Transferts de données hors UE en 2026 : guide post-Schrems II

Vous utilisez Google Analytics, AWS, Mailchimp, HubSpot, Notion, Slack ou Zoom ? Vous transférez des données personnelles hors de l'Union européenne, quasi-systématiquement vers les États-Unis. Et depuis l'arrêt Schrems II de 2020, ce transfert n'est pas anodin. Ce guide fait le point en 2026 sur les mécanismes valables, le rôle du nouveau EU-US Data Privacy Framework et les démarches concrètes à mener.

Pourquoi le transfert hors UE est encadré

Le RGPD ne s'arrête pas aux frontières européennes. Quand vos données partent vers un pays tiers, le niveau de protection ne doit pas être inférieur à celui garanti dans l'UE. Sinon, le transfert est illégal et vous êtes en infraction — même si vous-même êtes en France.

Trois cas typiques de transfert :

1. Stockage : votre hébergeur a ses serveurs hors UE
2. Sous-traitance : un sous-traitant établi hors UE traite vos données (ex. : Stripe, basé aux USA)
3. Accès distant : un sous-traitant européen permet à sa maison-mère US d'accéder aux données (très fréquent dans les groupes US)

Les mécanismes de transfert valides en 2026

1. La décision d'adéquation (article 45)

La Commission européenne reconnaît qu'un pays tiers offre un niveau de protection équivalent à l'UE. Le transfert peut alors se faire sans formalité particulière.

Pays bénéficiant d'une décision d'adéquation en 2026 :

• Andorre, Argentine, Canada (organismes commerciaux), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay
• Royaume-Uni (depuis Brexit + adéquation 2021)
• Corée du Sud (depuis 2021)
• États-Unis : adéquation partielle via le EU-US Data Privacy Framework depuis juillet 2023 (organisations certifiées uniquement)

2. Les clauses contractuelles types (CCT, article 46)

Pour les pays sans décision d'adéquation, vous pouvez intégrer dans votre contrat les clauses contractuelles types adoptées par la Commission européenne (modules selon le scénario : C2C, C2P, P2P, P2C).

Conditions cumulatives depuis Schrems II :

• CCT signées par les deux parties
• Évaluation des risques pays (Transfer Impact Assessment, TIA)
• Mesures supplémentaires si nécessaire (chiffrement, pseudonymisation, contrôles d'accès)
• Documentation conservée

3. Les règles d'entreprise contraignantes (BCR, article 47)

Pour les groupes multinationaux qui transfèrent des données au sein du groupe. Coûteux et long à mettre en place (validation CNIL/CEPD).

4. Les dérogations (article 49)

Cas exceptionnels uniquement : consentement explicite éclairé, exécution d'un contrat avec la personne, intérêt vital, etc. À utiliser exceptionnellement, jamais comme mécanisme principal.

L'arrêt Schrems II : ce qui a changé en 2020

En juillet 2020, la Cour de Justice de l'Union européenne (CJUE) a invalidé le Privacy Shield qui encadrait les transferts UE-USA. Raison : les lois américaines (FISA 702, Executive Order 12333) permettent aux agences de renseignement US d'accéder aux données européennes sans recours effectif pour les personnes concernées.

Conséquences pratiques :

• Tout transfert vers les USA basé sur le Privacy Shield est devenu illégal
• Les CCT restent valides mais doivent être complétées par une analyse de risque pays (TIA) et des mesures supplémentaires
• La CNIL a mis en demeure des sites utilisant Google Analytics dès 2022

Le EU-US Data Privacy Framework (2023-2026)

En juillet 2023, la Commission européenne a adopté une nouvelle décision d'adéquation pour les USA : le EU-US Data Privacy Framework (DPF).

Comment ça fonctionne

• Les organisations US peuvent se certifier auprès du Département du Commerce US
• Liste publique : dataprivacyframework.gov
• Les transferts vers une organisation certifiée sont autorisés sans CCT
• Les Européens disposent de voies de recours (Data Protection Review Court)

Limites

• La certification est volontaire : tous les services US ne sont pas certifiés
• Recours juridique en cours devant la CJUE : possible invalidation future (Schrems III ?)
• L'adéquation peut être suspendue si la Commission constate un recul de la protection

En pratique pour vos outils

| Service | Statut DPF | Action requise | |---|---|---| | Google Workspace, Cloud, Analytics | Certifié | Aucune CCT à ajouter | | Microsoft 365, Azure | Certifié | Aucune CCT à ajouter | | AWS | Certifié | Aucune CCT à ajouter | | Meta (Facebook, Instagram) | Certifié | Aucune CCT à ajouter | | Stripe | Certifié | Aucune CCT à ajouter | | HubSpot | Certifié | Aucune CCT à ajouter | | Salesforce | Certifié | Aucune CCT à ajouter | | Notion | Vérifier sur dataprivacyframework.gov | Sinon CCT |

Vérifiez toujours le statut actuel sur dataprivacyframework.gov car certaines organisations entrent ou sortent du programme.

