Transfert de données transfrontalier : SCC, BCR et décisions d'adéquation
Les transferts internationaux de données comptent parmi les domaines les plus complexes techniquement et les plus incertains sur le plan juridique en matière de conformité mondiale en matière de confidentialité. Lorsque les données personnelles traversent les frontières – depuis les serveurs cloud de l’UE vers les États-Unis, du Japon vers le système RH mondial d’une multinationale, du Brésil vers un centre de traitement indien – plusieurs cadres juridiques s’appliquent simultanément, chacun exigeant la mise en place de mécanismes de transfert spécifiques avant le transfert des données.
L’arrêt Schrems II (CJUE, 16 juillet 2020) a fondamentalement bouleversé le paysage des transferts internationaux en invalidant le Privacy Shield et en obligeant les organisations à mener des évaluations d’impact sur les transferts (TIA) pour les transferts basés sur des clauses contractuelles types. Depuis lors, trois développements majeurs se sont produits : l’adéquation du cadre de confidentialité des données entre l’UE et les États-Unis (juillet 2023), la mise à jour des CCT de l’UE (juin 2021) et une prolifération de restrictions de transfert au niveau national en provenance de pays tels que la Chine (PIPL), l’Inde (loi DPDP) et l’Arabie saoudite (PDPL). Ce guide fournit une feuille de route complète pour naviguer dans le labyrinthe du transfert international de données.
Points clés à retenir
- Le RGPD de l'UE restreint les transferts de données personnelles vers des pays tiers à l'EEE sans protection adéquate ni garanties appropriées.
- Les décisions d'adéquation constituent le mécanisme le plus simple — aucune garantie supplémentaire n'est nécessaire si le pays de destination dispose des normes d'adéquation de l'UE.
- Les clauses contractuelles types (CCS 2021) sont le mécanisme le plus largement utilisé : quatre modules couvrant les transferts de contrôleur à contrôleur, de contrôleur à processeur, de processeur à contrôleur et de processeur à processeur.
- Des évaluations d'impact sur les transferts (TIA) sont requises pour les transferts basés sur le SCC : évaluez si la loi du pays de destination permet une protection efficace.
- Les règles d'entreprise contraignantes (BCR) fonctionnent pour les transferts intragroupe mais nécessitent l'approbation du DPA de l'UE — un processus de 2 à 3 ans
- Le cadre de confidentialité des données UE-États-Unis (juillet 2023) fournit un mécanisme basé sur l'adéquation pour les transferts aux États-Unis : vérifiez le statut de certification DPF – La Chine PIPL, l'Arabie saoudite PDPL et l'Inde DPDP imposent toutes des restrictions sur les transferts sortants nécessitant leurs propres mécanismes.
- Les exigences territoriales de localisation des données (Russie, Chine pour les CIIO, données santé/finance saoudiennes) interdisent totalement certains transferts sortants
La base juridique des restrictions de transfert
RGPD de l'UE, chapitre V
Le chapitre V du RGPD (articles 44 à 49) établit que les données personnelles ne peuvent être transférées vers un pays tiers que si :
- La Commission européenne a adopté une décision d'adéquation pour ce pays (article 45)
- Des garanties appropriées sont en place (article 46) — CCT, BCR, codes de conduite approuvés avec engagements contraignants, mécanismes de certification approuvés, instruments juridiquement contraignants entre autorités publiques
- Une dérogation spécifique s'applique (article 49) — consentement explicite, nécessité contractuelle, réclamations juridiques, intérêts vitaux, intérêt public, registres publics
Le principe : les données personnelles de l’UE doivent bénéficier du même niveau de protection partout où elles circulent. Le mécanisme de transfert est l’outil qui permet théoriquement d’y parvenir.
Jurisprudence clé
Schrems I (CJUE, 2015) : invalidation du cadre Safe Harbor pour les transferts UE-États-Unis, constatant que la loi américaine sur la sécurité nationale empêchait l'application efficace des principes du RGPD.
Schrems II (CJUE, 2020) : Privacy Shield invalidé (successeur de Safe Harbour) ; a constaté que les clauses modèles (SCC) restent valables en principe mais que les responsables du traitement/sous-traitants doivent vérifier au cas par cas que le pays de destination offre une protection efficace. Cela a créé l’exigence TIA.
