Fait partie de notre série Compliance & Regulation
Lire le guide complet85 % des entreprises mondiales transfèrent des données personnelles au-delà des frontières, mais seulement 34 % ont mis en place des mécanismes de transfert documentés. Après que Schrems II a invalidé le bouclier de protection des données UE-États-Unis en 2020, les transferts de données transfrontaliers sont devenus l'un des domaines les plus complexes de la loi sur la protection des données. Le cadre de confidentialité des données UE-États-Unis a partiellement restauré la sécurité juridique pour les transferts aux États-Unis, mais le paysage plus large des restrictions mondiales sur les transferts de données continue de s'étendre.
Ce guide dresse un état des lieux actuel des réglementations en matière de transfert de données transfrontalier et fournit des conseils pratiques de mise en œuvre pour les entreprises opérant à l'échelle internationale.
Points clés à retenir
- L'UE ne reconnaît que 15 pays comme offrant une protection des données « adéquate » --- tous les autres transferts nécessitent des mécanismes supplémentaires
- Les clauses contractuelles types (CCS) constituent le mécanisme de transfert le plus courant, mais nécessitent désormais des analyses d'impact de transfert supplémentaires.
- Les exigences en matière de localisation des données augmentent : la Chine, la Russie, l'Inde et l'Arabie saoudite empêchent certaines données de quitter le pays.
- Le cadre de confidentialité des données UE-États-Unis fournit un mécanisme de transfert pour les entreprises américaines qui s'auto-certifient
Hiérarchie des mécanismes de transfert
En vertu du RGPD, les données personnelles ne peuvent quitter l'EEE qu'en utilisant l'un de ces mécanismes (par ordre de simplicité) :
1. Décisions d'adéquation
La Commission européenne a déterminé que ces pays offrent une protection adéquate :
| Pays/Territoire | Date de la décision d'adéquation | Statut |
|---|---|---|
| Andorre | 2010 | Actif |
| Argentine | 2003 | Actif |
| Canada (LPRPDE) | 2001 | Actif (secteur commercial uniquement) |
| Îles Féroé | 2010 | Actif |
| Guernesey | 2003 | Actif |
| Israël | 2011 | Actif |
| Île de Man | 2004 | Actif |
| Japon | 2019 | Actif |
| Maillot | 2008 | Actif |
| Nouvelle-Zélande | 2012 | Actif |
| République de Corée | 2022 | Actif |
| Suisse | 2000 | Actif |
| Royaume-Uni | 2021 | Actif (jusqu'en juin 2025, renouvellement prévu) |
| Uruguay | 2012 | Actif |
| États-Unis | 2023 (DPF) | Actif (participants DPF uniquement) |
Si vos données sont envoyées vers un pays adéquat : Aucun mécanisme de transfert supplémentaire n'est nécessaire. Traitez-le comme un transfert intra-EEE.
Si ce n'est pas dans la liste : Vous avez besoin de l'un des mécanismes ci-dessous.
2. Clauses contractuelles types (CCS)
Le mécanisme de transfert le plus couramment utilisé. Les SCC sont des modèles de contrat pré-approuvés qui lient l'importateur de données à des protections équivalentes au RGPD.
Quatre modules (utilisez celui qui convient) :
| Module | Fêtes | Scénario |
|---|---|---|
| Module1 | Contrôleur à contrôleur | Partager des données clients avec un partenaire étranger |
| Module2 | Du contrôleur au processeur | Utiliser un fournisseur de cloud étranger ou un fournisseur SaaS |
| Module 3 | Processeur à processeur | Votre processeur utilise un sous-traitant étranger |
| Module 4 | Du processeur au contrôleur | Le contrôleur étranger donne des instructions au processeur basé dans l'UE |
Étapes de mise en œuvre :
- Identifiez tous les transferts de données en dehors de l'EEE
- Sélectionnez le module SCC approprié pour chaque transfert
- Remplissez les annexes (catégories de données, mesures de sécurité, sous-traitants)
- Mener une évaluation de l'impact des transferts (TIA) pour chaque pays d'accueil
- Signez les SCC avec l'importateur de données
- Mettre en œuvre toutes les mesures supplémentaires identifiées dans le TIA
3. Règles d'entreprise contraignantes (BCR)
Pour les entreprises multinationales transférant des données entre les entités du groupe. Les BCR sont approuvées par une autorité de contrôle principale et fournissent un cadre pour les transferts intra-groupe à l'échelle mondiale.