Procédure de mise en conformité

Étape 1 : Cartographier vos transferts

Pour chaque outil, identifiez :

• Localisation des serveurs principaux
• Localisation des sub-processors (utilisé par votre prestataire)
• Localisation des accès distants (employés, support)
• Type de données concernées et volume

Cette cartographie doit être intégrée à votre registre des traitements.

Étape 2 : Identifier le mécanisme applicable

Pour chaque transfert hors UE :

• Pays avec décision d'adéquation → aucune formalité
• USA + prestataire certifié DPF → vérifier la certification, sinon CCT
• Autres pays → CCT signées + TIA + mesures supplémentaires

Étape 3 : Signer les CCT et conduire les TIA

Les grands prestataires intègrent les CCT à leur DPA standard. Pour les autres, télécharger le module CCT pertinent sur le site de la Commission européenne.

Le Transfer Impact Assessment (TIA) doit évaluer :

• Lois locales d'accès gouvernemental aux données
• Recours juridiques effectifs pour les personnes
• Pratiques constatées (rapport de transparence du prestataire)
• Adéquation des mesures contractuelles et techniques

Pour les pays à risque (Chine, Russie, Inde, Israël avant adéquation 2011), des mesures supplémentaires sont quasi-systématiquement nécessaires.

Étape 4 : Mettre en place les mesures supplémentaires

Quand l'analyse révèle un risque résiduel :

• Chiffrement des données en transit et au repos avec clés contrôlées par l'exporteur
• Pseudonymisation rendant l'identification impossible sans informations supplémentaires conservées en UE
• Tokenisation pour remplacer les identifiants directs
• Architectures fragmentées : ne transférer qu'une partie des données
• Contrôle d'accès renforcé avec audit logs côté exporteur

Étape 5 : Informer les personnes concernées

Votre politique de confidentialité doit mentionner :

• Les pays vers lesquels des données sont transférées
• Le mécanisme juridique utilisé (adéquation, CCT, etc.)
• Le droit d'obtenir copie des garanties mises en place

Cas pratiques fréquents

Cas 1 : "J'utilise Google Analytics, que faire ?"

Google est certifié DPF depuis 2023. Le transfert est légal sans CCT. Néanmoins, la CNIL recommande toujours :

• Activer l'anonymisation IP
• Configurer Consent Mode v2 correctement
• Évaluer une alternative européenne (Matomo, Plausible) pour la résilience

Voir notre guide Google Analytics RGPD.

Cas 2 : "Mon hébergeur est Vercel"

Vercel a des serveurs dans plusieurs pays (USA, Singapour, Allemagne). Le transfert est encadré par le DPF (Vercel est certifié) et un DPA standard.

Pour minimiser : configurer votre fonction Vercel sur la région européenne (fra1 Francfort) dans vercel.json.

Cas 3 : "J'utilise Notion pour mes notes clients"

Notion est-il certifié DPF ? Vérifier sur dataprivacyframework.gov. Si non, ajouter les CCT. Pour minimiser : utiliser un workspace dédié sans données sensibles, ou migrer vers une alternative européenne (Coda EU, Outline self-hosted).

Cas 4 : "Mon CRM est HubSpot"

HubSpot est certifié DPF. Vérifier l'option de stockage en UE (datacenter Frankfurt) dans les paramètres compte. Si activé, vos données restent en UE pour le stockage principal, avec des transferts ponctuels vers les USA pour le support.

Sanctions encourues

Les transferts illégaux relèvent du plafond le plus élevé du RGPD : 20 millions d'euros ou 4% du chiffre d'affaires mondial, selon le plus élevé.

Exemples récents :

• Meta Ireland : 1,2 milliard d'euros (2023) pour transferts illégaux UE-USA pre-DPF
• Cabinet d'avocats français : 200 000 euros (2024) pour transferts vers prestataire indien sans CCT
• E-commerçant français : 100 000 euros (2023) pour utilisation de Google Analytics non conforme à l'époque pre-DPF

Checklist conformité transferts

• [ ] Cartographie complète des transferts hors UE
• [ ] Vérification du statut DPF pour les outils US
• [ ] CCT signées pour les autres pays
• [ ] TIA documenté pour chaque transfert hors zones adéquates
• [ ] Mesures supplémentaires pour les pays à risque
• [ ] Politique de confidentialité informant des transferts
• [ ] Revue annuelle de la cartographie et des certifications
• [ ] Veille sur les évolutions DPF (recours Schrems III)

Conclusion

L'adoption du EU-US Data Privacy Framework en 2023 a considérablement simplifié les transferts vers les USA, qui représentent 80% des cas pratiques pour les PME françaises. Pour vos outils certifiés DPF (Google, Microsoft, AWS, Stripe, HubSpot...), la conformité passe par la vérification de la certification et la documentation dans votre registre.

Pour les transferts hors zones d'adéquation, la combinaison CCT + TIA + mesures supplémentaires reste obligatoire. Et la veille est essentielle : Schrems III pourrait survenir d'ici 2027-2028 et invalider à nouveau le cadre USA.