Skip to Content
RGPDPartie 13 — Transferts internationaux13.1 — Qu'est-ce qu'un transfert

Chapitre 13.1 — Qu’est-ce qu’un transfert

⏱️ TL;DR — Un transfert international, c’est toute communication ou mise à disposition de données personnelles vers un destinataire situé hors UE/EEE, ou rendue accessible depuis l’étranger. La notion est large : héberger chez un cloud non européen, laisser une équipe support consulter la base depuis un autre continent, appeler l’API d’un modèle d’IA outre-Atlantique — tout ça, ce sont des transferts. Un transfert n’est jamais interdit par principe, mais il ne se présume jamais licite : il lui faut une base dans le chapitre V (adéquation, garanties appropriées, ou dérogation). Ce chapitre pose la définition ; les suivants donnent les outils.

🎯 Objectifs

  • Définir un transfert hors UE au sens du chapitre V du RGPD.
  • Repérer les transferts « cachés » : accès à distance, support offshore, maintenance, sauvegardes, API d’IA.
  • Comprendre qu’un transfert n’est ni interdit ni libre : il s’encadre.
  • Connaître les trois étages du chapitre V où chercher la base d’un transfert.

Un périmètre : l’UE et l’EEE

Le RGPD ne raisonne pas « France » mais UE/EEE. L’EEE (Espace économique européen) réunit les 27 États de l’UE plus l’Islande, le Liechtenstein et la Norvège. À l’intérieur de cet espace, les données circulent librement : ce n’est pas un transfert international. Dès qu’un destinataire est en dehors, on entre dans le champ du chapitre V.

Autrement dit, la frontière juridique n’est pas « mon pays / l’étranger », mais « dans l’EEE / hors EEE ». Héberger à Francfort ou à Dublin ne pose pas de question de transfert ; héberger — ou donner accès — à Washington, Bombay ou Shanghai, oui.

La notion large : bien plus que « stocker ailleurs »

Le piège classique est de croire qu’un transfert, c’est seulement copier un fichier vers un serveur étranger. En réalité, la notion couvre toute mise à disposition de la donnée hors EEE. Quelques formes fréquentes :

SituationTransfert hors UE ?
Héberger la base de données chez un fournisseur non européenOui — les données sont stockées hors EEE
Sauvegardes ou réplication dans une région hors EEEOui — la copie est un transfert
Support technique ou infogérance depuis un pays tiers qui accède à la baseOui — l’accès à distance est un transfert, même sans copie
Appeler l’API d’un modèle d’IA hébergé hors EEE (le prompt part à l’étranger)Oui — la donnée envoyée quitte l’EEE
Maison-mère hors UE pouvant accéder aux données de sa filiale européenneOui — la simple accessibilité compte
Héberger chez un prestataire dont les serveurs et l’accès restent dans l’EEENon — circulation interne à l’EEE

Retiens la règle : si quelqu’un, hors EEE, peut voir ou recevoir la donnée, c’est un transfert. Le stockage n’est qu’un cas particulier ; l’accès en est un autre, tout aussi réel.

Cet encadrement n’est pas théorique : en 2025, Shein a été sanctionné (150 M€, le 3 septembre 2025) notamment pour des transferts vers la Chine sans base suffisante. La preuve concrète qu’un transfert mal fondé n’est pas un détail administratif, mais un manquement lourdement sanctionné (les transferts relèvent du palier le plus élevé de l’article 83 — voir Partie 2).

Les trois étages du chapitre V

Un transfert n’est pas interdit — il doit reposer sur l’une de ces bases, à chercher dans l’ordre :

  1. Adéquation (art. 45) — la Commission européenne a reconnu que le pays de destination offre une protection adéquate. Transfert libre, comme à l’intérieur de l’EEE. (Chapitre 13.2.)
  2. Garanties appropriées (art. 46) — pas d’adéquation ? On encadre par contrat : clauses contractuelles types (CCT), BCR, complétées par une analyse d’impact du transfert (TIA). (Chapitre 13.3.)
  3. Dérogations (art. 49) — en dernier recours, pour des cas ponctuels et exceptionnels (consentement explicite, exécution d’un contrat…). Pas un mode de fonctionnement structurel. (Chapitre 13.3.)

📚 Le texte — Les transferts vers des pays tiers ou des organisations internationales sont régis par le chapitre V du RGPD (articles 44 et suivants). L’article 44 pose le principe général : aucun transfert ne peut se faire sans respecter les conditions du chapitre, y compris pour les transferts ultérieurs (quand ton sous-traitant re-transfère à un autre). Les bases se trouvent aux articles 45 (adéquation), 46 (garanties), 49 (dérogations).

⚠️ Piège — « Nos données sont hébergées en Europe, donc pas de transfert. » Faux dans deux cas très courants : (1) le prestataire fait de la maintenance ou du support depuis l’étranger et accède à la base — c’est un transfert ; (2) le fournisseur est une entreprise soumise à un droit extraterritorial (par ex. une maison-mère américaine) qui peut, légalement, se faire communiquer les données où qu’elles soient. On creuse ce second cas au chapitre 13.4 (CLOUD Act et souveraineté).

