Article 46 du RGPD et transferts de donnees vers des pays tiers : ce que vous devez vraiment faire

Toute entreprise qui utilise des services cloud americains transfere des donnees personnelles en dehors de l'Espace economique europeen. Cela fait de l'article 46 du RGPD l'une des dispositions les plus importantes du reglement pour les operations quotidiennes. Les autorites de controle ont inflige plus de 2 milliards d'euros d'amendes specifiquement pour des violations de transferts depuis 2023. Meta seule a paye 1,2 milliard d'euros. Ce n'est pas un risque theorique.

Ce que dit reellement l'article 46

L'article 46 encadre les transferts de donnees personnelles vers des pays qui ne beneficient pas d'une decision d'adequation de l'UE (c'est-a-dire que la Commission europeenne n'a pas declare que la protection des donnees de ce pays est suffisante). Il enumere les outils juridiques utilisables pour rendre ces transferts licites :

Sans approbation de l'autorite de controle :

• Clauses contractuelles types (SCCs) adoptees par la Commission europeenne
• Regles d'entreprise contraignantes (BCRs) pour les transferts intra-groupe
• Codes de conduite approuves avec des engagements contraignants de l'importateur de donnees
• Mecanismes de certification approuves avec des engagements contraignants

Avec approbation de l'autorite de controle :

• Clauses contractuelles sur mesure negociees entre les parties
• Arrangements administratifs entre autorites publiques

L'exigence commune a tous ces mecanismes : des droits effectifs pour les personnes concernees et des voies de recours juridiques effectives doivent etre disponibles dans le pays de destination.

Les arrets Schrems : pourquoi les regles changent sans cesse

Deux decisions de justice, initiees par le militant autrichien pour la vie privee Max Schrems, ont profondement transforme la pratique de ces transferts.

Schrems I (octobre 2015) a invalide le cadre EU-US Safe Harbor. La Cour de justice a estime que les programmes de surveillance americains (reveles par Snowden en 2013) rendaient le systeme d'autocertification du Safe Harbor incapable de garantir une protection equivalente au droit europeen.

Schrems II (juillet 2020) a invalide son remplacant, le EU-US Privacy Shield. La Cour a juge que la collecte de renseignements par les Etats-Unis en vertu de la Section 702 du FISA et de l'Executive Order 12333 depassait toujours ce qui est proportionnel au regard des normes europeennes. Le mecanisme de mediation cree par le Privacy Shield manquait d'independance et de pouvoir contraignant.

La Cour n'a pas invalide les clauses contractuelles types, mais y a ajoute une condition determinante : avant d'utiliser les SCCs, l'exportateur de donnees doit evaluer au cas par cas si les lois du pays de destination permettent a l'importateur de respecter effectivement les clauses. Si ce n'est pas possible, des mesures supplementaires sont necessaires. Si aucune mesure supplementaire ne peut combler l'ecart, le transfert doit cesser.

La situation actuelle : le EU-US Data Privacy Framework

Le troisieme mecanisme destine a stabiliser les transferts vers les Etats-Unis -- le EU-US Data Privacy Framework (DPF) -- a obtenu sa decision d'adequation le 10 juillet 2023. Cote americain, il repose sur l'Executive Order 14086 (octobre 2022), qui a introduit des limites de proportionnalite pour le renseignement d'origine electromagnetique et cree un Data Protection Review Court (DPRC) comme mecanisme de recours pour les citoyens europeens.

Plus de 2 800 organisations detiennent des certifications DPF actives. Le premier examen periodique de la Commission europeenne (octobre 2024) a conclu que les autorites americaines avaient mis en place les structures necessaires.

Mais le DPF repose sur des bases fragiles :

Le probleme du PCLOB. Le 27 janvier 2025, trois membres du Privacy and Civil Liberties Oversight Board ont ete licencies, laissant le conseil en deca du quorum de trois membres requis. Le PCLOB controle si les agences de renseignement americaines respectent les engagements en matiere de protection de la vie privee prevus par le DPF. Un tribunal federal du district de Columbia a juge ces licenciements illicites en mai 2025 et ordonne la reinstallation, mais le gouvernement a fait appel. En avril 2026, la fonction de surveillance du conseil reste compromise.

