Transfert de données hors UE : appliquer les CCT post‑Schrems II (guide 2026)

Depuis l’arrêt « Schrems II » du 16 juillet 2020, les transferts de données personnelles hors UE/EEE ne peuvent reposer que sur des garanties réellement effectives. Les nouvelles clauses contractuelles types (CCT) de 2021 sont l’outil clef pour sécuriser vos flux, à condition de mener une évaluation d’impact sur le transfert (TIA), d’ajouter des mesures complémentaires adaptées et de choisir le bon module contractuel.

Ce que change Schrems II pour vos transferts hors UE

La Cour de justice a invalidé le Privacy Shield et rappelé que l’exportateur doit vérifier, au cas par cas, que la législation et les pratiques du pays tiers n’empêchent pas d’assurer un niveau de protection « essentiellement équivalent » au RGPD (CJUE, C-311/18, Schrems II). L’EDPB a confirmé cette exigence et détaillé les conséquences pratiques dans sa FAQ dédiée (EDPB, FAQ Schrems II).

Concrètement, utiliser des CCT ne suffit plus « en soi » : vous devez analyser le risque d’accès des autorités du pays importateur, la possibilité de contester les demandes d’accès et, si nécessaire, déployer des mesures supplémentaires. À défaut, le transfert doit être suspendu.

Les CCT 2021 en pratique : modules, obligations et fin de la période transitoire

La Commission européenne a adopté le 4 juin 2021 les nouvelles CCT via la décision d’exécution (UE) 2021/914, structurées en modules selon les rôles des parties (Commission européenne, décision (UE) 2021/914). La période transitoire a pris fin le 27 décembre 2022 : les anciennes clauses ne peuvent plus être utilisées ni maintenues (CNIL, communiqué du 21/12/2022).

Choisir le bon module

• Module 1 – Responsable de traitement vers Responsable de traitement (R→R)
• Module 2 – Responsable vers Sous-traitant (R→S) – intègre les exigences de l’article 28 RGPD
• Module 3 – Sous-traitant vers Sous-traitant (S→S)
• Module 4 – Sous-traitant vers Responsable (S→R)

Les CCT 2021 incluent une clause d’amarrage (« docking clause ») permettant d’ajouter de nouvelles entités par avenant, des obligations de notification en cas de demande d’accès d’une autorité publique, et la possibilité de suspendre/résilier en cas d’impossibilité de respecter les clauses.

Avant toute signature, vérifiez s’il existe une décision d’adéquation pour le pays visé. À défaut, appliquez l’article 46 RGPD et les CCT appropriées (consulter les décisions et le texte du RGPD sur EUR‑Lex). Pour le cadre français et les lignes directrices opérationnelles, voir la page CNIL « Transférer des données hors de l’UE » (CNIL).

La TIA pas à pas : votre évaluation d’impact sur le transfert

L’EDPB propose une méthode en six étapes pour apprécier et documenter la légalité et la sécurité d’un transfert (EDPB, Recommandations 01/2020) :

• 1) Cartographier les flux et identifier les pays tiers et destinataires (y compris accès à distance depuis un pays tiers, qui constitue un transfert – voir CNIL).
• 2) Vérifier le mécanisme juridique applicable (décision d’adéquation ou CCT 2021).
• 3) Évaluer les lois et pratiques du pays importateur (accès des autorités, voies de recours, garanties effectives).
• 4) Déterminer des mesures supplémentaires techniques, organisationnelles et contractuelles si nécessaire.
• 5) Documenter l’analyse (dossier TIA) et obtenir la validation interne (DPO, direction).
• 6) Réévaluer périodiquement et surveiller les changements législatifs ou techniques.

Bonnes pratiques TIA : classifier les données (sensibles/non sensibles, finalités, volumes), cartographier les sous-traitants ultérieurs, noter les risques résiduels et consigner les tests d’efficacité des mesures (ex. audits, pentests, preuves de gestion de clés).