Plus : Une fois approuvé, couvre toutes les entités du groupe et tous les scénarios de transfert Inconvénients : processus d'approbation de 12 à 24 mois, coût important (100 000 $+), uniquement pour les entités du groupe
4. Cadre de confidentialité des données UE-États-Unis (DPF)
Les entreprises américaines peuvent s'auto-certifier au titre du DPF, offrant ainsi un mécanisme de transfert de type adéquat :
- La société s'enregistre auprès du ministère américain du Commerce
- La société publie une politique de confidentialité conforme au DPF
- L'entreprise s'engage à respecter les principes DPF (avis, choix, transfert ultérieur, sécurité, intégrité des données, accès, recours)
- Recertification annuelle requise
Limitation : couvre uniquement les transferts vers des entreprises certifiées DPF. Vérifiez la Liste DPF avant de vous fier à ce mécanisme.
Évaluations de l'impact des transferts (TIA)
Si nécessaire
Après Schrems II, des TIA sont requis pour tous les transferts basés sur le SCC vers des pays non adéquats. Le TIA évalue si les lois du pays d'accueil portent atteinte aux protections des CSC.
Cadre TIA
| Élément d'évaluation | Questions clés |
|---|---|
| Caractéristiques des données | Quelles données ? Quelle sensibilité ? Volume? |
| Lois du pays d'accueil | Des lois gouvernementales sur la surveillance ? Accès forcé ? |
| Protections juridiques | Un pouvoir judiciaire indépendant ? Autorité de protection des données ? |
| Expérience pratique | L'importateur a-t-il reçu des demandes d'accès du gouvernement ? |
| Mesures supplémentaires | Les mesures techniques peuvent-elles annuler les risques juridiques ? |
Arbre de décision des résultats du TIA
Does the receiving country have an adequacy decision?
Yes --> No TIA needed
No --> Conduct TIA
|
Does the receiving country have laws enabling
disproportionate government access to personal data?
No --> SCCs sufficient
Yes --> Can supplementary measures effectively prevent access?
Yes --> Implement measures + proceed with SCCs
No --> Transfer cannot proceed
Mesures supplémentaires
| Mesurer | Efficacité | Cas d'utilisation |
|---|---|---|
| Chiffrement (clés détenues par le client) | Élevé | Données au repos et en transit |
| Pseudonymisation | Élevé | Analyses, rapports |
| Traitement fractionné | Moyen | Champs sensibles traités uniquement dans l'EEE |
| Restrictions contractuelles | Faible-moyen | Engagements supplémentaires de l'importateur |
| Droits de vérification | Faible | La vérification, pas la prévention |
Exigences en matière de localisation des données
Pays dotés de lois sur la localisation des données
| Pays | Exigence | Portée | Pénalité |
|---|---|---|---|
| Chine (PIPL + CSL) | Les données critiques et les données importantes doivent être stockées en Chine ; évaluation de la sécurité des transferts sortants | Large | Jusqu'à 5 % de revenus |
| Russie (Loi fédérale 242-FZ) | Le traitement initial et le stockage des données des citoyens russes doivent avoir lieu en Russie | Données sur les citoyens russes | Blocage des services |
| Inde (Loi DPDP) | Les données personnelles critiques doivent être traitées en Inde (règles en attente) | A définir | Jusqu'à 250 crores INR |
| Arabie Saoudite (PDPL) | Les données sensibles peuvent nécessiter un traitement local ; restrictions de transfert | Données personnelles | Jusqu'à 5 millions SAR |
| Vietnam (PDPD) | Données importantes à stocker au niveau national ; TIA pour les virements transfrontaliers | Données sur les citoyens vietnamiens | Sanctions administratives |
| Indonésie (Loi PDP) | Les données du secteur gouvernemental peuvent nécessiter un traitement local | Données gouvernementales | Sanctions administratives |
| Turquie (KVKK) | Le transfert nécessite un consentement ou une base juridique spécifique + approbation du conseil d'administration | Données personnelles | ESSAYEZ 1,8 M |
Impact sur l'architecture cloud
La localisation des données affecte les décisions relatives à l'infrastructure cloud :
| Scénario | Implications architecturales |
|---|---|
| Localisation en Chine | Région cloud distincte en Chine (AWS Chine, Alibaba Cloud) |
| Localisation en Russie | Serveurs locaux ou fournisseur de cloud local |
| Traitement uniquement dans l'UE | Sélectionnez les régions cloud de l'UE ; garantir l'absence de réplication des données vers des régions hors UE |
| Multirégion avec restrictions | Architecture en étoile avec bases de données régionales |
Mise en œuvre pratique pour les scénarios courants
Scénario 1 : Une entreprise européenne utilisant un SaaS américain
Mécanisme de transfert : vérifiez d'abord si le fournisseur est certifié DPF. Si oui, DPF fournit la base. Sinon, implémentez les SCC (Module 2 : Contrôleur vers processeur).
