Transferts internationaux de données RGPD : CCT et adéquation (2026)

Chaque fois qu'une entreprise achemine des données à caractère personnel de l'UE vers un serveur situé hors de l'Espace économique européen, vers un fournisseur cloud américain, une société de sous-traitance indienne ou une filiale canadienne, cela déclenche une obligation juridique contraignante au titre du chapitre V du RGPD. En l'absence d'un mécanisme de transfert valide en place avant que les données ne se déplacent, ce transfert est illicite, quelle que soit la sécurité avec laquelle les données sont traitées à destination. Si vous découvrez le cadre du RGPD, commencez par Qu'est-ce que le RGPD ? avant de poursuivre.
Pourquoi le RGPD restreint les transferts internationaux de données
La protection des données à caractère personnel du RGPD ne s'arrête pas à la frontière de l'EEE. L'article 44 établit ce que les praticiens appellent le principe anti-contournement : « Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font l'objet d'un traitement ou sont destinées à un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. » Sans cette règle, une organisation pourrait échapper aux obligations du RGPD simplement en faisant transiter les données par un serveur hors UE une seule fois, puis en les transmettant n'importe où dans le monde.
La deuxième phrase de l'article 44 renforce ce point : « Toutes les dispositions du présent chapitre sont appliquées de manière à ce qu'il ne soit pas porté atteinte au niveau de protection des personnes physiques garanti par le présent règlement. » La protection suit les données partout où elles vont. Le droit interne du pays de destination en matière de confidentialité est sans pertinence pour l'analyse. Ce qui compte, c'est de savoir si le mécanisme spécifique du chapitre V utilisé maintiendra un niveau de protection substantiellement équivalent à celui garanti au sein de l'UE pour les personnes concernées dont les données sont déplacées.
Les règles du chapitre V s'appliquent à tout responsable du traitement et à tout sous-traitant couverts par le RGPD, quelle que soit la taille de l'organisation, le secteur ou le volume de transfert. Une start-up envoyant des dossiers clients à un prestataire de paiement américain est soumise aux mêmes obligations qu'une multinationale acheminant des données RH vers des filiales asiatiques. La question du seuil est simplement : le destinataire se trouve-t-il dans un pays ou territoire hors de l'EEE ? Si oui, le chapitre V s'applique.
Il convient également de préciser ce qui constitue un « transfert ». L'EDPB a confirmé dans les lignes directrices 05/2021 que l'accès à distance par un destinataire dans un pays tiers, un administrateur système se connectant depuis l'extérieur de l'EEE, ou un technicien de support récupérant une sauvegarde, constitue un transfert même si aucun fichier n'est physiquement copié à travers une frontière. Les responsables du traitement doivent cartographier tous ces points d'accès lors de l'évaluation de leur exposition en matière de transfert.
La hiérarchie décisionnelle à trois niveaux
Le chapitre V du RGPD établit une hiérarchie structurée d'outils de transfert. Cette hiérarchie doit être appliquée dans l'ordre : le niveau 1 (décisions d'adéquation) est vérifié en premier ; ce n'est que si aucune décision d'adéquation n'existe que le niveau 2 (garanties appropriées) devient pertinent ; et ce n'est que si les options du niveau 2 sont véritablement indisponibles ou infaisables que le niveau 3 (dérogations de l'article 49) entre en jeu. Les autorités de contrôle ont systématiquement rejeté les tentatives de passer directement aux dérogations lorsque des options du niveau 2 étaient disponibles.
Le tableau ci-dessous résume les trois niveaux et les mécanismes individuels au sein de chacun.
| Mécanisme | Article | Quand l'utiliser |
|---|---|---|
| Décision d'adéquation | Art. 45 | Le pays de destination figure sur la liste d'adéquation actuelle de la Commission (aucun contrat nécessaire) |
| Clauses contractuelles types | Art. 46(2)(c) | Tout transfert vers un pays non adéquat ; outil le plus courant |
| Règles d'entreprise contraignantes (responsable) | Art. 47 | Transferts intragroupes au sein d'une multinationale, approuvés par l'APD chef de file |
| Règles d'entreprise contraignantes (sous-traitant) | Art. 47 | Transferts intragroupes dans une chaîne de sous-traitance, approuvés par l'APD chef de file |
| Clauses contractuelles ad hoc | Art. 46(3)(a) | Clauses sur mesure approuvées par l'APD pour des scénarios de transfert inhabituels |
| Code de conduite approuvé | Art. 46(2)(e) | Code sectoriel approuvé au titre de l'art. 40 par l'APD compétente |
| Certification approuvée | Art. 46(2)(f) | Mécanisme de certification approuvé au titre de l'art. 42 |
| Instrument juridiquement contraignant (autorités publiques) | Art. 46(2)(a) | Accords de partage de données de gouvernement à gouvernement |
| Consentement explicite | Art. 49(1)(a) | Transfert occasionnel et non répétitif avec consentement spécifique et éclairé de la personne concernée |
| Nécessité contractuelle | Art. 49(1)(b) | Transfert objectivement nécessaire à un contrat avec la personne concernée |
| Intérêt public important | Art. 49(1)(d) | Motifs d'intérêt public reconnus par le droit de l'UE ou des États membres |
| Actions en justice | Art. 49(1)(e) | Constatation, exercice ou défense de droits en justice |
| Intérêts vitaux | Art. 49(1)(f) | Protéger la vie lorsque la personne concernée est incapable de consentir |
Niveau 1 : décisions d'adéquation au titre de l'article 45
L'article 45(1) offre la voie de transfert la plus simple possible : « Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique. »
En termes pratiques, un transfert vers une juridiction adéquate ne nécessite aucun contrat sur mesure, aucune analyse de risque et aucune notification aux autorités de contrôle. Le transfert est traité de la même manière qu'un transfert au sein de l'UE. À la mi-2026, 17 juridictions bénéficient d'un statut d'adéquation : Andorre, Argentine, Brésil (adéquation accordée le 26 janvier 2026), les îles Féroé, Guernesey, Israël, l'île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée (décembre 2021), la Suisse, le Royaume-Uni (adéquation renouvelée le 19 décembre 2025), les États-Unis (organisations commerciales certifiées au titre du cadre de protection des données UE-États-Unis uniquement), l'Uruguay et l'Organisation européenne des brevets (juillet 2025).