Mesures complémentaires efficaces (techniques, organisationnelles, contractuelles)

Les CCT peuvent être insuffisantes si la loi locale permet un accès disproportionné aux données. L’EDPB préconise alors des mesures supplémentaires adaptées au cas d’usage (EDPB, Recommandations 01/2020) :

• Techniques : chiffrement robuste en transit et au repos, idéalement avec gestion des clés par l’exportateur ou un prestataire distinct en UE ; pseudonymisation irréversible côté exportateur ; segmentation des jeux de données ; minimisation et conservation courte.
• Organisationnelles : politiques d’accès « zero trust », journalisation détaillée, revue d’accès régulière, formation sécurité/RGPD, plan de réponse aux demandes d’autorités publiques.
• Contractuelles : engagement de l’importateur à notifier sans délai injustifié toute demande d’accès, à la contester lorsqu’elle est infondée, à fournir des rapports de transparence, et à autoriser la suspension/résiliation si la conformité n’est plus possible (obligations prévues par les CCT 2021 – décision (UE) 2021/914).

Cas d’usage SaaS, cloud et IA : pièges courants et parades

• SaaS avec serveurs UE mais support aux États-Unis : l’accès à distance depuis un pays tiers est un transfert. Déployer chiffrement et restriction d’accès, et signer les CCT adéquates.
• Outils d’IA via API hors UE : vérifier le rôle (responsable/sous-traitant), le module de CCT, la localisation des logs et des modèles, et la gouvernance des clés. Pour une vue d’ensemble des obligations RGPD appliquées à l’IA, voir notre analyse dédiée RGPD et intelligence artificielle : obligations légales.
• Chaîne de sous-traitance longue : utilisez la clause d’amarrage et la procédure d’autorisation des sous-traitants. Notre guide contrat de sous-traitance couvre les obligations Art. 28 et le suivi des sous-traitants ultérieurs.

Gouvernance et conformité opérationnelle

Structurez votre programme transferts autour de trois piliers :

• Cartographie et registre à jour des traitements et des flux transfrontaliers. Un registre des traitements bien tenu vous fera gagner des semaines lors des TIA.
• Cadre documentaire cohérent : CCT signées, annexes techniques (mesures de sécurité), liste des sous-traitants autorisés, preuves d’audit. Pensez à aligner vos mentions et votre politique de confidentialité avec les transferts déclarés.
• Rôles et responsabilités : DPO, sécurité, achats, métiers. Si vous manquez de ressources, un DPO externalisé peut piloter le dispositif et vos TIA.

Sanctions, contrôles et fin des anciennes CCT

Maintenir d’anciennes clauses après le 27 décembre 2022 est non conforme selon la CNIL (communiqué CNIL). Les transferts sans garanties appropriées exposent à des amendes administratives pouvant atteindre 20 M€ ou 4 % du CA mondial, ainsi qu’à des injonctions de suspension de transfert (voir cadre RGPD sur EUR‑Lex). La CNIL rappelle les outils disponibles et la nécessité d’une TIA documentée (CNIL – Transférer des données hors UE).

Plan d’action 30‑60‑90 jours

• J+30 : cartographier tous les transferts (y compris accès à distance), vérifier l’existence d’une décision d’adéquation, sélectionner le module de CCT, lancer les TIA prioritaires.
• J+60 : signer les CCT 2021, compléter les annexes de sécurité, déployer chiffrement/pseudonymisation, cadrer la gestion des clés, formaliser la procédure de réponse aux demandes d’autorités publiques.
• J+90 : tester l’efficacité (audits, revues d’accès), mettre à jour le registre et la politique de confidentialité, planifier la revue annuelle des TIA et un reporting de conformité. Pour industrialiser, explorez nos conseils pour l’automatisation contractuelle et RGPD dans vos processus.

FAQ

1) Les CCT 2021 suffisent‑elles toujours ?
Non. Post‑Schrems II, vous devez évaluer le droit/pratique du pays tiers et ajouter des mesures complémentaires si nécessaire (voir EDPB – FAQ et Recommandations 01/2020).

2) L’accès à distance par un support basé hors UE est‑il un transfert ?
Oui, un accès depuis un pays tiers constitue un transfert et doit être encadré (voir CNIL).

3) Faut‑il un DPA en plus des CCT Module 2 ?
Le Module 2 intègre les exigences clés de l’article 28 RGPD, mais vous pouvez ajouter des précisions techniques et organisationnelles en annexes (décision (UE) 2021/914).

4) Que faire si la loi locale empêche de respecter les CCT ?
Suspendre ou mettre fin au transfert/au contrat et envisager des alternatives conformes. Cette faculté est prévue par les CCT et rappelée par la CJUE (Schrems II).

Pour approfondir la culture conformité de vos équipes produit et juridique, consultez aussi nos ressources connexes sur la gouvernance RGPD, notamment le template de registre et les bonnes pratiques de politique de confidentialité.