Scénario 2 : Entreprise mondiale avec RH centralisées
Mécanisme de transfert : BCR pour les transferts intra-groupe, ou SCC entre chaque paire d'entités. Mettre en œuvre des TIA pour les transferts vers des pays à haut risque.
Scénario 3 : Commerce électronique au service des clients de l'UE à partir de l'infrastructure américaine
Mécanisme de transfert : SCC entre votre entité européenne (ou votre représentant européen) et votre infrastructure américaine. Chiffrez les données des clients avec des clés détenues dans l'UE.
Scénario 4 : Odoo ERP pour les opérations multi-pays
Mécanisme de transfert : s'ils sont hébergés dans l'UE, les transferts ont lieu lorsque : (1) les employés des pays tiers accèdent au système (l'accès à distance est un transfert), (2) les données sont répliquées vers des emplacements de sauvegarde hors UE, (3) le personnel d'assistance des pays hors UE accède aux données des clients/employés. Implémentez des SCC pour chaque point d'accès et utilisez les groupes d'accès Odoo pour limiter la visibilité des données par zone géographique.
Liste de contrôle de conformité
- Cartographier tous les transferts de données transfrontaliers (quelles données, où, vers qui, pourquoi)
- Vérifier le statut d'adéquation de chaque pays d'accueil
- Mettre en œuvre des mécanismes de transfert appropriés (SCC, DPF, BCR) pour les pays non adéquats
- Compléter les évaluations d'impact des transferts pour les transferts basés sur SCC
- Mettre en œuvre des mesures supplémentaires lorsque les TIA identifient des risques
- Mettre à jour les politiques de confidentialité pour divulguer les transferts internationaux
- Inclure des dispositions de transfert dans les DPA des fournisseurs
- Examiner les mécanismes de transfert chaque année ou lorsque les lois du pays d'accueil changent
- Tenir à jour la documentation de toutes les évaluations et décisions de transfert
Questions fréquemment posées
Le cadre de confidentialité des données UE-États-Unis est-il fiable ?
Le DPF est actuellement en vigueur et constitue une base légale pour les transferts vers des sociétés américaines certifiées. Cependant, il fait face à une contestation judiciaire (La Quadrature du Net) similaire à celles qui ont invalidé le Safe Harbor et le Privacy Shield. Les organisations prudentes utilisent le DPF mais disposent également de SCC comme mécanisme de transfert de sauvegarde. Si le DPF est invalidé, vous pouvez revenir aux SCC sans interrompre les flux de données.
Que se passe-t-il si nous transférons des données sans mécanisme valide ?
Les transferts non autorisés constituent une violation directe du RGPD, passible d'amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Au-delà des amendes, les autorités de contrôle peuvent ordonner la suspension des transferts de données, ce qui peut perturber les opérations commerciales. Meta a été condamnée à une amende de 1,2 milliard d’euros en 2023 pour transferts non autorisés entre l’UE et les États-Unis – la plus grosse amende jamais vue dans le cadre du RGPD.
Les CSC couvrent-ils tous les types de transferts de données ?
Les SCC couvrent la plupart des scénarios de transfert de données commerciales à travers quatre modules. Toutefois, les SCC ne sont pas adaptées aux transferts effectués par des autorités publiques agissant dans l'exercice de la puissance publique. Dans ces cas, des accords internationaux ou des dérogations spécifiques au titre de l'article 49 peuvent s'appliquer.
Comment les exigences transfrontalières affectent-elles notre déploiement Odoo ?