Les décisions d'adéquation ne sont pas des reconnaissances permanentes d'équivalence. L'article 45(3) exige que la Commission procède à un réexamen périodique au moins tous les quatre ans et confère à la Commission le pouvoir d'abroger, de modifier ou de suspendre une décision si le niveau de protection du pays concerné devient insuffisant. L'article 45(4) exige que la Commission surveille en permanence les évolutions dans les pays tiers et les organisations internationales susceptibles d'affecter le fonctionnement des décisions existantes. La décision d'adéquation du Royaume-Uni, par exemple, a fait l'objet d'un réexamen à échéance et a été renouvelée en décembre 2025 après un examen des évolutions législatives post-Brexit. La décision d'adéquation du Japon a été réexaminée et confirmée, bien que la Commission ait noté des règles supplémentaires négociées avec la commission japonaise de protection des informations personnelles.
La Commission évalue l'adéquation en examinant l'État de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente en vigueur (tant générale que sectorielle, y compris la sécurité publique, le droit pénal et le droit de la sécurité internationale), l'existence d'autorités de contrôle indépendantes dotées de pouvoirs d'application adéquats, et les engagements internationaux souscrits par le pays. Aucun pays n'est déclaré adéquat au seul motif qu'il a adopté une loi sur la confidentialité. La Commission doit également évaluer l'application en pratique.
Pour les transferts qui échappent partiellement à une décision d'adéquation, par exemple les transferts vers des organismes gouvernementaux canadiens, non couverts par la décision d'adéquation sectorielle commerciale du Canada, ou les transferts vers des organisations américaines non certifiées DPF, le responsable du traitement doit utiliser un mécanisme de l'article 46 pour ces flux non couverts. Les décisions d'adéquation excluent fréquemment les autorités publiques, les organismes chargés de l'application de la loi ou des secteurs spécifiques. Il est essentiel de lire attentivement la portée de la décision concernée.
Pour la liste complète et actuelle des pays adéquats, les textes des décisions et les résumés de portée, consultez notre page dédiée Décisions d'adéquation de l'UE.
Niveau 2 : garanties appropriées au titre de l'article 46
Pour la grande majorité des destinations dans le monde, y compris la Chine, l'Inde, la Russie, et la plupart des organisations américaines non certifiées DPF, aucune décision d'adéquation n'existe. L'article 46(1) apporte la solution : « En l'absence de décision en vertu de l'article 45, paragraphe 3, un responsable du traitement ou un sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a offert des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. »
L'article 46(2) énumère les garanties qui ne nécessitent pas d'autorisation préalable au cas par cas de l'autorité de contrôle, ce qui signifie que le responsable du traitement ou le sous-traitant peut les mettre en œuvre sans demander d'approbation réglementaire préalable : instruments juridiquement contraignants entre autorités publiques, BCR approuvées au titre de l'article 47, CCT adoptées par la Commission, clauses types adoptées par une autorité de contrôle et approuvées par la Commission, codes de conduite approuvés au titre de l'article 40, et certifications approuvées au titre de l'article 42. Les garanties nécessitant une autorisation préalable de l'APD sont énumérées à l'article 46(3) : clauses contractuelles ad hoc et arrangements administratifs entre autorités publiques.
Les clauses contractuelles types en détail
Les CCT modernisées de la Commission ont été adoptées le 4 juin 2021 par la décision d'exécution (UE) 2021/914 de la Commission, publiée au Journal officiel de l'UE à la référence L 199/31 le 7 juin 2021. Elles ont remplacé trois ensembles de CCT adoptés sous l'ancienne directive 95/46/CE (décisions de la Commission 2001/497/CE et 2010/87/UE), qui ont été abrogées avec effet au 27 septembre 2021. Une période transitoire a couru jusqu'au 27 décembre 2022, durant laquelle les contrats reposant sur les anciennes CCT et conclus avant le 27 septembre 2021 pouvaient rester valides sans modification. Après le 27 décembre 2022, tout nouveau recours aux anciennes CCT est devenu illicite.
Les CCT 2021 utilisent une architecture modulaire : plutôt que de publier des ensembles de CCT distincts pour chaque scénario de transfert, la Commission a publié un document unique dans lequel les parties choisissent le module applicable. Les quatre modules sont :
- Module 1 (responsable à responsable) : couvre les situations où un responsable du traitement dans l'EEE exporte des données vers un responsable du traitement hors de l'EEE. Chaque partie est indépendamment responsable de la conformité à ses propres obligations. Cas d'usage typique : partage de données clients entre deux partenaires commerciaux.
- Module 2 (responsable à sous-traitant) : module le plus largement utilisé. Couvre un responsable du traitement dans l'EEE engageant un sous-traitant hors de l'EEE (par exemple, un fournisseur d'infrastructure cloud américain ou un service de paie externalisé). Le sous-traitant ne doit agir que sur les instructions documentées du responsable du traitement.
- Module 3 (sous-traitant à sous-traitant) : couvre un sous-traitant dans l'EEE engageant un sous-traitant ultérieur hors de l'EEE, agissant sur les instructions du responsable du traitement en amont. L'autorisation du responsable du traitement d'origine est requise avant l'établissement de la relation de sous-traitance ultérieure.
- Module 4 (sous-traitant à responsable) : couvre un sous-traitant hors de l'EEE renvoyant ou envoyant des données à son responsable du traitement au sein de l'EEE. Ce scénario survient lorsqu'un sous-traitant hors EEE collecte des données pour le compte d'un responsable du traitement de l'EEE (par exemple, une société d'études de marché américaine traitant des données de répondants européens et renvoyant les résultats à son client de l'UE).
Les CCT 2021 ont également introduit un mécanisme d'adhésion (« docking ») : de nouvelles parties peuvent rejoindre une relation CCT existante en contresignant les clauses, évitant ainsi de devoir réexécuter un ensemble complet de CCT chaque fois que l'accord de traitement s'élargit. Cela simplifie la conformité pour les chaînes d'approvisionnement complexes.
Les parties peuvent ajouter des garanties supplémentaires ou des termes propres à leur activité aux CCT, à condition que ces ajouts ne contredisent pas les clauses obligatoires et ne réduisent pas le niveau de protection des personnes concernées. Elles ne peuvent pas supprimer ou modifier les dispositions obligatoires.