Cadre de confidentialité des données UE-États-Unis (décision de la Commission, juillet 2023) : adopté à la suite du décret américain 14086 (octobre 2022) sur la réforme du renseignement électromagnétique. Fournit une adéquation aux participants DPF certifiés. Contesté par Max Schrems devant les tribunaux irlandais – procédure Schrems III en cours mais le DPF reste valide à moins que la CJUE ne prononce une suspension.
Décisions d'adéquation
Le mécanisme de transfert le plus simple : aucune garantie supplémentaire n'est nécessaire si la Commission a adopté une décision d'adéquation pour le pays de destination.
Décisions d'adéquation actuelles de l'UE (en mars 2026) :
- Andorre, Argentine, Canada (organisations commerciales), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, Royaume-Uni, Uruguay, États-Unis (cadre de confidentialité des données UE-États-Unis — organisations certifiées DPF uniquement)
Mises en garde importantes :
- US : Adéquation uniquement pour les organisations certifiées dans le cadre du DPF UE-États-Unis. Les transferts vers des sociétés américaines non certifiées nécessitent des SCC, des BCR ou d'autres mécanismes. Vérifiez le statut de certification DPF sur le site Web DPF (dataprivacyframework.gov) avant de vous fier à son adéquation.
- Canada : L'adéquation couvre les organisations commerciales en vertu de la LPRPDE — ne couvre pas toutes les entités canadiennes ni les lois provinciales sur le secteur privé.
- Japon : Adéquation soumise à des règles supplémentaires pour les données personnelles de l'UE
- Royaume-Uni : décision d'adéquation adoptée en juin 2021 avec une clause d'extinction de quatre ans ; renouvellement attendu en 2025
Les décisions d'adéquation sont sujettes à révision et peuvent être suspendues — l'affaire Schrems II démontre le risque de dépendance à l'adéquation. Maintenir la documentation d'urgence du SCC même là où l'adéquation s'applique actuellement.
Clauses contractuelles types (CCS UE 2021)
Les CCT de l'UE de 2021 (décision de la Commission 2021/914 du 4 juin 2021) ont remplacé les anciennes clauses modèles et ont introduit une structure modulaire couvrant les quatre scénarios de transfert :
Quatre modules
Module 1 — Contrôleur à contrôleur (C2C) : Deux contrôleurs de données. Le plus courant pour : le partage de données entre des sociétés non affiliées, l'envoi de données client à des fournisseurs CRM qui les traiteront à leurs propres fins, les partenariats de données communs.
Module 2 — Contrôleur à processeur (C2P) : le contrôleur de données sous-traite le traitement à un processeur tiers. Le plus courant pour : les services cloud, le SaaS, l'externalisation informatique, les services d'analyse, les centres de données.
Module 3 — Processeur à processeur (P2P) : Dispositions des sous-traitants. Utilisé lorsqu'un processeur utilise un sous-processeur.
Module 4 — Processeur vers contrôleur (P2C) : Le processeur renvoie les données au contrôleur. Moins courant ; utilisé dans des scénarios d’architecture spécifiques.
Composants obligatoires du SCC
Les CCS 2021 comportent des clauses obligatoires non modifiables :
- Clause 2 : Effet et invariabilité — les parties conviennent que les clauses ne peuvent être modifiées que de manière autorisée
- Clause 7 : Clause d'accueil – permettant à des parties supplémentaires de se joindre
- Article 9 : Démarche d'autorisation du sous-traitant ultérieur (autorisation écrite générale ou spécifique)
- Clause 17 : Loi applicable (doit être une loi d'un État membre dans lequel au moins un parti est établi ; ou une loi d'un État membre autorisant les droits des tiers bénéficiaires)
- Article 18 : Choix du for (tribunaux compétents de l'État membre régissant les CCS)
Ce que les parties peuvent personnaliser :
- Garanties supplémentaires au-delà du minimum (encouragées par l'EDPB)
- Contenu des annexes spécifiques à l'entreprise (description du traitement, catégories de données, mesures techniques)
- Démarche d'autorisation des sous-traitants ultérieurs (générale ou spécifique)
- Mécanisme de recours pour les personnes concernées dans le pays de destination
### IDTA britanniques
Pour les transferts depuis le Royaume-Uni (et non l'UE), utilisez l'accord international de transfert de données (IDTA) de l'ICO ou l'addendum IDTA aux SCC de l'UE. Ceux-ci ont remplacé les SCC de l'UE pour les transferts au Royaume-Uni à compter du 21 septembre 2022 (avec prolongation jusqu'au 21 mars 2024 pour les contrats SCC de l'UE préexistants).