Si votre instance Odoo est hébergée dans l'UE et accessible par des employés ou des partenaires en dehors de l'UE, chaque point d'accès distant constitue un transfert de données. Mettez en œuvre des groupes d'accès Odoo pour garantir que les utilisateurs non européens ne peuvent voir que les données dont ils ont besoin. Utilisez des connexions VPN pour un accès à distance crypté. Si vous hébergez Odoo en dehors de l’UE, mettez en œuvre des SCC avec le fournisseur d’hébergement et assurez le cryptage de la base de données. Les services d'infrastructure Odoo d'ECOSIRE incluent des configurations de déploiement soucieuses de la conformité.
Ce qui vient ensuite
La conformité des transferts transfrontaliers est une pièce du puzzle de la gouvernance des données. Combinez-le avec les fondamentaux de la gouvernance des données, la gestion des contrats des fournisseurs pour les DPA avec des fournisseurs internationaux et la confidentialité des données des employés pour les transferts de données sur le personnel.
Contactez ECOSIRE pour des conseils en matière de conformité transfrontalière et une cartographie des flux de données internationaux.
Publié par ECOSIRE – aider les entreprises à déplacer leurs données au-delà des frontières en toute confiance et conformité.
Rédigé par
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Développez votre entreprise avec ECOSIRE
Solutions d'entreprise pour l'ERP, le commerce électronique, l'IA, l'analyse et l'automatisation.
Articles connexes
Shopify Markets 2026 : tarification internationale, taxes et configuration des devises
Configurez Shopify Markets pour une expansion mondiale : tarification par pays, taxe automatique, multidevises, géolocalisation, stratégie de domaine et compromis Markets Pro.
Passerelles de paiement Shopify par pays 2026 : États-Unis, UE, Inde, MENA, LATAM
Guide complet des passerelles de paiement Shopify par pays : Shopify Payments, Stripe, Razorpay, Mercado Pago, Tap, PayMob, frais, éligibilité, délais de paiement.
Migration de Zoho vers Odoo : guide de transfert de données étape par étape
Guide complet de migration de Zoho vers Odoo couvrant le mappage des modules CRM, Books, Inventaire et RH, l'exportation d'API, la transformation des données et les stratégies de test.
Plus de Compliance & Regulation
BMF Programmablaufplan Lohnsteuer 2026 : mise en œuvre du calcul officiel des impôts sur les salaires en Allemagne (XML, API, Odoo)
Guide du développeur du BMF Programmablaufplan Lohnsteuer 2026 : qu'est-ce que le PAP, le format de pseudocode XML, le service de test officiel et le mappage à la paie Odoo.
ERP pour les marques de vêtements et de mode : matrice taille-couleur, planification saisonnière et conformité (Guide 2026)
Comment les marques de mode et de vêtements choisissent un ERP en 2026 : variantes de matrice taille-couleur, planification saisonnière, conformité GoBD et DATEV, comparaison des fournisseurs et coûts.
ERPNext RH et paie en 2026 : configuration, structures salariales et conformité multi-pays
Configuration étape par étape d'ERPNext RH et paie pour 2026 : installation de l'application HRMS, structures salariales, saisies de paie, tranches d'impôt sur le revenu, conformité multi-pays.
Conformité GoHighLevel A2P 10DLC en 2026 : inscription, frais et correction des SMS bloqués
Guide complet GoHighLevel A2P 10DLC pour 2026 : étapes d'enregistrement de la marque et de la campagne, frais de l'opérateur, raisons de rejet courantes et comment corriger les SMS filtrés.
Validation GxP pour les systèmes ERP : ce que votre appel d'offres de validation 2026 doit exiger (CSV, IQ/OQ/PQ, pistes d'audit)
Ce qu'un appel d'offres de validation ERP GxP doit exiger en 2026 : portée CSV et CSA, 21 CFR Part 11, Annexe 11 de l'UE, livrables IQ/OQ/PQ, pistes d'audit et risque GAMP 5.
Modèle de sécurité OpenClaw, résidence des données, SOC 2 et ISO 27001
Architecture de sécurité OpenClaw : isolation des locataires, chiffrement, gestion des secrets, journaux d'audit, résidence des données, SOC 2, ISO 27001, RGPD, fitness HIPAA.