Un ajout structurel essentiel des CCT 2021 est la clause 14 : lois et pratiques locales affectant le respect des clauses. La clause 14(a) exige que les parties garantissent qu'elles n'ont aucune raison de penser que les lois et pratiques du pays de destination empêchent l'importateur de respecter ses obligations au titre des CCT. La clause 14(c) impose une obligation d'évaluation documentée, précisant que les parties doivent évaluer si les lois du pays de destination respectent l'essence des droits et libertés fondamentaux et ne vont pas au-delà de ce qui est nécessaire et proportionné dans une société démocratique. Cette clause codifie effectivement l'obligation d'analyse d'impact du transfert imposée par Schrems II, en en faisant une obligation contractuelle expresse entre l'exportateur et l'importateur plutôt qu'une simple attente réglementaire.
Pour un guide étape par étape de sélection des modules, un modèle d'évaluation de la clause 14 et des commentaires sur les clauses clés des CCT, consultez notre page dédiée Clauses contractuelles types.
Les règles d'entreprise contraignantes en détail
Les BCR sont des codes internes de protection des données juridiquement contraignants qu'un groupe multinational adopte pour régir les transferts intragroupes de données à caractère personnel depuis l'EEE vers des entités du groupe hors de l'EEE. L'article 47(1) précise que les BCR doivent être juridiquement contraignantes, s'appliquer à chaque membre du groupe et être appliquées par celui-ci, doivent conférer expressément des droits opposables aux personnes concernées en ce qui concerne le traitement de leurs données à caractère personnel, et doivent satisfaire aux exigences énumérées à l'article 47(2).
L'article 47(2) fixe une liste de contenu minimal. Les BCR doivent préciser la structure du groupe et les coordonnées des membres ; les transferts de données, y compris les catégories de données, le type de traitement et la finalité ; leur nature juridiquement contraignante ; l'application des principes généraux de protection des données (limitation de la finalité, minimisation des données, conservation limitée, etc.) ; les droits des personnes concernées et la manière de les exercer ; les dispositions relatives à la responsabilité et au traitement des plaintes ; et la manière dont une autorité de contrôle peut auditer la conformité.
Le RGPD distingue les BCR de responsable (régissant les transferts intragroupes où les entités de l'EEE sont les responsables du traitement) des BCR de sous-traitant (régissant les chaînes de sous-traitance intragroupes). L'EDPB a publié des documents de travail et des recommandations dédiés pour chaque type. Les BCR de responsable sont régies principalement par les recommandations 1/2022 de l'EDPB ; les BCR de sous-traitant disposent de leur propre cadre.
Le processus d'approbation des BCR comprend : la soumission des BCR provisoires à l'autorité de contrôle chef de file compétente (généralement l'APD du pays où se trouve l'entité de l'EEE dotée de l'établissement principal) ; l'examen par l'APD chef de file et la rédaction d'une décision au titre du mécanisme de cohérence de l'article 63 du RGPD ; l'examen de la décision par l'EDPB et l'émission d'un avis ; et l'approbation finale par l'APD chef de file reflétant les retours de l'EDPB. Le processus prend généralement de 12 à 18 mois, même pour des dossiers bien préparés. Les autorisations de BCR antérieures au RGPD, délivrées au titre de la directive 95/46/CE, restent valides sauf modification ou abrogation.
La limite clé : les BCR ne couvrent que les transferts au sein du groupe. Elles n'autorisent pas les transferts vers des sous-traitants ou responsables du traitement tiers non affiliés. Une organisation ayant obtenu l'approbation de BCR pour les transferts intragroupes a toujours besoin de CCT ou d'un autre mécanisme de l'article 46 pour les sous-traitants externes.
Schrems II : l'arrêt qui a tout changé
L'arrêt de la CJUE de juillet 2020 dans l'affaire C-311/18, Commissaire à la protection des données c. Facebook Ireland Limited et Maximillian Schrems, est l'arrêt le plus déterminant en matière de transfert de données de l'histoire du RGPD. Il a remodelé la conformité en matière de transfert international de données de deux manières fondamentales.
La première décision : la Cour a invalidé la décision 2016/1250 de la Commission, qui avait établi le Privacy Shield UE-États-Unis. La Cour a constaté que le cadre juridique américain, en particulier la section 702 du Foreign Intelligence Surveillance Act et le décret exécutif 12333, ne fournissait pas aux personnes concernées de l'UE une protection substantiellement équivalente à celle garantie au sein de l'UE, car les programmes de surveillance américains permettaient un accès aux données à caractère personnel d'une manière non strictement nécessaire et proportionnée à ce qui était requis dans une société démocratique. La Cour a également constaté que les personnes concernées de l'UE manquaient d'un recours judiciaire effectif contre l'accès des agences de renseignement américaines à leurs données, une exigence au titre de l'article 47 de la Charte des droits fondamentaux de l'UE. Les transferts via le Privacy Shield vers les États-Unis sont devenus illicites le 16 juillet 2020, jour du prononcé de l'arrêt.
La seconde décision, avec un effet mondial plus large : la Cour a validé les CCT comme mécanisme de transfert mais a imposé une obligation conditionnelle. Les CCT créent des droits et obligations contractuels entre l'exportateur et l'importateur mais ne peuvent pas lier les autorités gouvernementales du pays de destination. Avant de s'appuyer sur les CCT, les parties doivent évaluer si les lois du pays de destination compromettent l'efficacité pratique des clauses. Si l'importateur ne peut pas se conformer aux obligations des CCT compte tenu du droit local, l'exportateur de données doit suspendre ou mettre fin au transfert. Si l'autorité de contrôle concernée prend connaissance d'une telle situation, elle est tenue, au titre de l'article 58(2)(f), de suspendre ou d'interdire le transfert.
Cet arrêt a immédiatement mis l'accent sur ce qui est devenu les analyses d'impact du transfert. Les responsables du traitement s'appuyant sur les CCT ne pouvaient plus simplement exécuter le modèle et considérer l'analyse de conformité comme terminée. Ils devaient documenter une évaluation juridique et factuelle réelle du droit du pays de destination et, si l'évaluation identifiait des lacunes, soit mettre en œuvre des mesures supplémentaires pour y remédier, soit s'abstenir du transfert.
La chronologie Schrems : Safe Harbor, Privacy Shield, DPF
La relation de transfert de données UE-États-Unis a été façonnée par trois cadres successifs, chacun adopté après l'invalidation de son prédécesseur.