Évaluations de l'impact des transferts (TIA)
À la suite de Schrems II, l'EDPB a publié les recommandations 01/2020 sur les transferts avec une exigence TIA obligatoire pour les transferts basés sur SCC. Le TIA est une analyse documentée évaluant si le cadre juridique du pays de destination empêche une protection efficace des données transférées.
Étapes TIA (Recommandations EDPB 01/2020)
Étape 1 — Connaissez vos transferts : cartographiez tous les transferts, y compris les transferts ultérieurs via les processeurs et sous-traitants.
Étape 2 — Vérifier les outils de transfert utilisés : Confirmer quel mécanisme de transfert s'applique (module SCC, adéquation, etc.).
Étape 3 — Évaluer la loi du pays tiers : Évaluez si la loi du pays de destination entrave l'efficacité des CCT. Facteurs pertinents :
- Le pays autorise-t-il le gouvernement à accéder aux données personnelles au-delà de ce qui est nécessaire et proportionné ?
- Existe-t-il des recours juridiques efficaces pour les citoyens de l'UE en cas de violation de leurs droits ?
- Le pays dispose-t-il d'une autorité de contrôle indépendante ?
Étape 4 — Identifier et adopter des mesures supplémentaires : Si le TIA identifie la législation problématique du pays de destination, mettre en œuvre des mesures supplémentaires :
Mesures techniques :
- Chiffrement de bout en bout (où l'importateur n'a pas accès à la clé de déchiffrement)
- Pseudonymisation du côté de l'UE avant le transfert
- Traitement fractionné/multipartite où aucun importateur unique n'a accès à l'intégralité des données
- Architecture sans connaissance
Mesures contractuelles :
- Obligation de transparence (l'importateur informe l'exportateur de toute demande juridiquement contraignante de divulgation de données)
- L'importateur conteste les demandes de divulgation de données lorsque la loi le permet
- Réduction des données traitées au minimum nécessaire
Mesures organisationnelles :
- Politiques internes limitant l'accès du gouvernement
- Personnel technique approprié pour traiter les demandes des forces de l'ordre
Étape 5 — Prendre des mesures procédurales formelles : Remplir les SCC, mettre à jour les dossiers, documenter le TIA.
Étape 6 — Réévaluer à intervalles appropriés : les TIA ne sont pas des exercices ponctuels — réévaluez lorsque : la loi du pays de destination change, les CSC sont modifiés, de nouvelles orientations importantes de l'EDPB ou des APD nationales émergent.
Considérations spécifiques au pays TIA
| Pays de destination | Questions clés liées à l'AIT | Statut |
|---|---|---|
| États-Unis | Surveillance de l'article 702 de la FISA ; Réformes du décret 14086 | DPF fournit l'adéquation aux entités certifiées ; les entités non certifiées nécessitent une TIA complète |
| Chine | Obligations d’accès aux données CSL/PIPL ; dispositions générales en matière de sécurité nationale | Défis importants en matière d'AIT ; envisager le chiffrement et la minimisation des données |
| Inde | Pouvoirs d'interception en vertu de la loi informatique ; Règles de transfert de la loi DPDP | Le TIA représente un défi étant donné le cadre de surveillance |
| Russie | Localisation des données ; Accès Roskomnadzor | Les transferts sont largement peu pratiques pour la conformité avec l'UE |
| Arabie Saoudite | Pouvoirs d'accès aux données du gouvernement ; Mécanismes de transfert PDPL | Évaluation AIT au cas par cas nécessaire |
Règles d'entreprise contraignantes (BCR)
Les BCR sont des règles de protection des données intragroupe juridiquement contraignantes approuvées par une autorité de contrôle compétente de l’UE. Il s’agit du mécanisme de transfert le plus robuste mais aussi le plus complexe à mettre en œuvre.