Les recours juridiques. Le depute francais Philippe Latombe (egalement membre de la CNIL) a depose un recours contre le DPF en septembre 2023. Le Tribunal general l'a rejete en septembre 2025, mais Latombe a forme un pourvoi devant la CJUE en octobre 2025. Ce recours est en cours d'examen. NOYB (l'organisation de Schrems) a signale son intention de deposer un recours plus large.

Le risque lie a l'executive order. La base juridique americaine du DPF est un executive order, non une loi. Tout futur president peut le revoquer unilateralement, ce qui compromettrait immediatement la decision d'adequation.

Les clauses contractuelles types : l'outil de transfert de reference

La Commission europeenne a adopte les SCCs actuelles le 4 juin 2021. Tous les contrats doivent utiliser cette version (le delai de migration depuis les anciennes SCCs etait fixe au 27 decembre 2022).

Les SCCs se declinent en quatre modules pour les transferts internationaux :

• Module 1 : Responsable du traitement vers responsable du traitement
• Module 2 : Responsable du traitement vers sous-traitant
• Module 3 : Sous-traitant vers sous-traitant
• Module 4 : Sous-traitant vers responsable du traitement

Le texte des clauses ne peut pas etre modifie. Elles se signent telles quelles. Mais voici ce que beaucoup d'entreprises ignorent : la Clause 14 des SCCs vous oblige a realiser une analyse d'impact du transfert (TIA) avant que le transfert ne commence. Les SCCs ne sont pas un document que l'on signe et oublie.

Les analyses d'impact du transfert : l'etape que la plupart des entreprises sautent

Une TIA est une evaluation documentee qui verifie si le cadre juridique du pays de destination permet a l'importateur de donnees de respecter ses engagements contractuels au titre des SCCs. La CNIL a publie son guide pratique definitif sur les TIA le 31 janvier 2025, articule en six etapes.

Ce que vous devez evaluer :

1. Les lois sur la surveillance et l'acces gouvernemental aux donnees dans le pays de destination
2. Si ces lois neutralisent les protections prevues par vos SCCs
3. Quelles mesures supplementaires (techniques, organisationnelles, contractuelles) peuvent combler l'ecart
4. Si ces mesures supplementaires sont reellement efficaces

Si la reponse a l'etape 4 est "non", vous ne pouvez pas effectuer le transfert. Point final.

La plupart des entreprises qui signent des SCCs avec des fournisseurs cloud americains ne completent jamais de TIA. C'est precisement ce qui a valu a Meta une amende de 1,2 milliard d'euros. La DPC irlandaise a constate que Meta s'appuyait sur des SCCs pour ses transferts vers les Etats-Unis sans avoir mis en place de mesures supplementaires adequates au regard de ce que Schrems II avait etabli concernant la legislation americaine sur la surveillance.

Les mesures supplementaires : les recommandations de l'EDPB

Les Recommandations 01/2020 de l'EDPB (finalisees le 18 juin 2021) definissent trois categories :

Les mesures techniques sont les plus efficaces. Chiffrez les donnees avec des cles detenues exclusivement par l'exportateur (ou une entite situee dans un pays adequat), de sorte que l'importateur ne puisse pas les dechiffrer meme sous injonction gouvernementale. Pseudonymisez les donnees en conservant les cles de ré-identification uniquement cote exportateur. Recourez au traitement fractionne pour qu'aucune entite ne dispose de l'ensemble du jeu de donnees.

Les mesures organisationnelles comprennent des politiques internes de gouvernance des transferts de donnees, la minimisation des categories et du volume de donnees transferees, ainsi que la formation du personnel.

Les mesures contractuelles exigent de l'importateur qu'il soit transparent sur les demandes d'acces gouvernementales, qu'il conteste les demandes disproportionnees et qu'il notifie promptement l'exportateur.

