite pour ses propres finalités. Exemple : une entreprise américaine d'analyse de données recevant des données de segmentation client d'une marque de l'UE pour une analyse indépendante.
- Module 2 (responsable à sous-traitant) : l'entreprise américaine traite des données à caractère personnel de l'UE strictement pour le compte d'un responsable du traitement de l'UE. Exemple : un fournisseur américain d'hébergement cloud, une plateforme de diffusion d'e-mails ou un outil d'automatisation marketing agissant en tant que sous-traitant pour une entreprise européenne.
- Module 3 (sous-traitant à sous-traitant ultérieur) : l'entreprise américaine agit en tant que sous-traitant ultérieur engagé par un sous-traitant de l'UE. Exemple : un centre de données américain utilisé par un fournisseur cloud européen.
- Module 4 (sous-traitant à responsable) : l'entreprise américaine, agissant en tant que sous-traitant, renvoie des données à son responsable du traitement de l'UE. Il s'agit du scénario le moins courant.
Une erreur dans le choix du module constitue en soi un manquement à la conformité. Une entreprise américaine qui reçoit des données de l'UE d'un partenaire commercial européen doit correctement qualifier si elle agit en tant que responsable du traitement ou sous-traitant pour cette activité de traitement avant d'exécuter les CCT.
Les CCT 2021 exigent également que les parties réalisent une analyse d'impact du transfert (TIA), dans laquelle l'importateur de données américain évalue si le droit américain (y compris les autorités de sécurité nationale telles que la section 702 du FISA et le décret exécutif 12333) entre en conflit avec ses obligations au titre des CCT. L'importateur doit notifier à l'exportateur européen s'il ne peut pas se conformer aux CCT et doit accepter des mesures supplémentaires (chiffrement, pseudonymisation, restrictions contractuelles d'accès) lorsque le droit américain crée une lacune. Les personnes concernées sont bénéficiaires tiers des CCT et peuvent faire valoir les clauses contre l'une ou l'autre partie.
Règles d'entreprise contraignantes pour les groupes multinationaux
Un troisième mécanisme de transfert, les règles d'entreprise contraignantes (BCR), est disponible pour les groupes d'entreprises multinationaux transférant des données en interne à travers les frontières. Les BCR nécessitent l'approbation d'une APD chef de file et prennent des mois à obtenir. Elles ne sont pratiques que pour les grandes multinationales avec des transferts transfrontaliers intragroupes substantiels et continus. Pour la plupart des entreprises américaines, l'auto-certification DPF ou les CCT 2021 constituent le choix opérationnel.
Application du RGPD contre les entreprises américaines : exemples réels
Les amendes de l'article 83 du RGPD s'appliquent aux entreprises non européennes dans les mêmes conditions qu'aux entités établies dans l'UE. Plusieurs actions d'application de référence ont directement impliqué des entreprises américaines ou d'origine américaine.
Meta Platforms (DPC irlandaise, mai 2023) : la Data Protection Commission (DPC) irlandaise a imposé une amende de 1,2 milliard d'euros à Meta Platforms Ireland pour avoir transféré les données d'utilisateurs de l'UE vers les serveurs américains de Meta au moyen de CCT, sans mesures supplémentaires adéquates pour combler la lacune du droit américain de la surveillance identifiée dans Schrems II. Il s'agit de la plus grosse amende RGPD unique à ce jour au milieu de 2026, impliquant une entreprise d'origine américaine avec un établissement dans l'UE (l'article 3(1) s'appliquait via la filiale irlandaise). La DPC a également ordonné à Meta de suspendre les transferts de données UE-États-Unis.
WhatsApp Ireland (DPC irlandaise, septembre 2021) : la DPC a infligé à WhatsApp une amende de 225 millions d'euros pour des violations de transparence, en particulier pour ne pas avoir fourni aux utilisateurs de l'UE des informations suffisamment claires sur la manière dont leurs données étaient partagées entre WhatsApp et les autres sociétés de Meta. Cette affaire a été menée au titre du mécanisme de guichet unique, avec l'établissement de l'UE de Meta comme responsable de traitement chef de file.
Amazon Europe (CNPD luxembourgeoise, juillet 2021) : la Commission nationale pour la protection des données du Luxembourg a infligé à Amazon une amende de 746 millions d'euros pour avoir traité les données publicitaires comportementales des utilisateurs de l'UE sans base juridique valide, en particulier pour le ciblage publicitaire construit autour de l'historique de navigation et d'achat des utilisateurs. Amazon est une entreprise américaine opérant par l'intermédiaire d'entités européennes ; la CNPD a agi en tant qu'autorité chef de file étant donné le siège européen d'Amazon au Luxembourg.