Safe Harbor (2000-2015) : le cadre original d'auto-certification américain au titre de la décision 2000/520/CE de la Commission permettait aux entreprises américaines de s'auto-certifier conformes aux principes du Safe Harbor. En octobre 2015, la CJUE a invalidé le Safe Harbor dans l'affaire C-362/14 (Maximillian Schrems c. Commissaire à la protection des données, connue sous le nom de Schrems I), constatant que la Commission n'avait pas compétence pour limiter les pouvoirs des autorités de contrôle nationales d'enquêter sur des plaintes simplement en déclarant la protection d'un pays adéquate, et que le Safe Harbor ne satisfaisait pas à l'équivalence car le droit américain permettait un accès étendu par les autorités publiques sans contraintes de proportionnalité.
Privacy Shield (2016-2020) : le Privacy Shield a été adopté par la décision 2016/1250 de la Commission le 12 juillet 2016 en remplacement du Safe Harbor, intégrant des engagements supplémentaires et un mécanisme de médiateur pour les plaintes des personnes concernées de l'UE. Il a été invalidé par Schrems II le 16 juillet 2020 pour les motifs décrits ci-dessus. Les organisations s'appuyant uniquement sur le Privacy Shield pour les transferts vers les États-Unis ont immédiatement perdu leur base de transfert. Celles disposant de CCT en parallèle ont dû réaliser des analyses d'impact du transfert pour évaluer si ces CCT restaient viables.
Cadre de protection des données UE-États-Unis (2023-présent) : le 10 juillet 2023, la Commission a adopté la décision d'exécution (UE) 2023/1795, jugeant les États-Unis adéquats pour les organisations certifiées DPF. La base juridique de cette constatation d'adéquation est le décret exécutif américain 14086 du 7 octobre 2022, « Enhancing Safeguards for United States Signals Intelligence Activities », qui a imposé des contraintes de proportionnalité et de nécessité à la collecte de renseignement électromagnétique américain et a établi la Data Protection Review Court comme organisme indépendant chargé de statuer sur les plaintes des personnes concernées de l'UE. La DPRC est un nouveau mécanisme judiciaire doté du pouvoir d'ordonner des recours, y compris la suppression de données collectées de manière irrégulière, contraignant pour les agences de renseignement américaines.
La décision d'adéquation du DPF est limitée en portée. Elle couvre uniquement les transferts vers des organisations américaines qui se sont auto-certifiées aux principes du DPF (disponibles sur le site du DPF géré par le département du Commerce des États-Unis) et qui relèvent de la compétence de la Federal Trade Commission ou du département des Transports. Environ 2 700 organisations américaines étaient certifiées à la mi-2026. Les institutions financières américaines et les autres entités hors compétence FTC/DoT sont exclues et doivent utiliser des CCT.
La pérennité juridique du DPF est contestée. Le Parlement européen a adopté une résolution le 11 avril 2023 exprimant des préoccupations quant à l'adéquation des garanties américaines, et des organisations de défense des libertés civiles ont signalé leur intention de contester la décision devant la CJUE. Les organisations s'appuyant sur le DPF comme seule base de transfert vers les États-Unis devraient maintenir des dispositifs de repli fondés sur les CCT afin qu'une éventuelle invalidation future ne crée pas d'urgence de conformité.
Analyses d'impact du transfert : ce qu'elles sont et comment en réaliser une
Une analyse d'impact du transfert (TIA) est un exercice de diligence raisonnable structuré qu'un exportateur de données doit réaliser avant de s'appuyer sur des CCT, des BCR ou d'autres garanties de l'article 46. L'exigence de TIA découle de Schrems II et a été opérationnalisée par l'EDPB dans les recommandations 01/2020 v2.0, adoptées le 18 juin 2021. Les CCT 2021 ont intégré la TIA dans la clause 14, en faisant une obligation contractuelle entre l'exportateur et l'importateur.
Les recommandations de l'EDPB établissent une feuille de route en six étapes pour le processus de TIA :
Étape 1, connaître vos transferts. Cartographiez tous les transferts de données à caractère personnel vers des pays tiers, y compris les transferts ultérieurs et l'accès à distance par des parties hors EEE. Identifiez les catégories de données, le destinataire, le pays et le mécanisme de transfert actuellement utilisé. Cet inventaire constitue le fondement de l'évaluation.
Étape 2, vérifier l'outil de transfert utilisé. Confirmez que l'instrument de l'article 46 est un instrument pouvant en principe être utilisé pour le pays de destination. Les CCT ne peuvent, par exemple, pas être utilisées pour des transferts vers des autorités publiques du pays de destination, car les CCT ne lient que les parties du secteur privé.
Étape 3, évaluer si l'outil de transfert est effectif dans le pays de destination. C'est le cœur de la TIA. L'exportateur et l'importateur doivent évaluer si les lois et pratiques du pays de destination, en particulier ses cadres de surveillance et d'application de la loi, empêcheraient l'importateur de respecter la garantie de l'article 46 en pratique. L'EDPB recommande d'examiner : (a) si le pays de destination est membre de réseaux de surveillance multilatéraux tels que les Five Eyes ; (b) si ses lois de surveillance permettent la collecte massive du contenu des communications sans soupçon individualisé ; (c) si les personnes concernées peuvent obtenir un recours judiciaire contre l'accès gouvernemental ; et (d) l'historique des activités de surveillance dans le secteur concerné.
Étape 4, adopter des mesures supplémentaires si nécessaire. Lorsque l'étape 3 révèle une lacune, l'exportateur doit adopter des mesures supplémentaires suffisantes pour porter le niveau de protection à la norme européenne. L'EDPB les regroupe en trois catégories :
-
Mesures techniques : chiffrement de bout en bout lorsque l'importateur ou des tiers ne peuvent pas accéder à la clé en clair ; pseudonymisation (remplacement des identifiants directs par des jetons, la clé étant conservée uniquement dans l'EEE) ; traitement fractionné ou multipartite pour qu'aucune partie unique hors EEE ne détienne l'ensemble des données ; et architectures « zero-knowledge » pour le stockage cloud. L'EDPB insiste sur le fait que les mesures techniques doivent être véritablement effectives : le chiffrement n'est une mesure supplémentaire valide que si l'importateur n'a pas accès à la clé en clair et que la finalité du traitement peut être atteinte sur des données chiffrées.
-
Mesures contractuelles : dispositions exigeant que l'importateur notifie l'exportateur de toute demande d'accès gouvernemental ou de toute exigence juridiquement contraignante ; dispositions exigeant que l'importateur conteste les demandes d'accès qui semblent disproportionnées ou illicites ; clauses de transparence ; droits d'audit ; et restrictions sur les transferts ultérieurs. Les mesures contractuelles seules sont rarement suffisantes lorsque le droit de la surveillance du pays de destination prime sur les engagements contractuels, mais elles peuvent renforcer les mesures techniques.
