Transferts de données hors UE : ce que dit le RGPD
Beaucoup de sites transfèrent des données personnelles hors de l'Union européenne sans le savoir, simplement en intégrant un outil tiers hébergé aux États-Unis. Le RGPD n'interdit pas ces transferts, mais les encadre.
Quand y a-t-il transfert ?
Dès qu'une donnée personnelle (y compris une simple adresse IP) est accessible depuis un pays hors UE/EEE, il y a transfert. C'est le cas de nombreux services courants : mesure d'audience, polices d'écriture chargées à distance, cartes, CDN, outils de chat, hébergement.
Les garanties prévues par le chapitre V
Un transfert hors UE n'est licite que s'il repose sur une garantie appropriée. Les principales : une décision d'adéquation (le pays offre un niveau de protection jugé équivalent), les clauses contractuelles types de la Commission européenne (CCT/SCC), ou des règles d'entreprise contraignantes.
Pour les États-Unis, le cadre EU-US Data Privacy Framework permet, depuis 2023, de transférer des données vers les entreprises américaines certifiées. En dehors de ce cadre, des clauses contractuelles types et, le cas échéant, des mesures supplémentaires restent nécessaires.
Réduire les transferts à la source
La meilleure façon de gérer un transfert est souvent de l'éviter. Héberger ses polices d'écriture sur son propre serveur plutôt que de les charger à distance, choisir un outil de mesure d'audience européen, ou privilégier des prestataires hébergés dans l'UE supprime le problème sans démarche contractuelle.
Informer, dans tous les cas
Quand un transfert a lieu, votre politique de confidentialité doit l'indiquer : quels destinataires, vers quels pays, et sur quelle garantie il repose. C'est une obligation d'information (articles 13 et 44 et suivants du RGPD).
- Une simple adresse IP accessible hors UE constitue un transfert.
- Un transfert exige une garantie : adéquation, clauses types, ou cadre EU-US DPF pour les entreprises US certifiées.
- Éviter le transfert (self-hosting, prestataires UE) est souvent plus simple que l'encadrer.
- Tout transfert doit être mentionné dans la politique de confidentialité.
Votre site est-il concerné ?
Analysez-le gratuitement en 30 secondes : cookies, sécurité e-mail, transferts hors UE et plus encore.
Ce guide est une aide à la compréhension et à la conformité. Il ne constitue pas un avis juridique. Mis à jour le 17 juillet 2026.