Google LLC (CNIL française, janvier 2022) : la CNIL a infligé à Google LLC (l'entité mère américaine) une amende de 150 millions d'euros pour avoir déposé des cookies publicitaires sur les appareils des utilisateurs sans consentement valide et pour avoir rendu le processus de refus des cookies plus difficile que le processus d'acceptation. Cette amende visait la société mère américaine, et non simplement sa filiale européenne.
Google Ireland (DPC irlandaise, multiples) : la DPC a mené plusieurs enquêtes contre Google Ireland, portant sur la conservation des données d'analyse et les pratiques de publicité ciblée.
Ces actions d'application démontrent plusieurs points que les entreprises américaines doivent intégrer. Premièrement, les amendes sont évaluées contre l'entreprise dans son ensemble, y compris les entités mères américaines. Deuxièmement, les mécanismes d'application contre les entités non européennes incluent la transmission des mesures d'application par l'intermédiaire des représentants au titre de l'article 27, ainsi que l'exercice d'une pression commerciale en ordonnant aux entités de l'UE de suspendre les transferts vers des partenaires américains non conformes. Troisièmement, le mécanisme de guichet unique signifie que le choix de l'établissement dans l'UE d'une entreprise américaine détermine quelle APD dirige les enquêtes transfrontalières, et la DPC irlandaise ainsi que la CNPD luxembourgeoise sont devenues des autorités chefs de file particulièrement actives pour les grandes entreprises technologiques.
La liste de contrôle complète de conformité RGPD pour les entreprises américaines
Établir que le RGPD s'applique n'est que le point d'entrée, pas l'aboutissement. Une entreprise américaine relevant du champ d'application de l'article 3(2) doit satisfaire l'ensemble complet des obligations de responsable du traitement du RGPD :
Étape 1 : désigner un représentant UE au titre de l'article 27. Désignation écrite, présence dans un État membre de l'UE, identité divulguée dans l'avis de confidentialité. Exception : uniquement si l'exception étroite de l'art. 27(2) s'applique véritablement.
Étape 2 : réaliser un exercice de cartographie des données. Identifier chaque catégorie de données à caractère personnel de l'UE traitée, la finalité de chaque activité de traitement, la base juridique invoquée, la durée de conservation et tout sous-traitant ou destinataire tiers. Cela alimente le registre des activités de traitement de l'article 30.
Étape 3 : établir des bases juridiques pour chaque activité de traitement. Au titre de l'article 6(1), chaque activité de traitement doit reposer sur l'une des six bases juridiques : consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public ou intérêts légitimes (qui requiert un test de mise en balance). Les activités marketing requièrent généralement le consentement. La base de la nécessité contractuelle s'applique lorsque le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée. L'intérêt légitime requiert un test documenté en trois parties : l'intérêt est légitime, le traitement lui est nécessaire, et les intérêts et droits de la personne concernée ne l'emportent pas.
Étape 4 : mettre à jour l'avis de confidentialité. L'avis d'information au titre des articles 13/14 doit divulguer : l'identité et les coordonnées du responsable du traitement et (le cas échéant) du représentant UE ; les finalités et bases juridiques de chaque activité de traitement ; tout transfert vers un pays tiers et le mécanisme utilisé ; les durées de conservation ; et les droits de la personne concernée (accès, rectification, effacement, limitation, portabilité, opposition et droit de déposer une plainte auprès d'une autorité de contrôle).
Étape 5 : construire un flux de traitement des droits des personnes concernées (DSR). Le RGPD accorde aux résidents de l'UE le droit d'accéder à leurs données (art. 15), de les corriger (art. 16), de les effacer (art. 17), de limiter le traitement (art. 18), de recevoir une copie portable (art. 20) et de s'opposer au traitement (art. 21). Les demandes doivent généralement recevoir une réponse dans un délai d'un mois calendaire, avec une extension possible de deux mois pour les demandes complexes. Aucun frais n'est autorisé pour la première demande de chaque année.
Étape 6 : réaliser un audit des cookies et du consentement. La plupart des sites web d'entreprises américaines déploient des cookies publicitaires et d'analyse qui nécessitent un consentement RGPD valide (libre, spécifique, éclairé, univoque, et aussi facile à retirer qu'à donner) avant activation. L'EDPB et plusieurs APD ont confirmé que les cases précochées, le consentement groupé et les « murs de consentement » (exigeant le consentement pour accéder au site) ne satisfont pas le consentement RGPD. Une approche de gestion du consentement conforme nécessite un avis en couches avec des opt-in granulaires et un mécanisme de retrait du consentement à tout moment.
