Partie 13 — Transferts internationaux
⏱️ TL;DR — Dès qu’une donnée personnelle quitte l’UE/EEE — ou devient simplement accessible depuis l’étranger — tu réalises un transfert international, encadré par le chapitre V du RGPD. Ce n’est ni interdit, ni libre : il faut une base parmi trois étages — une décision d’adéquation (art. 45), des garanties appropriées (art. 46 : CCT, BCR) avec analyse d’impact du transfert (TIA), ou, à titre exceptionnel, une dérogation (art. 49). Le cas UE–États-Unis résume tout : Safe Harbor puis Privacy Shield invalidés, aujourd’hui le Data Privacy Framework (adéquation du 10 juillet 2023), valide mais fragile. Cette partie t’apprend à cartographier tes flux, à choisir la bonne base et à sécuriser un cloud américain sans céder à la panique ni à l’insouciance.
Le problème qu’on résout
Un dev moderne empile des services : hébergeur, e-mailing, mesure d’audience, visio, et désormais un modèle d’IA. Beaucoup de ces briques sont américaines — ou tournent sur des fournisseurs américains. Résultat : sans même y penser, on fait sortir des données personnelles de l’UE. Deux réflexes opposés sont également faux : « c’est interdit, on ne peut rien utiliser d’américain » et « nos données sont hébergées en Europe, donc tout va bien ». La réalité est nuancée et documentable : un transfert se repère, se fonde sur une base du chapitre V, s’évalue (TIA) et se sécurise (chiffrement, minimisation, alternatives UE). Cette partie te donne la méthode pour décider par toi-même, plutôt que de subir la peur ou l’illusion de conformité.
Ce que tu sauras faire à la fin de cette partie
- Reconnaître un transfert international, y compris les transferts « cachés » (accès à distance, support offshore, API d’IA).
- Distinguer les trois étages du chapitre V : adéquation, garanties appropriées, dérogations.
- Situer la saga UE–États-Unis (Schrems I & II, DPF) et l’état fragile du cadre en 2026.
- Rédiger et exploiter un TIA et choisir les mesures supplémentaires adaptées.
- Décider, de façon nuancée, quand un cloud américain est acceptable et quand il faut une alternative européenne.
Les chapitres
| # | Chapitre | En un mot |
|---|---|---|
| 13.1 | Qu’est-ce qu’un transfert | La notion large du chapitre V, et les transferts cachés. |
| 13.2 | Adéquation, Schrems & DPF | Le mécanisme de l’adéquation et la saga UE–États-Unis. |
| 13.3 | Garanties : CCT, BCR & TIA | Les outils quand il n’y a pas d’adéquation. |
| 13.4 | Le cloud américain & la souveraineté | CLOUD Act, SecNumCloud, alternatives UE. |
| 13.5 | Atelier : sécuriser les transferts | On sécurise les flux de FormaCampus de bout en bout. |
On commence : Qu’est-ce qu’un transfert.