# 5 RGPD : Le transfert de données hors Union européenne

Posté le 28 août 2025 dans Focus sur, Pratique, RGPD par Claudia Eyschen. Dernière mise à jour : 28 août 2025

Transfert de données hors Union européenne

On entend souvent qu’il est interdit de transférer des données à caractère personnel « hors Union européenne » en application du RGPD[1].

Kesako ?

En réalité, le transfert de données à caractère personnel hors Union européenne n’est permis que sous réserve du respect de certaines conditions.

L’objectif est évidemment de ne pas compromettre le niveau de protection, garanti par le RGPD, des droits et libertés de la personne à laquelle les données à caractère personnel se rapportent.

A défaut, compte tenu de l’internationalisation des échanges, notamment ceux portant sur les données, cela risquerait de priver le RGPD de toute effectivité !

1^ère question : qu’est-ce qu’un transfert ?

Il s’agit d’un transfert vers un pays tiers ou une organisation internationale de données qui font ou sont destinées à faire l’objet d’un traitement après ce transfert. Sont concernés le transfert initial mais également le transfert ultérieur (du pays tiers ou de l’organisation internationale vers un autre pays tiers ou une autre organisation internationale).

Exemple :

L’utilisation d’un cloud. Le traitement post transfert est alors (notamment) la conservation/l’enregistrement des données transférées.

2^ème question : puis-je transférer ou non ?

Le RGPD prévoit un mécanisme en espalier afin de garantir un transfert conforme aux règles qu’il édicte.

1^er barreau (haut de l’espalier) : l’existence d’une décision d’adéquation[2]. Il s’agit d’une décision de la Commission Européenne qui constate que le pays tiers ou l’organisation internationale vers lesquels les données sont transférées assurent un niveau de protection adéquat.

Exemple :

La décision d’adéquation de la Commission européenne prise à l’égard des États-Unis (décision d’exécution UE 2023/1795 de la Commission européenne du 10 juillet 2023).

Difficulté :

La large incertitude quant à la légalité de cette décision compte tenu, notamment, de l’invalidité des précédentes décisions d’adéquation prononcée par la Cour de Justice de l’Union européenne [3].

Autre exemple :

La décision d’adéquation de la Commission européenne prise à l’égard du Royaume-Uni (décision d’exécution (UE) 2021/1772 de la Commission européenne du 28 juin 2021). La validité de cette décision a été prolongée jusqu’au 27/12/2025, sauf nouvelle prorogation, par la décision d’exécution (UE) 2025/1226 de la Commission européenne du 24 juin 2025, afin de permettre à celle-ci de se prononcer sur son éventuel renouvellement.

Difficulté :

Un changement récent dans la législation anglaise pourrait influer sur le niveau de protection offert par le Royaume-Uni.

2^ème barreau : à défaut, le transfert est possible sous réserve pour le responsable du traitement de prévoir des garanties appropriées et s’il existe des droits opposables et voie de recours effectives pour les personnes concernées[4].

Exemples :

Règles d’entreprises contraignantes approuvées par une autorité de contrôle – type CNIL – clauses types de protection des données, mécanisme de certification approuvé…

3^ème barreau : à défaut, le transfert est possible, sous conditions et par dérogation, dans des situations particulières[5]

Exemples :

Consentement explicite de la personne concernée, exécution d’un contrat, motifs importants d’intérêt public…

Dérogation :

A défaut, le transfert est possible :

s’il ne revêt pas de caractère répétitif,
ne touche qu’un nombre limité de personnes concernées,
est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée,
et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.

4^ème barreau (bas de l’espalier, enfin !) : à défaut de tout cela, pas de transfert possible !

Voilà qui est complexe !

Alors, avant de transférer, anticipez et consultez !

Mon Cabinet d’avocat en droit des affaires situé à proximité de Laval, en Mayenne, est à votre disposition pour répondre à toutes vos questions !

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2] Article 45 du RGPD

[3] CJUE, 06/10/2015, n°C-362/14, Schrems c/ Data Protection Commissioner (« Schrems I) ; CJUE, 16/07/2020, n°C-311/18, Data Protection Commissioner C/ Facebook Ireland Ltd, Maximillian Schrems (« Schrems II »)

[4] Article 46 du RGPD

[5] Article 49 du RGPD

Voir aussi :

#4 RGPD : Le saviez-vous ? – 2023, une année à fêter !

#3 RGPD : Le saviez-vous ? – Thématiques prioritaires de contrôle de la CNIL

#2 RGPD : Le saviez-vous ? – Donnée à caractère personnel

#1 RGPD : Le saviez-vous ? – Genèse de la LIL

AFCDP (RGPD)
RGPD et Syndicat : consultation de la CNIL
Open data des décisions de justice

Photo de Lucian Alexe sur Unsplash