-
Mesures organisationnelles : minimisation des données à l'exportation (transférer uniquement ce qui est strictement nécessaire) ; adoption de politiques internes exigeant une escalade en cas d'accès gouvernemental ; formation du personnel ; et tenue de journaux de transfert pour démontrer une conformité continue.
Si aucune combinaison de mesures supplémentaires ne peut combler la lacune, typiquement lorsque le droit du pays de destination prévoit un accès gouvernemental global aux données sous une forme que les mesures techniques ne peuvent empêcher, l'EDPB conclut que le transfert ne peut pas se poursuivre sur la base de l'article 46.
Étape 5, étapes procédurales et formelles. Exécutez les clauses CCT (ou un autre instrument de l'article 46), documentez le résultat de la TIA et assurez-vous que toute mesure supplémentaire est intégrée contractuellement. Conservez la documentation de la TIA comme preuve de conformité.
Étape 6, réévaluer à intervalles appropriés. Une TIA n'est pas un exercice ponctuel. L'EDPB exige que les exportateurs surveillent les évolutions juridiques dans le pays de destination et réévaluent si l'évaluation reste valide. Des changements significatifs dans le droit de la surveillance du pays de destination, de nouvelles décisions judiciaires ou des évolutions en matière d'application peuvent nécessiter une mise à jour de la TIA et, potentiellement, la suspension du transfert.
Le cadre de protection des données UE-États-Unis en pratique
Au quotidien, le DPF fonctionne comme suit. Une organisation américaine cherchant la certification DPF s'auto-certifie auprès du département du Commerce des États-Unis en s'engageant à respecter les principes du DPF, qui couvrent la notification, le choix, la responsabilité en matière de transfert ultérieur, la sécurité, l'intégrité des données et la limitation de la finalité, l'accès, et le recours/l'exécution/la responsabilité. Le département du Commerce tient une liste publique des organisations certifiées. La certification doit être renouvelée annuellement.
Les personnes concernées de l'UE dont les données sont traitées par une organisation certifiée DPF disposent de multiples voies de recours. Elles peuvent d'abord se plaindre directement auprès de l'organisation certifiée, qui doit répondre dans un délai de 45 jours. Si elles ne sont pas satisfaites, elles peuvent recourir à un mécanisme de règlement des litiges indépendant (généralement un organisme de règlement des litiges approuvé ou leur APD nationale). Si la plainte concerne un accès potentiel aux fins de sécurité nationale, elles peuvent saisir leur APD nationale, qui peut transmettre l'affaire à la DPRC. La DPRC a été créée en vertu du droit américain comme un nouveau mécanisme judiciaire au sein du pouvoir exécutif, avec des pouvoirs contraignants sur les agences de renseignement américaines.
Pour les données RH transférées de l'UE vers des entités américaines certifiées au titre des principes RH du DPF, une voie distincte s'applique : les personnes concernées de l'UE peuvent porter plainte par l'intermédiaire de leur APD nationale, qui agit comme organisme de recours.
Les organisations certifiées au titre du Privacy Shield ont automatiquement reçu une couverture DPF transitoire pendant une durée limitée mais devaient compléter une auto-certification DPF formelle pour maintenir une protection d'adéquation continue. Toute certification Privacy Shield non convertie en certification DPF a expiré.
Niveau 3 : dérogations de l'article 49, exceptions étroites, pas une voie de conformité
L'article 49(1) prévoit un dernier niveau pour les situations où ni une décision d'adéquation ni les garanties de l'article 46 ne s'appliquent ou ne sont réalisables. Il existe sept dérogations, chacune assortie de conditions strictes.
Article 49(1)(a), consentement explicite. La personne concernée doit consentir explicitement au transfert proposé, après avoir été informée des risques éventuels que ces transferts comportent en raison de l'absence de décision d'adéquation et de garanties appropriées. Le consentement doit être spécifique au transfert international lui-même ; il ne peut pas être noyé dans un avis de confidentialité général ni groupé avec le consentement au traitement global. Le considérant 111 du RGPD confirme que la dérogation est disponible « lorsque le transfert présente un caractère occasionnel et nécessaire dans le cadre d'un contrat ou d'une action en justice ».
Article 49(1)(b), nécessité contractuelle. Le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement. Le terme « nécessaire » est interprété de manière objective et stricte : le transfert doit être requis pour le contrat spécifique, et non simplement pratique ou commercialement efficace. Réserver un vol vers un pays non adéquat requiert nécessairement la transmission des données du passager à la compagnie aérienne. Acheminer les données de compte client via un entrepôt de données américain pour générer des analyses marketing ne satisfait pas au critère de « nécessité pour le contrat ».
Article 49(1)(c), démarches précontractuelles à la demande de la personne concernée. Similaire à (b) mais s'applique avant la conclusion d'un contrat. La personne concernée doit avoir demandé le transfert dans le cadre de mesures précontractuelles.
Article 49(1)(d), intérêt public important. Le transfert doit être nécessaire pour des motifs importants d'intérêt public reconnus par le droit de l'UE ou d'un État membre. Les urgences sanitaires internationales, la coopération fiscale intergouvernementale et les enquêtes sur la criminalité financière ont été reconnues comme des intérêts publics qualifiants. Cette dérogation s'applique principalement aux organismes publics et aux organisations à but non lucratif agissant dans l'intérêt public.
Article 49(1)(e), actions en justice. Le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice. Cela couvre les transferts de preuves vers des juridictions étrangères, la divulgation dans un contentieux international et les enquêtes réglementaires. Comme toutes les dérogations de l'article 49, elle ne couvre que les données nécessaires à la procédure spécifique concernée.
Article 49(1)(f), intérêts vitaux. Le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement. Les urgences médicales impliquant des patients à l'étranger constituent le cas paradigmatique.
Article 49(1)(g), registres publics. Le transfert est effectué à partir d'un registre destiné à l'information du public ou de toute personne justifiant d'un intérêt légitime, sous réserve des conditions prévues par le droit régissant ce registre.
