Skip to Content
RGPDPartie 13 — Transferts internationauxVue d'ensemble

Partie 13 — Transferts internationaux

⏱️ TL;DR — Dès qu’une donnée personnelle quitte l’UE/EEE — ou devient simplement accessible depuis l’étranger — tu réalises un transfert international, encadré par le chapitre V du RGPD. Ce n’est ni interdit, ni libre : il faut une base parmi trois étages — une décision d’adéquation (art. 45), des garanties appropriées (art. 46 : CCT, BCR) avec analyse d’impact du transfert (TIA), ou, à titre exceptionnel, une dérogation (art. 49). Le cas UE–États-Unis résume tout : Safe Harbor puis Privacy Shield invalidés, aujourd’hui le Data Privacy Framework (adéquation du 10 juillet 2023), valide mais fragile. Cette partie t’apprend à cartographier tes flux, à choisir la bonne base et à sécuriser un cloud américain sans céder à la panique ni à l’insouciance.

Le problème qu’on résout

Un dev moderne empile des services : hébergeur, e-mailing, mesure d’audience, visio, et désormais un modèle d’IA. Beaucoup de ces briques sont américaines — ou tournent sur des fournisseurs américains. Résultat : sans même y penser, on fait sortir des données personnelles de l’UE. Deux réflexes opposés sont également faux : « c’est interdit, on ne peut rien utiliser d’américain » et « nos données sont hébergées en Europe, donc tout va bien ». La réalité est nuancée et documentable : un transfert se repère, se fonde sur une base du chapitre V, s’évalue (TIA) et se sécurise (chiffrement, minimisation, alternatives UE). Cette partie te donne la méthode pour décider par toi-même, plutôt que de subir la peur ou l’illusion de conformité.

Ce que tu sauras faire à la fin de cette partie

  • Reconnaître un transfert international, y compris les transferts « cachés » (accès à distance, support offshore, API d’IA).
  • Distinguer les trois étages du chapitre V : adéquation, garanties appropriées, dérogations.
  • Situer la saga UE–États-Unis (Schrems I & II, DPF) et l’état fragile du cadre en 2026.
  • Rédiger et exploiter un TIA et choisir les mesures supplémentaires adaptées.
  • Décider, de façon nuancée, quand un cloud américain est acceptable et quand il faut une alternative européenne.

Les chapitres

#ChapitreEn un mot
13.1Qu’est-ce qu’un transfertLa notion large du chapitre V, et les transferts cachés.
13.2Adéquation, Schrems & DPFLe mécanisme de l’adéquation et la saga UE–États-Unis.
13.3Garanties : CCT, BCR & TIALes outils quand il n’y a pas d’adéquation.
13.4Le cloud américain & la souverainetéCLOUD Act, SecNumCloud, alternatives UE.
13.5Atelier : sécuriser les transfertsOn sécurise les flux de FormaCampus de bout en bout.

On commence : Qu’est-ce qu’un transfert.

Last updated on