Les BCR couvrent :
- BCR de contrôleur : autorisez les transferts intragroupe au sein d'un groupe d'entreprises où tous les membres du groupe agissent en tant que contrôleurs.
- BCR du processeur : permettent aux sous-traitants (y compris les sociétés de services intragroupe) de recevoir et de traiter des données provenant des contrôleurs de l'UE.
Avantages BCR :
- Une fois approuvé, aucun mécanisme de transfert par transfert n'est nécessaire pour les flux intragroupe couverts
- Démontre le plus haut niveau d'engagement en matière de conformité
- Certaines APD considèrent les groupes détenteurs de BCR comme plus dignes de confiance.
Exigences BCR (article 47 du RGPD et lignes directrices de l'EDPB) :
- Obligatoire pour tous les membres du groupe et opposable aux personnes concernées en tant que tiers bénéficiaires
- Spécifier clairement la structure du groupe et les membres du groupe
- Couvrir tous les transferts et ensembles de transferts au sein du groupe
- Doit inclure : les finalités du traitement des données, les catégories de données, les destinataires, les périodes de conservation, les informations pour les membres du groupe non européens
- Préciser les droits des personnes concernées, y compris la manière de les exercer
- Inclure la vérification de la conformité (audits, formation)
- Mécanisme de reporting des changements
- Mécanisme de coopération avec les DPA
Processus BCR : adressez-vous à l'autorité de contrôle principale (l'APD où se trouve le siège social de l'entreprise dans l'UE). L’APD principale mène une procédure de reconnaissance mutuelle avec d’autres APD de l’UE. Délai : généralement 2 à 3 ans entre la demande et l'approbation. L'application nécessite une documentation complète.
Titulaires de BCR approuvés : plus de 100 groupes multinationaux disposent de BCR approuvés par la Commission européenne, notamment IBM, Marriott, BCG, Ernst & Young, Johnson & Johnson.
Restrictions de transfert vers des pays tiers
De nombreux pays hors UE imposent désormais leurs propres restrictions sur les transferts de données sortants. Cela crée une complexité de conformité bidirectionnelle pour les organisations multinationales.
Chine PIPL
Évaluation de sécurité CAC requise pour : CIIO ; transferts de plus de 100 000 données individuelles par an. Contrats standards (sur le modèle des SCC de l’UE mais spécifiques à la Chine) pour les transferts de moindre volume. Mécanisme de certification des transferts intragroupe. (Voir le guide PIPL chinois dédié pour plus de détails.)
Arabie Saoudite PDPL
Approbation ou adéquation SDAIA requise pour la plupart des transferts sortants. La localisation sectorielle (santé, finance) peut interdire totalement certains transferts. Mécanisme de clauses contractuelles types en cours d’élaboration par la SDAIA.
Loi DPDP en Inde
Approche de liste positive — transferts autorisés vers tous les pays, à l'exception de ceux spécifiquement restreints par la notification du gouvernement central. La localisation sectorielle (RBI, santé) continue de s'appliquer de manière indépendante.
Brésil LGPD
Décisions d’adéquation de l’ANPD ou garanties contractuelles requises. L'ANPD développe des modèles de clauses contractuelles standard. Consentement explicite disponible comme mécanisme alternatif.
Russie
La loi fédérale n° 149-FZ et la loi fédérale n° 152-FZ exigent que les données personnelles des citoyens russes soient initialement collectées et traitées en Russie. Virements transfrontaliers autorisés uniquement après localisation en Russie. Dans la pratique, les sanctions et les restrictions technologiques rendent les transferts de données depuis la Russie extrêmement complexes.
