Vous utilisez un hébergeur américain, un CRM comme HubSpot ou Salesforce, un outil de messagerie comme Mailchimp ou une solution de stockage comme Google Drive. Chacun de ces outils peut impliquer un transfert de données personnelles en dehors de l’Union européenne et donc des obligations spécifiques au titre du RGPD.
Voici ce que vous devez comprendre et faire concrètement.
1. Qu’est-ce qu’un transfert de données hors UE ?
Un transfert de données hors UE (ou hors EEE – Espace Économique Européen) désigne toute transmission de données personnelles vers un pays n’appartenant pas à l’Union européenne ou à l’Espace Économique Européen.
Cela inclut : stocker des données sur un serveur localisé aux États-Unis, utiliser un logiciel SaaS dont les serveurs sont hors UE ou permettre à un prestataire basé hors UE d’accéder à des données personnelles.
L’EEE comprend les 27 pays de l’UE ainsi que la Norvège, l’Islande et le Liechtenstein.
2. Pourquoi ces transferts posent-ils problème ?
Le RGPD part du principe que le niveau de protection des données dans l’UE est élevé. Quand des données quittent l’UE, elles peuvent être soumises à des législations moins protectrices. Le droit américain, par exemple, permet aux autorités fédérales (NSA, FBI) d’accéder à des données stockées par des entreprises américaines, y compris des données de citoyens européens.
Le RGPD exige donc que les transferts hors UE soient encadrés par des garanties appropriées.
3. Les mécanismes légaux de transfert
3.1 Les décisions d’adéquation
La Commission européenne peut reconnaître qu’un pays tiers offre un niveau de protection des données « adéquat », permettant les transferts sans formalité supplémentaire. En 2026, les pays bénéficiant d’une décision d’adéquation incluent notamment : Andorre, Argentine, Canada (partiellement), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, Royaume-Uni, Suisse, Uruguay, et les États-Unis (via le cadre Data Privacy Framework, depuis juillet 2023).
3.2 Le Data Privacy Framework (États-Unis)
Depuis juillet 2023, un nouveau cadre de transfert UE-États-Unis (Data Privacy Framework) a été adopté. Il permet aux entreprises américaines certifiées de recevoir des données de l’UE sans formalité supplémentaire. Des outils comme Google, Microsoft, HubSpot, Mailchimp, Salesforce ou AWS sont certifiés DPF.
Pour vérifier si votre prestataire américain est certifié DPF, consultez le registre officiel sur dataprivacyframework.gov.
3.3 Les clauses contractuelles types (CCT)
Pour les transferts vers des pays non couverts par une décision d’adéquation, les Clauses Contractuelles Types (CCT) publiées par la Commission européenne sont le mécanisme le plus couramment utilisé. Ces clauses doivent être intégrées dans le contrat avec le prestataire concerné.
La plupart des grands prestataires SaaS proposent des CCT dans leurs conditions générales ou via leurs DPA.
4. Ce que vous devez faire concrètement
Pour la majorité des TPE et PME utilisant des outils SaaS courants, voici les 4 actions à réaliser :
Identifier les outils que vous utilisez et qui hébergent ou accèdent à des données personnelles : hébergeur web, CRM, outil de facturation, outil marketing, solution de stockage cloud, outil de visioconférence…
Vérifier pour chaque outil si le prestataire est basé hors UE et si un mécanisme de transfert est en place (DPF, CCT, décision d’adéquation).
Conclure ou vérifier l’existence d’un DPA (accord de traitement de données) avec chaque prestataire traitant des données pour vous hors UE.
Documenter ces transferts dans votre registre des traitements RGPD, dans la colonne « destinataires » et « transferts hors UE ».
5. Tableau : outils courants et leur statut de transfert
Note : vérifiez toujours la situation actuelle auprès du prestataire, les certifications pouvant évoluer.
6. Que risquez-vous en cas de transfert non encadré ?
Un transfert de données hors UE sans mécanisme légal adéquat constitue une violation du RGPD. La CNIL peut prononcer une amende et ordonner la suspension du transfert, ce qui peut signifier l’interdiction d’utiliser l’outil concerné jusqu’à régularisation.
En pratique, ce type de manquement est généralement découvert lors d’un contrôle global de votre conformité et non de manière isolée. La meilleure protection reste de documenter vos transferts dans votre registre des traitements.
Documentez vos transferts hors UE dans votre registre des traitements RGPD
Créer mon registre — 149 EUR HT
7. FAQ
Mon hébergeur est basé en France. Dois-je quand même m’en préoccuper ?
Si votre hébergeur est basé en France ou dans l’UE/EEE, il n’y a pas de transfert hors UE pour ce prestataire. Cependant, vérifiez si d’autres outils que vous utilisez (analytics, CRM, newsletter…) font appel à des serveurs hors UE.
Le Data Privacy Framework est-il stable ?
Le DPF a été adopté en juillet 2023 après l’invalidation de deux précédents accords (Safe Harbor en 2015, Privacy Shield en 2020). Il fait l’objet d’une surveillance par le Comité Européen de la Protection des Données (CEPD). Bien que sa solidité juridique soit meilleure que ses prédécesseurs, il est prudent de suivre l’actualité. Pour une sécurité maximale, favorisez des prestataires hébergés dans l’UE.
Sources : Commission européenne (transferts vers pays tiers) ; CNIL (cnil.fr/fr/les-transferts-de-donnees-personnelles-hors-ue) ; Data Privacy Framework (dataprivacyframework.gov).