La limitation la plus critique de toutes les dérogations de l'article 49 est qu'elles sont exceptionnelles et non structurelles. Le considérant 111 du RGPD énonce explicitement : « Ces dérogations devraient s'appliquer en particulier aux transferts de données requis et nécessaires pour des motifs importants d'intérêt public, par exemple en cas d'échange international de données entre autorités de la concurrence, administrations fiscales ou douanières, autorités de surveillance des marchés financiers, services compétents en matière de sécurité sociale ou pour la santé publique, par exemple en cas de traçage des contacts en cas de maladie contagieuse ou en vue de réduire et/ou d'éliminer le dopage dans le sport. » L'architecture des considérants et des orientations des autorités de contrôle est claire : l'article 49 ne fournit pas de base juridique pour des transferts systématiques, répétés ou de routine à grande échelle. Une organisation qui s'appuie sur le consentement de l'article 49 comme base pour un transfert continu de données RH d'employés vers une société mère américaine applique la disposition de manière erronée.
Les lignes directrices 2/2018 de l'EDPB sur les dérogations au titre de l'article 49 confirment que l'exigence de caractère « occasionnel » signifie que le transfert doit être véritablement peu fréquent et non systématique. Un transfert unique qui fait partie d'une relation commerciale continue, même si l'événement de transfert individuel se produit une fois par mois, peut être traité comme systématique si la relation prévoit des transferts répétés.
Application : amendes et interdictions de transfert
L'acheminement de données à caractère personnel de l'UE à l'étranger sans base valide au titre du chapitre V est traité comme une violation RGPD de premier plan. L'article 83(5) répertorie expressément les violations du chapitre V parmi les infractions soumises à l'amende administrative maximale : jusqu'à 20 000 000 euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice financier précédent, le montant le plus élevé étant retenu. Il s'agit du même niveau de sanction que les violations des principes fondamentaux de traitement des articles 5 et 6 et les manquements aux exigences de consentement de l'article 7.
Les amendes ne sont pas le seul outil. Les autorités de contrôle disposent, au titre de l'article 58(2), du pouvoir d'imposer des interdictions de transfert temporaires ou permanentes, le pouvoir d'ordonner qu'un transfert spécifique ou une catégorie de transferts cesse. Une interdiction de transfert peut interrompre les opérations de manière plus perturbatrice que n'importe quelle amende, en particulier pour les organisations qui dépendent d'infrastructures cloud transfrontalières. La Data Protection Commission irlandaise a émis un ordre d'interdiction de transfert contre Meta Platforms en mai 2023 (dans une procédure finalement résolue par une amende de 1,2 milliard d'euros assortie d'une interdiction) au motif que les transferts de Meta vers les États-Unis, fondés sur des CCT, ne satisfaisaient pas aux exigences de Schrems II.
D'autres actions d'application notables impliquant des transferts internationaux incluent les décisions de 2022 de la CNIL (autorité française de protection des données) constatant que l'utilisation de Google Analytics constituait un transfert illicite vers les États-Unis (car les journaux de serveur de Google LLC permettaient un accès potentiel de la NSA aux adresses IP), et l'analyse parallèle du DSB autrichien aboutissant à la même conclusion. Ces décisions s'appliquaient à des outils d'analyse largement utilisés par les sites web européens et ont incité Google à introduire des fonctionnalités d'anonymisation des données renforcées.
La combinaison d'amendes maximales et du pouvoir d'interdiction de transfert signifie que des TIA incomplètes, des évaluations CCT obsolètes ou des transferts vers des organisations américaines non certifiées et non couvertes par le DPF comportent un risque opérationnel et juridique réel. Intégrer un exercice documenté de cartographie des transferts dans les revues annuelles de conformité RGPD, et mettre à jour la TIA chaque fois que le droit du pays de destination change de manière significative, constitue la norme minimale recommandée par les autorités de contrôle.
Flux décisionnel pratique pour choisir un mécanisme de transfert
Appliquer la hiérarchie du chapitre V en pratique suit un arbre de décision séquentiel.
Étape 1 : identifier la destination. Confirmez le pays ou le territoire vers lequel les données à caractère personnel sont transférées. Rappelez-vous que l'accès à distance depuis un lieu hors EEE constitue un transfert.
Étape 2 : vérifier l'existence d'une décision d'adéquation. Consultez la liste d'adéquation actuelle de la Commission. Si une décision d'adéquation couvre le transfert (y compris la portée, s'agit-il d'une décision complète ou sectorielle ?), aucun autre mécanisme n'est requis. Consultez la page Décisions d'adéquation de l'UE pour la liste actuelle et les résumés de portée.
Étape 3 : pour les États-Unis, vérifier la certification DPF. Si la destination est une organisation américaine, vérifiez si elle figure sur la liste de certification DPF actuelle tenue par le département du Commerce. Si oui, la décision d'adéquation couvre le transfert. Si non, passez à l'étape 4.
Étape 4 : sélectionner un mécanisme de l'article 46. Pour les transferts vers des tiers externes (pas des entités du groupe), les CCT 2021 sont l'outil standard. Sélectionnez le module applicable : Module 2 pour le scénario typique responsable-sous-traitant (entreprise de l'EEE utilisant un fournisseur cloud américain), Module 1 pour le partage de données responsable-à-responsable, Module 3 pour les relations sous-traitant-sous-traitant ultérieur, ou Module 4 pour un sous-traitant hors EEE renvoyant des données à son responsable du traitement de l'EEE. Pour les transferts intragroupes au sein d'une multinationale, les BCR offrent une structure plus propre à long terme, bien que les CCT puissent être utilisées pendant que l'approbation des BCR est en attente.
Étape 5 : réaliser une analyse d'impact du transfert. Avant d'exécuter les CCT, suivez la feuille de route en six étapes de l'EDPB : inventorier le transfert, confirmer l'applicabilité du module CCT, évaluer le droit de surveillance du pays de destination, identifier les mesures supplémentaires nécessaires (techniques, contractuelles, organisationnelles), documenter la conclusion et planifier une réévaluation. L'évaluation doit être documentée par écrit et conservée comme preuve de conformité. Consultez la page Clauses contractuelles types pour un cadre détaillé de TIA.
Étape 6 : examiner un accord de traitement des données RGPD si le transfert implique un sous-traitant. Lorsque les CCT du Module 2 sont utilisées, elles intègrent les exigences de l'accord de traitement de l'article 28. Si les parties disposent d'un accord de traitement distinct, les CCT du Module 2 et cet accord doivent être cohérents ; en cas de conflit, les CCT priment.
Étape 7 : considérer l'article 49 uniquement comme un véritable dernier recours. Ce n'est qu'après avoir confirmé que les options des niveaux 1 et 2 sont véritablement indisponibles, et que le transfert est réellement occasionnel et non répétitif, qu'une dérogation de l'article 49 devrait être envisagée. Documentez la dérogation spécifique invoquée et la base factuelle de la conclusion selon laquelle elle s'applique.