Liste de contrôle de conformité des transferts transfrontaliers
- Tous les transferts de données transfrontaliers cartographiés (flux du responsable du traitement, du sous-traitant, du sous-traitant secondaire)
- Mécanisme de transfert déterminé pour chaque flux (adéquation, SCC, BCR, dérogations)
- Destinations d'adéquation UE vérifiées (certification DPF vérifiée pour les destinataires américains)
- SCC UE sélectionnés : module correct pour chaque relation de transfert
- Annexes SCC complétées : description des données, mesures techniques/organisationnelles
- Évaluation de l'impact des transferts réalisée pour les transferts basés sur SCC
- Mesures supplémentaires mises en œuvre lorsque TIA identifie des problèmes
- UK IDTA ou Addendum utilisé pour les transferts depuis le Royaume-Uni (et non les SCC de l'UE)
- Demande de BCR soumise si transferts intragroupe à grande échelle -[ ] Chaînes SCC des sous-traitants mises en œuvre (Module 3 ou approbation du contrôleur des sous-traitants)
- Évaluation des restrictions sur les transferts sortants hors UE (PIPL, PDPL, DPDP, LGPD)
- Exigences en matière de localisation des données évaluées pour les secteurs réglementés
- Calendrier de réévaluation TIA établi -[ ] Enregistrements des activités de traitement mis à jour pour refléter les mécanismes de transfert
- Exigences de notification DPA évaluées pour les transferts au titre de dérogations
Questions fréquemment posées
Pouvons-nous utiliser les anciens CCT de l'UE (avant 2021) pour les contrats existants ?
La date limite de transition pour le remplacement des anciens SCC de l'UE par les SCC de 2021 était le 27 décembre 2022. Les anciens SCC de l'UE ne sont plus valables. Si vous avez des contrats faisant toujours référence aux anciens CCS (émis en vertu des décisions 2001/497/CE, 2004/915/CE ou 2010/87/UE), ces contrats doivent être mis à jour vers les CCS 2021. Tout nouveau contrat doit utiliser les SCC 2021. Continuer à s’appuyer sur d’anciennes CCT expose votre organisation à des mesures coercitives.
Avons-nous besoin d'un SCC pour chaque transfert de données, ou simplement d'un accord global ?
Les SCC doivent être exécutés entre chaque paire d’exportateur de données et d’importateur de données. Si votre entreprise (basée dans l'UE) utilise 10 fournisseurs de cloud différents recevant chacun des données personnelles, vous avez besoin de 10 accords SCC distincts. Au sein d’un seul accord SCC, vous pouvez couvrir plusieurs catégories de données, plusieurs personnes concernées et plusieurs finalités, mais chaque relation bilatérale nécessite son propre accord signé. Pour les grandes organisations comptant de nombreux fournisseurs, il est essentiel de maintenir un système de suivi des stocks et des renouvellements SCC.
Qu'est-ce que le cadre de confidentialité des données UE-États-Unis et comment l'utilisons-nous ?
Le cadre de confidentialité des données UE-États-Unis (DPF) est un mécanisme d'adéquation adopté par la Commission européenne le 10 juillet 2023, à la suite du décret américain 14086 sur le renforcement des garanties de confidentialité pour le renseignement d'origine électromagnétique. Il permet aux données personnelles de circuler de l'UE vers des organisations américaines certifiées sans SCC ni TIA. Pour utiliser DPF : (1) Le destinataire américain doit s'auto-certifier auprès du ministère américain du Commerce ; (2) Vérifiez la certification sur dataprivacyframework.gov ; (3) S'ils sont certifiés, les transferts UE → États-Unis vers cette organisation ne nécessitent aucun mécanisme supplémentaire. DPF est contesté légalement (Schrems III) – conservez la documentation de sauvegarde SCC en cas d'urgence.
Quels sont les résultats d'AIT les plus courants qui créent des problèmes ?
Les conclusions problématiques les plus courantes de la TIA concernent : (1) un large accès à la surveillance gouvernementale - en particulier la section 702 FISA des États-Unis et les autorités équivalentes dans d'autres pays qui autorisent la collecte massive sans contrôle judiciaire ; (2) Des lois sur la sécurité nationale qui outrepassent les protections de la vie privée – courantes dans les États autoritaires ; (3) Absence de recours juridiques efficaces pour les citoyens de l’UE – lorsque les tribunaux ne sont pas indépendants ou que les citoyens de l’UE n’ont pas qualité pour agir ; (4) Obligations d'accès aux données imposées aux sous-traitants — par exemple, les obligations de la Chine en vertu du CSL/PIPL pour les CIIO. Lorsque TIA identifie des problèmes, des mesures techniques (cryptage, pseudonymisation) sont généralement mises en œuvre pour répondre au risque spécifique, mais doivent en réalité empêcher l'accès identifié, et non pas simplement le prétendre.