💡 Réflexe — Avant de te demander « comment » encadrer, demande-toi « quels flux sortent de l’EEE ? ». On ne sécurise que ce qu’on a cartographié. Fais l’inventaire de tes sous-traitants et de tes intégrations : pour chacun, note le pays d’hébergement et le pays d’où on accède aux données. C’est la première page de tout dossier « transferts » — et le point de départ de l’atelier du chapitre 13.5.

🧭 Sur FormaCampus — FormaCampus s’appuie sur une chaîne de sous-traitants dont plusieurs sont américains : l’hébergeur, l’outil d’e-mailing et un modèle d’IA pour l’aide et la correction. Chacun de ces liens fait potentiellement sortir des données d’élèves, de stagiaires ou de parents hors EEE — donc trois transferts à identifier, à fonder et à sécuriser. Avant toute chose, FormaCampus dresse la carte de ces flux : qui, quelle donnée, vers quel pays, sous quelle base. C’est exactement l’exercice du chapitre 13.5.

🔒 Côté personne concernée — Un parent qui confie les données de son enfant à une plateforme scolaire ne s’attend pas à ce qu’elles soient consultables depuis un autre continent. Le chapitre V existe pour lui : il garantit qu’un transfert hors EEE n’efface pas ses droits (information, accès, effacement) et ne l’expose pas à une protection au rabais. L’information sur les transferts fait d’ailleurs partie des mentions obligatoires (Partie 8) : la personne a le droit de savoir que ses données voyagent.

✏️ Exercices

Exercice 1 — Transfert ou pas ? Pour chaque cas, réponds « transfert hors UE » ou « pas de transfert », et justifie : (a) l’application est hébergée chez un prestataire français, datacenter à Roubaix ; (b) elle est hébergée dans la région européenne d’un cloud américain, mais l’équipe support du fournisseur intervient depuis les États-Unis ; (c) un prestataire de support consulte la base de production depuis le Maroc ; (d) le back-end envoie chaque message d’élève à l’API d’un LLM hébergé aux États-Unis.

✅ Solution

(a) Pas de transfert — stockage et acteur dans l’EEE. (b) Transfert — même si les serveurs sont en Europe, l’accès depuis les États-Unis fait sortir la donnée de l’EEE (et le fournisseur américain soulève en plus la question du chapitre 13.4). (c) Transfert — l’accès à distance depuis un pays tiers est un transfert, sans même copier la donnée. (d) Transfert — le contenu envoyé au LLM quitte l’EEE ; c’est un transfert, à fonder et à sécuriser (et à minimiser : voir 13.5).

Exercice 2 — Cartographie express. Une petite EdTech utilise : OVH (hébergement, France), un outil d’e-mailing américain, un service de visio américain, et une API d’IA américaine. Dresse en deux colonnes « reste dans l’EEE » / « sort de l’EEE ».

✅ Solution

Reste dans l’EEE : l’hébergement OVH en France. Sort de l’EEE : l’e-mailing américain (les adresses et contenus partent aux États-Unis), la visio américaine (flux et métadonnées), l’API d’IA américaine (les prompts). Résultat : trois transferts à encadrer via le chapitre V (13.2 et 13.3), même si l’hébergement principal, lui, est européen. La cartographie révèle que « héberger en France » ne suffit pas à sortir du sujet.

🧠 Quiz de révision

1. Qu’est-ce qu’un transfert international au sens du RGPD ?

Toute communication ou mise à disposition de données personnelles vers un destinataire situé hors UE/EEE, ou rendue accessible depuis un pays tiers. Ce n’est pas limité au stockage : l’accès à distance est aussi un transfert. C’est le chapitre V (art. 44 et suivants) qui l’encadre.

2. La frontière pertinente, c’est « la France » ou « l’EEE » ?

L’EEE (les 27 de l’UE + Islande, Liechtenstein, Norvège). À l’intérieur de l’EEE, les données circulent librement ; dès qu’un destinataire ou un accès est hors EEE, c’est un transfert international.

3. Un accès à distance depuis un pays tiers, sans copie de fichier, est-il un transfert ?

Oui. La notion est large : si quelqu’un situé hors EEE peut voir ou recevoir la donnée (support, infogérance, maison-mère), c’est un transfert — la copie n’est pas nécessaire.

4. Un transfert hors UE est-il interdit ?

Non. Il n’est ni interdit ni libre : il doit reposer sur une base du chapitre V — une adéquation (art. 45), des garanties appropriées (art. 46), ou une dérogation (art. 49). Un transfert ne se présume jamais licite : il se fonde et se documente.

5. Quels sont les trois étages où chercher la base d’un transfert ?

Dans l’ordre : (1) adéquation (art. 45) ; (2) garanties appropriées (art. 46 : CCT, BCR) + TIA ; (3) dérogations (art. 49), à titre exceptionnel. On regarde toujours l’adéquation d’abord, la dérogation en dernier.


Chapitre suivant : Adéquation, Schrems & DPF — le premier étage du chapitre V, et la saga UE–États-Unis qui a fait (et défait) trois cadres de transfert.

Last updated on