Étape 7 : exécuter des accords de sous-traitance au titre de l'article 28. Chaque fournisseur ou sous-traitant qui traite des données à caractère personnel de l'UE pour le compte de l'entreprise (stockage cloud, diffusion d'e-mails, CRM, analyse, outils de support) nécessite un accord de traitement des données écrit au titre de l'article 28(3) précisant la portée du traitement, les instructions, les obligations de sécurité, les règles de sous-traitance ultérieure, les droits d'audit et les obligations de restitution ou de suppression à la fin du contrat.
Étape 8 : choisir un mécanisme de transfert de données. Si l'entreprise reçoit des données à caractère personnel de l'UE d'entités ou de particuliers européens, vérifiez si l'entreprise est certifiée DPF ou si des CCT 2021 sont en place pour chaque relation de transfert concernée.
Étape 9 : établir une procédure de notification des violations. L'article 33 exige la notification à l'autorité de contrôle compétente dans un délai de 72 heures après avoir pris connaissance d'une violation de données à caractère personnel, sauf si la violation est peu susceptible d'engendrer un risque pour les personnes physiques. Le délai de 72 heures commence lorsque l'équipe interne de l'entreprise prend connaissance de la violation, et non lorsque l'enquête judiciaire est terminée. Une notification préliminaire peut être soumise dans les 72 heures, avec des détails supplémentaires à suivre.
Étape 10 : évaluer si un délégué à la protection des données (DPO) est requis. L'article 37 du RGPD exige un DPO pour : les autorités publiques ; les entreprises dont les activités principales exigent un suivi régulier, systématique et à grande échelle des personnes ; et les entreprises dont les activités principales impliquent un traitement à grande échelle de données de catégorie particulière (santé, biométrie, données génétiques, données pénales). La plupart des entreprises américaines engagées dans du SaaS, du commerce en ligne ou des services professionnels standards n'atteindront pas le seuil du DPO, mais les entreprises exploitant l'ad-tech à grande échelle, la technologie de la santé ou les plateformes d'analyse RH devraient évaluer la question avec attention.
Étape 11 : réaliser des analyses d'impact relatives à la protection des données (AIPD) lorsque requises. L'article 35 exige une AIPD avant d'entamer tout traitement susceptible d'engendrer un risque élevé pour les personnes physiques, y compris le profilage à grande échelle, le suivi systématique de zones accessibles au public et le traitement de données de catégorie particulière à grande échelle.
Étape 12 : tenir un registre des activités de traitement au titre de l'article 30. Les responsables du traitement doivent tenir un registre écrit de toutes les activités de traitement, disponible sur demande des autorités de contrôle. L'exception de l'article 30(5) pour les entreprises de moins de 250 employés est étroite et ne s'applique pas si le traitement est continu, présente des risques pour les personnes concernées, ou implique des données de catégorie particulière.
Avertissement : cet article présente des informations juridiques générales sur le champ d'application territorial du RGPD et son application aux entreprises basées aux États-Unis. Il ne constitue pas un avis juridique et ne crée pas de relation avocat-client. Les déterminations de conformité RGPD sont propres aux faits et dépendent de la manière dont votre organisation traite les données à caractère personnel. Consultez un avocat ou un professionnel de la protection des données agréé dans votre juridiction pour un conseil sur votre situation spécifique. Informations vérifiées à juin 2026.
Frequently Asked Questions
Le RGPD s'applique-t-il aux entreprises américaines ?
Oui, le RGPD s'applique aux entreprises américaines qui remplissent l'un des deux tests de l'article 3(2) : l'entreprise offre des biens ou des services à des personnes dans l'UE (même gratuitement), ou elle surveille le comportement de personnes dans l'UE, par exemple au moyen de pixels publicitaires, de profilage analytique ou de suivi de localisation. Une présence physique ou un établissement dans l'UE n'est pas requis. L'analyse repose sur le fait que l'entreprise cible intentionnellement les utilisateurs de l'UE ou surveille techniquement leur comportement pendant qu'ils se trouvent dans l'Union.
Mon site web américain doit-il se conformer au RGPD ?