Les dérogations au titre de l'article 49 fonctionnent-elles pour les transferts de routine ?
Non. L’EDPB a toujours déclaré que les dérogations prévues à l’article 49 concernent uniquement les transferts occasionnels et non répétitifs. Le consentement explicite (dérogation 49(1)(a)) est particulièrement problématique pour les transferts de routine : le consentement doit être spécifique (nommant le pays de destination et expliquant les risques du transfert), donné librement (ce qui peut être difficile dans des contextes d'emploi ou de services essentiels) et manifestement obtenu avant chaque transfert. Pour les flux de données systématiques et continus, tels que les services cloud, les systèmes RH ou les systèmes CRM, les dérogations ne sont pas appropriées. Utilisez des SCC, des BCR ou des mécanismes d’adéquation pour les transferts de routine.
Comment gérons-nous les transferts de données des sous-traitants ultérieurs ?
Les transferts de sous-traitants doivent être couverts par des mécanismes de transfert appropriés. Dans le cadre du module 2 des SCC de l'UE (du contrôleur au processeur), le sous-traitant ne doit engager que des sous-traitants situés dans des pays adéquats ou sous des SCC. Le module 3 (processeur à processeur) couvre la relation entre les sous-traitants. Le responsable du traitement doit être informé et approuver les sous-traitants ultérieurs (soit spécifiquement, soit par catégorie avec notification). Les sous-traitants doivent être liés par les mêmes obligations en matière de protection des données que le sous-traitant, généralement par le biais d'un accord de sous-traitance intégrant les CCS du module 3. De nombreuses organisations tiennent une liste de sous-traitants ultérieurs et informent les personnes concernées par le biais d'avis de confidentialité.
Prochaines étapes
La conformité des transferts de données transfrontaliers est une activité de gestion continue et non un projet ponctuel. Alors que les nouvelles lois nationales restreignent les transferts sortants, que les décisions d'adéquation sont contestées en justice et que le paysage de vos fournisseurs évolue, votre inventaire de mécanismes de transfert doit suivre le rythme.
ECOSIRE aide les organisations à concevoir des cadres de mécanismes de transfert, à réaliser des évaluations de l'impact des transferts et à mettre en œuvre des garanties techniques pour les opérations internationales de données. Notre expérience couvre le RGPD de l'UE, le RGPD du Royaume-Uni, le PIPL, la LGPD et les cadres nationaux émergents.
Commencez : Services ECOSIRE
Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les exigences en matière de transfert de données transfrontalier sont complexes, spécifiques à chaque juridiction et sujettes à des changements rapides du fait des décisions de justice et des orientations réglementaires. Consultez un conseiller juridique qualifié pour obtenir des conseils spécifiques aux flux de transfert de votre organisation.
Rédigé par
ECOSIRE Research and Development Team
Création de produits numériques de niveau entreprise chez ECOSIRE. Partage d'analyses sur les intégrations Odoo, l'automatisation e-commerce et les solutions d'entreprise propulsées par l'IA.
Articles connexes
China PIPL Compliance: Cross-Border Data Transfer Guide
Complete guide to China's Personal Information Protection Law (PIPL) covering processing rules, cross-border transfer mechanisms, CAC enforcement, and compliance steps.
Réglementation sur le transfert de données transfrontalier : naviguer dans les flux de données internationaux
Parcourez les réglementations en matière de transfert de données transfrontalier avec les SCC, les décisions d'adéquation, les BCR et les évaluations d'impact des transferts pour la conformité au RGPD, au Royaume-Uni et à l'APAC.
Logistique de commerce électronique transfrontalière : stratégies d'expédition, de douane et d'exécution
Guide logistique du commerce électronique transfrontalier. Couvre l'expédition internationale, le dédouanement, le calcul des droits, les réseaux de distribution, les retours et la conformité.