Relation entre le chapitre V et les autres exigences du RGPD
Le chapitre V s'ajoute au reste du RGPD, il ne le remplace pas. Un transfert international valablement autorisé au titre du chapitre V doit toujours satisfaire à toutes les autres exigences du RGPD : le transfert doit avoir une base juridique au titre de l'article 6 (consentement, contrat, intérêts légitimes, etc.) ; si des données de catégorie particulière sont impliquées, une condition de l'article 9 doit également être satisfaite ; et le responsable du traitement doit avoir fourni à la personne concernée des informations sur le transfert au titre des articles 13 ou 14, y compris l'identité du destinataire dans le pays tiers et le mécanisme de transfert utilisé.
L'interaction entre le chapitre V et l'article 28 (obligations du sous-traitant) mérite attention. Lorsqu'une organisation transfère des données vers un sous-traitant hors EEE, elle a besoin à la fois d'un accord de traitement des données au titre de l'article 28 et d'un mécanisme de transfert au titre du chapitre V. Le Module 2 des CCT 2021 satisfait les deux exigences simultanément : il intègre le contenu obligatoire de l'article 28 dans ses clauses. Les organisations utilisant les CCT du Module 2 n'ont pas besoin d'un accord de traitement distinct, bien que beaucoup en ajoutent un par clarté organisationnelle.
Pour une explication détaillée de ce que doit contenir un accord de traitement des données RGPD et de la manière de le structurer, consultez notre page Accord de traitement des données RGPD.
Le cadre juridique plus large de protection des données de l'UE, y compris les rôles de l'EDPB, des autorités de contrôle nationales et du mécanisme de guichet unique, est couvert dans le pôle des lois européennes sur la protection des données.
Avertissement : cette page fournit des informations juridiques générales, pas un avis juridique. Les exigences de conformité RGPD sont propres aux faits et sensibles à la juridiction. Consultez un conseil juridique qualifié pour un avis adapté aux arrangements de transfert spécifiques, aux pays de destination et aux activités de traitement de votre organisation.
Sources
Les sources de cet article sont conservées dans le fichier JSON associé. Les principales sources primaires consultées incluent : le règlement (UE) 2016/679 (RGPD), articles 44 à 50 et considérants 101 à 115 (eur-lex.europa.eu) ; la décision d'exécution (UE) 2021/914 de la Commission relative aux clauses contractuelles types (eur-lex.europa.eu) ; la décision d'exécution (UE) 2023/1795 de la Commission relative au cadre de protection des données UE-États-Unis (eur-lex.europa.eu) ; l'arrêt de la CJUE dans l'affaire C-311/18 Schrems II (curia.europa.eu) ; les recommandations 01/2020 v2.0 de l'EDPB sur les mesures supplémentaires (edpb.europa.eu) ; les lignes directrices 2/2018 de l'EDPB sur les dérogations de l'article 49 (edpb.europa.eu) ; et la page des décisions d'adéquation de la Commission européenne (commission.europa.eu).
Frequently Asked Questions
Puis-je transférer des données à caractère personnel hors de l'UE au titre du RGPD ?
Oui, mais uniquement si un mécanisme de transfert valide du chapitre V est en place avant que les données ne quittent l'EEE. Les trois niveaux sont : (1) transfert vers un pays bénéficiant d'une décision d'adéquation de l'UE (aucun contrat nécessaire) ; (2) utilisation de garanties appropriées telles que les clauses contractuelles types ou les règles d'entreprise contraignantes, combinées à une analyse d'impact du transfert ; ou (3) recours à une dérogation étroite de l'article 49 pour des transferts occasionnels et non répétitifs. Les transferts continus et systématiques doivent utiliser le niveau 1 ou le niveau 2 ; les dérogations de l'article 49 ne sont pas disponibles comme mécanisme de routine.
Que sont les clauses contractuelles types au titre du RGPD ?
Les clauses contractuelles types sont des modèles contractuels préapprouvés publiés par la Commission européenne au titre de l'article 46(2)(c) du RGPD qui créent des obligations contraignantes de protection des données entre un exportateur de données de l'EEE et un importateur hors EEE. Les CCT modernisées de 2021 (décision d'exécution (UE) 2021/914 de la Commission) comportent quatre modules couvrant chaque scénario de transfert : responsable à responsable, responsable à sous-traitant, sous-traitant à sous-traitant, et sous-traitant à responsable. Elles incluent également la clause 14, qui exige des parties qu'elles réalisent une analyse d'impact du transfert confirmant que le droit du pays de destination n'empêchera pas la conformité. Les anciennes CCT ont été progressivement supprimées le 27 décembre 2022.
Qu'était Schrems II et pourquoi est-ce important ?
Schrems II est l'arrêt de la CJUE dans l'affaire C-311/18 (Commissaire à la protection des données c. Facebook Ireland et Maximillian Schrems), rendu le 16 juillet 2020. La Cour a invalidé la décision d'adéquation du Privacy Shield UE-États-Unis, constatant que le droit américain de la surveillance ne fournissait pas aux personnes concernées de l'UE une protection substantiellement équivalente ni un recours judiciaire effectif. Plus largement, l'arrêt a confirmé que les CCT sont valides mais conditionnelles : avant de s'appuyer sur les CCT, l'exportateur de données doit vérifier que les lois du pays de destination n'empêcheront pas la conformité en pratique. Si c'est le cas, des mesures supplémentaires sont requises, ou le transfert ne peut pas avoir lieu. Schrems II a fait des analyses d'impact du transfert une étape obligatoire pour chaque transfert fondé sur les CCT.
Les États-Unis sont-ils adéquats au titre du RGPD ?
Partiellement. Le 10 juillet 2023, la Commission européenne a adopté une décision d'adéquation pour le cadre de protection des données UE-États-Unis, couvrant les transferts vers des organisations américaines qui se sont auto-certifiées aux principes du DPF et relèvent de la compétence de la FTC ou du département des Transports. Environ 2 700 organisations américaines sont certifiées à la mi-2026. Les organisations américaines non certifiées DPF, ainsi que celles hors compétence FTC/DoT, doivent s'appuyer sur des CCT ou un autre mécanisme de l'article 46. Le DPF a été contesté par des organisations de défense des libertés civiles et pourrait faire l'objet d'un examen futur de la CJUE ; maintenir des dispositifs de repli fondés sur les CCT est prudent.