Cela dépend si votre site web remplit l'un des deux déclencheurs de l'article 3(2). Si votre site web accepte des paiements en euros, propose une livraison vers l'UE, diffuse de la publicité ciblée vers l'UE, ou utilise des analyses ou des pixels publicitaires qui suivent des visiteurs individuels de l'UE dans le temps, le RGPD s'applique probablement. Le considérant 23 précise que la simple accessibilité d'un site web dans l'UE ne suffit pas : un site en anglais uniquement destiné aux États-Unis, sans fonctionnalité, option de paiement ou publicité destinée à l'UE, est peu susceptible de déclencher le RGPD à lui seul, même si des résidents de l'UE le visitent occasionnellement.
Qu'est-ce qu'un représentant UE au titre de l'article 27 et mon entreprise américaine en a-t-elle besoin ?
Un représentant au titre de l'article 27 est une personne physique ou une organisation établie dans un État membre de l'UE qu'une entreprise non européenne désigne comme point de contact local pour les personnes concernées et les autorités de contrôle. Votre entreprise américaine en a besoin si l'article 3(2) s'applique à votre traitement et si l'exception étroite de l'article 27(2) ne s'applique pas : cette exception ne couvre que le traitement occasionnel, n'impliquant pas de données de catégorie particulière à grande échelle et présentant un risque minimal pour les personnes concernées. La plupart des entreprises américaines avec une base de clientèle européenne continue, une liste de marketing ou un programme d'analyse doivent désigner un représentant. Le défaut de le faire constitue une violation de niveau 1 au titre de l'article 83(4), avec des amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.
L'UE peut-elle sanctionner une entreprise américaine sans actifs dans l'UE ?
Oui. Les amendes RGPD sont évaluées contre l'entreprise et peuvent être appliquées de multiples façons : par l'intermédiaire du représentant au titre de l'article 27, par des injonctions ordonnant à des partenaires basés dans l'UE de suspendre les transferts de données vers l'entreprise américaine non conforme, et par des mécanismes d'application juridique transfrontaliers. Les APD de l'UE ont imposé des amendes dépassant 1 milliard d'euros contre des entreprises basées aux États-Unis opérant par l'intermédiaire de filiales européennes. Une entreprise américaine opérant entièrement sans actifs dans l'UE est plus difficile à recouvrer, mais les conséquences réputationnelles et commerciales d'une injonction d'application bloquant les transferts de données de l'UE sont graves dans tous les cas.
Quelle est la différence entre le RGPD et le CCPA pour une entreprise américaine ?
Le RGPD exige une base juridique pour chaque activité de traitement avant qu'elle ne commence (un modèle d'autorisation préalable), tandis que le CCPA/CPRA utilise un modèle d'opt-out a posteriori pour la vente ou le partage d'informations personnelles. La norme de consentement du RGPD exige une indication d'accord libre, spécifique, éclairée et univoque ; le cadre général du CCPA autorise le traitement sauf si le consommateur s'oppose à la vente ou au partage. Le RGPD s'applique à toute entreprise ciblant ou surveillant des résidents de l'UE, quel que soit son chiffre d'affaires ; le CCPA/CPRA s'applique aux entreprises californiennes à but lucratif remplissant des seuils spécifiques de chiffre d'affaires ou de volume de données. Une entreprise ayant une exposition à la fois européenne et californienne nécessite les deux programmes de conformité, bien que la base commune de cartographie des données et de gestion des fournisseurs puisse être partagée.
Qu'est-ce que le cadre de protection des données UE-États-Unis et comment fonctionne l'auto-certification ?
Le cadre de protection des données UE-États-Unis (DPF) est un mécanisme d'adéquation adopté par la Commission européenne le 10 juillet 2023 (décision 2023/1795). Il permet aux entités de l'UE de transférer des données à caractère personnel vers des organisations américaines auto-certifiées sans exécuter de clauses contractuelles types pour chaque transfert. Une entreprise américaine s'auto-certifie annuellement auprès du département du Commerce des États-Unis en s'engageant à respecter les sept principes du DPF (notification, choix, responsabilité en matière de transfert ultérieur, sécurité, intégrité des données et limitation de la finalité, accès, et recours/exécution/responsabilité). La certification est limitée aux entreprises relevant de la compétence de la FTC ou du département des Transports. Les organisations certifiées DPF sont répertoriées publiquement sur dataprivacyframework.gov.
La certification DPF signifie-t-elle qu'une entreprise américaine est pleinement conforme au RGPD ?
