RGPD & transferts internationaux

Transferts de données hors UE :
ce qu'il faut savoir.

Cloud américain, CRM, IA générative : la plupart des outils du quotidien font transiter des données personnelles hors de l'Union européenne. Le RGPD encadre strictement ces transferts — voici le principe et les garanties possibles.

Le principe

Un transfert interdit, sauf garantie appropriée

Les articles 44 à 49 du RGPD posent un principe simple : transférer des données personnelles en dehors de l'Union européenne est interdit, sauf si une garantie appropriée encadre ce transfert. Ce principe s'applique dès qu'un outil, un sous-traitant ou un serveur situé hors UE traite des données de vos clients, prospects ou salariés — y compris lorsque le transfert est indirect, via un prestataire.

Concrètement, une entreprise qui utilise un service cloud américain, un CRM hébergé aux États-Unis ou un outil d'IA générative doit s'assurer qu'une garantie couvre ce transfert. Ce point doit également figurer dans votre registre des traitements, qui doit mentionner les transferts hors UE et la garantie utilisée pour chacun d'eux.

Les garanties possibles

Quelles garanties permettent un transfert hors UE ?

Décision d'adéquation

La Commission européenne reconnaît que le pays destinataire offre un niveau de protection des données équivalent à celui de l'UE. Le transfert est alors possible sans garantie supplémentaire à mettre en place.

Clauses contractuelles types

La garantie la plus utilisée en pratique. Un modèle de contrat validé par la Commission européenne (CCT, ou SCC en anglais), qui engage l'importateur des données à respecter des obligations équivalentes au RGPD.

Règles d'entreprise contraignantes

Pour les groupes internationaux, un code de conduite interne (BCR), validé par les autorités de contrôle, qui encadre les transferts entre les différentes entités du groupe.

Dérogations ponctuelles

Dans certains cas précis et exceptionnels — consentement explicite de la personne, nécessité pour l'exécution d'un contrat — un transfert isolé peut être justifié sans recourir aux garanties précédentes.

Le cas du Cloud Act

Pourquoi les outils américains posent une question spécifique

Le Cloud Act américain permet au gouvernement des États-Unis d'exiger l'accès aux données détenues par une entreprise américaine, même lorsque ces données sont stockées sur des serveurs situés en Europe. C'est un risque identifié par certains régulateurs européens, qui subsiste même lorsque des clauses contractuelles types encadrent le transfert.

Ce sujet devient central à mesure que les outils du quotidien — hébergement cloud, IA générative, CRM — sont majoritairement édités par des entreprises américaines. Chaque intégration de ce type mérite d'être identifiée et documentée dans votre registre des traitements, avec la garantie utilisée.

C'est aussi pourquoi le choix d'un hébergeur français ou européen réduit l'exposition à ce risque. VIGIL est hébergée chez OVH, en France, hors du champ du Cloud Act — un point que nous détaillons sur notre page fonctionnalités.

Vos transferts de données hors UE sont-ils sécurisés ?

Nos juristes identifient avec vous les transferts existants, la garantie qui s'applique et ce qu'il reste à formaliser dans votre registre.

Faire le point avec nous

Contenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.