Quelles garanties fournir lors du stockage de données en dehors de l'UE ?

Réponse courte

Tout transfert ou stockage de données personnelles en dehors de l'Union européenne est encadré par le chapitre V du RGPD (articles 44 à 49). En principe, seul un pays bénéficiant d'une décision d'adéquation de la Commission européenne peut accueillir librement des données de salariés luxembourgeois.

À défaut, l'employeur doit fournir des garanties appropriées : clauses contractuelles types (CCT) publiées par la Commission européenne, règles d'entreprise contraignantes (BCR) validées par la CNPD, code de conduite ou mécanisme de certification reconnu. L'arrêt Schrems II impose en outre une évaluation d'impact du transfert (TIA) et, si nécessaire, des mesures supplémentaires (chiffrement, pseudonymisation, minimisation). Les dérogations de l'article 49 ne sont admises que dans des cas exceptionnels.

Définition

Un transfert de données hors UE est toute mise à disposition de données personnelles à un destinataire situé dans un pays tiers ou une organisation internationale. Le stockage sur un serveur situé hors UE, même sans accès humain, est juridiquement assimilé à un transfert. L'objectif du chapitre V du RGPD est de garantir que le niveau de protection offert par le RGPD n'est pas compromis par le transfert.

Questions fréquentes

Qu'est-ce qu'une BCR au sens du RGPD ?

Les règles d'entreprise contraignantes (BCR) sont des règles internes adoptées par un groupe multinational et validées par la CNPD pour encadrer les transferts intragroupe hors UE. Elles constituent une garantie appropriée prévue par l'article 47 du RGPD.

Qu'est-ce qu'une décision d'adéquation au sens du RGPD ?

Une décision d'adéquation est une décision de la Commission européenne reconnaissant qu'un pays tiers offre un niveau de protection des données équivalent à celui de l'UE. Elle permet le transfert sans formalités supplémentaires (article 45 RGPD).

Qu'est-ce qu'une TIA selon l'arrêt Schrems II ?

La TIA (Transfer Impact Assessment) est une évaluation d'impact du transfert imposée depuis l'arrêt Schrems II de la CJUE. Elle vérifie si la législation locale du pays destinataire compromet le niveau de protection garanti par le RGPD.

Quand utiliser les dérogations de l'article 49 RGPD ?

Les dérogations de l'article 49 RGPD ne sont admises que dans des cas exceptionnels : consentement explicite de la personne, exécution d'un contrat, intérêt public important. Elles ne peuvent fonder des transferts massifs ou réguliers.

Que sont les clauses contractuelles types (CCT) ?

Les CCT sont des modèles de clauses publiés par la Commission européenne (décision 2021/914) à signer entre l'exportateur et l'importateur de données. Elles constituent une garantie appropriée au sens de l'article 46 du RGPD pour les transferts hors UE.

Quelles garanties pour stocker des données personnelles hors UE ?

Le chapitre V du RGPD (articles 44 à 49) encadre les transferts. Seul un pays bénéficiant d'une décision d'adéquation peut accueillir librement des données ; sinon, des garanties appropriées comme les clauses contractuelles types ou BCR sont obligatoires.

Quelles mesures supplémentaires prévoir hors UE après Schrems II ?

L'arrêt Schrems II impose des mesures supplémentaires techniques (chiffrement de bout en bout, pseudonymisation) ou contractuelles lorsque le cadre juridique local ne garantit pas un niveau équivalent. Ces mesures doivent être documentées.

Conditions d’exercice

Le chapitre V du RGPD (art. 44 à 49) hiérarchise les mécanismes : décision d'adéquation (art. 45), clauses contractuelles types 2021/914 (art. 46), règles d'entreprise contraignantes (art. 47), codes de conduite, certifications ou dérogations exceptionnelles (art. 49), chaque transfert nécessitant une TIA depuis Schrems II.

Mécanisme	Détail
Décision d'adéquation	Pays reconnu par la Commission européenne (art. 45)
Clauses contractuelles types	Modèle 2021/914 de la Commission européenne (art. 46)
Règles d'entreprise contraignantes	BCR validées par la CNPD pour les groupes (art. 47)
Code de conduite approuvé	Avec engagements contraignants du destinataire (art. 40)
Certification	Mécanisme reconnu par l'autorité compétente (art. 42)
Dérogations	Consentement explicite, intérêt public, contrat (art. 49)
TIA	Évaluation d'impact du transfert obligatoire depuis Schrems II

Modalités pratiques

Depuis l'arrêt Schrems II, chaque transfert hors UE exige un recensement, une TIA, le choix d'un mécanisme (CCT, BCR) et des mesures techniques supplémentaires documentées.

Étape	Détail
Recensement	Identification de tous les transferts hors UE
Analyse du pays	Vérification de la législation locale et des risques
TIA	Évaluation d'impact du transfert (Schrems II)
Choix du mécanisme	Adéquation, CCT, BCR selon la situation
Mesures supplémentaires	Chiffrement, pseudonymisation, audits
Contractualisation	Signature des clauses avec le destinataire
Information salariés	Mention dans la notice RGPD
Documentation	Conservation des preuves en cas de contrôle

Pratiques et recommandations

Cartographier tous les transferts hors UE existants, y compris les accès à distance depuis des pays tiers, pour identifier les risques cachés.

Privilégier les prestataires hébergeant les données dans l'UE ou dans un pays bénéficiant d'une décision d'adéquation pour simplifier la conformité.

Mener une évaluation d'impact du transfert (TIA) pour chaque destination située hors UE, conformément à l'arrêt Schrems II de la CJUE.

Mettre en œuvre des mesures supplémentaires techniques (chiffrement de bout en bout, pseudonymisation, anonymisation) lorsque le cadre juridique local ne garantit pas un niveau équivalent.

Documenter le choix du mécanisme de transfert et les mesures supplémentaires dans le registre des traitements et les dossiers du DPO.

Cadre juridique

Le cadre juridique des transferts hors UE est constitué du chapitre V du RGPD et des décisions européennes.

Référence	Objet
Art. 44 RGPD	Principe général des transferts
Art. 45 RGPD	Décisions d'adéquation
Art. 46 RGPD	Garanties appropriées (CCT, BCR)
Art. 47 RGPD	Règles d'entreprise contraignantes
Art. 49 RGPD	Dérogations pour situations particulières
Décision 2021/914	Clauses contractuelles types
Arrêt Schrems II (CJUE)	Invalidation du Privacy Shield
Recommandations EDPB 01/2020	Mesures supplémentaires post-Schrems II

Note

L'arrêt Schrems II impose une approche au cas par cas pour chaque transfert. La CNPD et les autres autorités européennes exigent une documentation rigoureuse de l'analyse et des mesures mises en œuvre. Les transferts non encadrés sont sanctionnés lourdement.