Qu'est-ce qu'une analyse d'impact du transfert et quand est-elle requise ?
Une analyse d'impact du transfert est une analyse juridique structurée que les exportateurs de données doivent réaliser avant de s'appuyer sur des CCT, des BCR ou d'autres garanties de l'article 46. Elle évalue si le cadre juridique du pays de destination, en particulier ses lois de surveillance et d'application de la loi, empêcherait l'importateur d'honorer les obligations du mécanisme de transfert en pratique. L'exigence de TIA a été établie par la CJUE dans Schrems II et opérationnalisée par l'EDPB dans les recommandations 01/2020 v2.0. Les CCT 2021 intègrent la TIA dans la clause 14 comme obligation contractuelle. Les TIA doivent être documentées, conservées comme preuve de conformité et mises à jour chaque fois que des évolutions juridiques pertinentes surviennent dans le pays de destination.
Que sont les règles d'entreprise contraignantes et en quoi diffèrent-elles des CCT ?
Les règles d'entreprise contraignantes sont des politiques internes de protection des données juridiquement contraignantes qu'un groupe multinational utilise pour régir les transferts intragroupes de données à caractère personnel hors de l'EEE. Elles doivent être approuvées par une autorité de contrôle chef de file de l'UE au titre de l'article 47, à la suite d'un examen de cohérence de l'EDPB, ce qui prend généralement de 12 à 18 mois. Les BCR ne couvrent que les transferts au sein du même groupe d'entreprises ; les CCT sont nécessaires pour les transferts vers des tiers non affiliés. Les BCR offrent une structure de gouvernance plus propre pour les flux intragroupes continus et évitent de devoir réexécuter des ensembles de CCT chaque fois qu'une nouvelle entité du groupe est ajoutée. Les deux nécessitent une analyse d'impact du transfert.
Puis-je utiliser le consentement explicite comme base de routine pour les transferts internationaux de données ?
Non. Les autorités de contrôle du RGPD et l'EDPB interprètent systématiquement les dérogations de l'article 49, y compris le consentement explicite, comme des exceptions étroites pour des transferts occasionnels et non répétitifs, et non comme des alternatives aux garanties de l'article 46. Les transferts de routine ou systématiques nécessitent une décision d'adéquation de niveau 1 ou une garantie appropriée de niveau 2. Même lorsque le consentement est valablement invoqué pour un transfert spécifique, il doit être spécifique au transfert international et à ses risques : il ne peut pas être intégré aux conditions générales, et les personnes concernées doivent pouvoir le retirer sans préjudice.
Quelles mesures supplémentaires peuvent rendre un transfert par CCT licite après Schrems II ?
Les recommandations 01/2020 v2.0 de l'EDPB identifient trois catégories. Les mesures techniques incluent le chiffrement de bout en bout où l'importateur ne détient aucune clé en clair, la pseudonymisation avec la clé conservée dans l'EEE, et les architectures de traitement fractionné. Les mesures contractuelles incluent les clauses de notification obligatoire en cas d'accès gouvernemental, les exigences de contestation et les droits d'audit. Les mesures organisationnelles incluent la minimisation des données à l'exportation et les politiques internes d'escalade. L'EDPB souligne que les mesures techniques doivent être véritablement effectives ; le chiffrement n'est valide que si la finalité du traitement peut être atteinte sans que l'importateur accède au texte en clair. Lorsqu'aucune combinaison de mesures ne peut éliminer la lacune, le transfert ne doit pas avoir lieu.
Quelle est la sanction maximale pour un transfert international de données illicite ?
Les violations du chapitre V du RGPD relèvent de l'article 83(5), le niveau de sanction le plus élevé : jusqu'à 20 000 000 euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice financier précédent, le montant le plus élevé étant retenu. Les autorités de contrôle disposent également, au titre de l'article 58(2), du pouvoir d'imposer des interdictions de transfert temporaires ou permanentes, qui peuvent suspendre entièrement les flux de données transfrontaliers et être plus perturbatrices sur le plan opérationnel que n'importe quelle sanction financière. L'amende de 1,2 milliard d'euros infligée à Meta Platforms par la DPC irlandaise en mai 2023, assortie d'une interdiction de transfert, illustre le risque combiné d'application.
Les règles de transfert du chapitre V s'appliquent-elles aux sous-traitants comme aux responsables du traitement ?
Oui. L'article 44 énonce que les conditions du chapitre V doivent être respectées à la fois par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs. Un sous-traitant établi dans l'EEE qui sous-traite à un sous-traitant ultérieur hors EEE doit s'assurer qu'un mécanisme du chapitre V couvre le transfert ultérieur. Le Module 3 des CCT 2021 (sous-traitant à sous-traitant) est conçu pour ce scénario et exige l'autorisation préalable du responsable du traitement d'origine avant l'établissement de l'accord de sous-traitance ultérieure.
Sources and References
- RGPD, règlement (UE) 2016/679, articles 44 à 50 et considérants 101 à 115(eur-lex.europa.eu)
- Décision d'exécution (UE) 2021/914 de la Commission relative aux clauses contractuelles types(eur-lex.europa.eu)
- Décision d'exécution (UE) 2023/1795 de la Commission, décision d'adéquation du cadre de protection des données UE-États-Unis(eur-lex.europa.eu)
- Affaire C-311/18 de la CJUE (Schrems II) - Commissaire à la protection des données c. Facebook Ireland et Maximillian Schrems(curia.europa.eu)
- Affaire C-362/14 de la CJUE (Schrems I) - Maximillian Schrems c. Commissaire à la protection des données(curia.europa.eu)
- Recommandations 01/2020 v2.0 de l'EDPB sur les mesures supplémentaires aux outils de transfert(edpb.europa.eu)
- Lignes directrices 2/2018 de l'EDPB sur les dérogations de l'article 49 au titre du règlement 2016/679(edpb.europa.eu)
- Recommandations 1/2022 de l'EDPB sur la demande d'approbation et sur les éléments et principes des règles d'entreprise contraignantes pour les responsables du traitement(edpb.europa.eu)
- Décisions d'adéquation de la Commission européenne - liste actuelle(commission.europa.eu)
- Commission européenne - Règles d'entreprise contraignantes(commission.europa.eu)
- Commission européenne - Historique des transferts de données UE-États-Unis (Safe Harbor, Privacy Shield, DPF)(commission.europa.eu)