Non. La certification DPF concerne uniquement le mécanisme de transfert de données : elle permet aux données à caractère personnel de l'UE de circuler licitement vers l'entreprise américaine certifiée sans exécution de CCT pour chaque transfert. Elle ne remplace pas la conformité RGPD complète. Une entreprise américaine certifiée DPF doit toujours disposer d'une base juridique pour chaque activité de traitement, fournir un avis de confidentialité au titre des articles 13/14, répondre aux demandes d'exercice des droits des personnes concernées, tenir des registres de traitement au titre de l'article 30, exécuter des accords de sous-traitance au titre de l'article 28 avec les fournisseurs, et satisfaire à toutes les autres obligations du RGPD. Le DPF est une solution de droit du transfert, pas un label général de conformité RGPD.
Quelle autorité de contrôle de l'UE a compétence sur une entreprise américaine ?
Une entreprise non européenne sans établissement dans l'UE relève de la compétence de toute autorité de contrôle d'un État membre de l'UE où se trouvent ses personnes concernées de l'UE. Si une entreprise américaine désigne un représentant au titre de l'article 27 en, par exemple, Irlande, la Data Protection Commission irlandaise a compétence principale pour les questions traitées par l'intermédiaire du représentant. En l'absence de représentant, toute APD d'un État membre où résident les personnes concernées affectées peut ouvrir une enquête. Cela diffère du mécanisme de guichet unique disponible pour les responsables du traitement établis dans l'UE, où une seule autorité chef de file coordonne l'application transfrontalière.
Les entreprises américaines B2B doivent-elles se conformer au RGPD pour les contacts commerciaux de l'UE ?
Oui, si elles traitent des données à caractère personnel de personnes physiques employées par des entreprises de l'UE. Le RGPD protège les personnes physiques, pas les entités juridiques. Les contacts commerciaux individuels (noms, adresses e-mail professionnelles, numéros de ligne directe d'employés d'entreprises de l'UE) constituent des données à caractère personnel au titre du RGPD car ils identifient une personne physique. Une plateforme SaaS américaine, un outil d'automatisation marketing ou une équipe de vente sortante traitant des données de contact d'employés de l'UE à des fins de prospection, de démarchage ou de gestion CRM peuvent être couverts au titre du test de ciblage (si des entreprises de l'UE sont délibérément ciblées) ou du test de surveillance (si les données de contact sont utilisées pour le profilage ou le suivi comportemental). L'exemption pour les données de contact professionnelles présente dans certaines lois nationales sur la protection des données n'existe pas dans le RGPD.
Quelles sont les plus grosses amendes RGPD contre des entreprises américaines ?
La plus élevée à ce jour, au milieu de 2026, est l'amende de 1,2 milliard d'euros contre Meta Platforms par la DPC irlandaise en mai 2023, pour transfert des données d'utilisateurs de l'UE vers des serveurs américains sans garanties adéquates. La CNPD luxembourgeoise a infligé à Amazon une amende de 746 millions d'euros en juillet 2021 pour traitement des données publicitaires des utilisateurs de l'UE sans base juridique valide. La DPC irlandaise a infligé à WhatsApp une amende de 225 millions d'euros en septembre 2021 pour des violations de transparence. La CNIL française a infligé à Google LLC une amende de 150 millions d'euros en janvier 2022 pour des pratiques de consentement aux cookies rendant le refus plus difficile que l'acceptation. Ces actions ont impliqué des entreprises basées aux États-Unis opérant par l'intermédiaire de filiales européennes.
Sources and References
- RGPD, art. 3, 27, 83 et considérants 23-24 (règlement (UE) 2016/679)(eur-lex.europa.eu)
- Lignes directrices 3/2018 de l'EDPB sur le champ d'application territorial (article 3 du RGPD), version 2.0, adoptées le 12 novembre 2019(edpb.europa.eu)
- Décision d'exécution (UE) 2023/1795 de la Commission : décision d'adéquation du cadre de protection des données UE-États-Unis, 10 juillet 2023(eur-lex.europa.eu)
- Décision d'exécution (UE) 2021/914 de la Commission : clauses contractuelles types pour les transferts internationaux, 4 juin 2021(eur-lex.europa.eu)
- Programme du cadre de protection des données UE-États-Unis : sept principes(dataprivacyframework.gov)
- Transferts de données UE-États-Unis : vue d'ensemble des mécanismes disponibles(commission.europa.eu)
- CJUE : Commissaire à la protection des données c. Facebook Ireland (Schrems II), affaire C-311/18, 16 juillet 2020(curia.europa.eu)
- CJUE : Google Spain c. AEPD et Mario Costeja Gonzalez, affaire C-131/12, 13 mai 2014(curia.europa.eu)