L'EDPB a ete explicite : pour certains pays, aucune combinaison de mesures supplementaires ne peut etre suffisante. Si telle est votre conclusion, le transfert ne peut pas avoir lieu.

Le bilan des sanctions

Les autorites de controle ne lancent pas des menaces en l'air. Les amendes pour violations de transferts comptent parmi les plus elevees jamais infligees au titre du RGPD :

Date	Entreprise	Amende	Motif
Mai 2023	Meta	1,2 milliard EUR	Transferts vers les Etats-Unis via SCCs sans mesures supplementaires adequates
Juillet 2024	Uber	290 millions EUR	Donnees de chauffeurs europeens (localisation, pieces d'identite, antecedents judiciaires/medicaux) transferees vers les Etats-Unis pendant 27 mois sans garanties
Mai 2025	TikTok	530 millions EUR	Donnees d'utilisateurs de l'EEE transferees vers la Chine sans verification de l'efficacite des SCCs ; donnees stockees sur des serveurs chinois alors que l'entreprise affirmait le contraire

L'amende infligee a Meta fait suite a une decision contraignante de l'EDPB d'avril 2023. L'amende TikTok comprenait 485 millions d'euros pour la violation de l'article 46(1) seul, plus 45 millions d'euros pour un manquement a la transparence au titre de l'article 13.

Le conflit avec le CLOUD Act

La legislation americaine cree un conflit direct avec le RGPD. Le CLOUD Act (2018) oblige les entreprises dont le siege est aux Etats-Unis a fournir des donnees sur injonction valide du gouvernement americain, quel que soit l'endroit ou ces donnees sont physiquement stockees. Vos donnees peuvent se trouver dans un centre de donnees a Francfort -- une ordonnance d'un tribunal americain peut tout de meme contraindre l'operateur americain a les remettre.

L'article 48 du RGPD stipule que les transferts fondes sur des ordonnances judiciaires de pays tiers sont illicites en l'absence d'accord international les autorisant. Aucun accord de ce type n'existe entre l'UE et les Etats-Unis a cette fin. Les entreprises prises entre ces deux regimes font face a un conflit juridique sans resolution propre.

Cela prend d'autant plus d'importance que pres de 97 % du marche europeen de l'infrastructure cloud est controle par des fournisseurs non europeens -- principalement AWS, Google Cloud et Microsoft Azure.

Ce que les entreprises europeennes devraient faire maintenant

Si vous vous appuyez sur le DPF : Ne le considerez pas comme permanent. La decision d'adequation pourrait etre invalidee par un futur arret de la CJUE, la revocation d'un executive order ou un examen periodique negatif. Prevoyez un plan de repli.

Si vous utilisez des SCCs : Realisez votre TIA. Documentez-la. Mettez en place des mesures supplementaires. La TIA n'est pas optionnelle -- elle est integree a la Clause 14 des SCCs elles-memes. Le guide de la CNIL de janvier 2025 fournit un cadre pratique.

Envisagez des alternatives europeennes. Si vous pouvez traiter des donnees personnelles entierement au sein de l'EEE en faisant appel a des fournisseurs europeens, l'article 46 ne s'applique pas. Pas de TIA a realiser, pas de mesures supplementaires a mettre en place, aucun risque qu'un Schrems III elimine votre base juridique. Le probleme des transferts disparait. C'est l'argument structurel en faveur du choix de fournisseurs SaaS et cloud europeens, independamment de toute echeance reglementaire.

Cartographiez vos flux de donnees. L'etape 1 de la feuille de route en six etapes de l'EDPB consiste a savoir ou vont vos donnees. De nombreuses entreprises decouvrent lors de cet exercice que des donnees personnelles atteignent des pays tiers via des sous-traitants ulterieurs qu'elles ne connaissaient pas.

Reevaluez periodiquement. La situation juridique evolue. La stabilite du DPF depend de decisions politiques americaines. De nouveaux arrets de la CJUE peuvent modifier les exigences du jour au lendemain. Une TIA realisee en 2023 peut ne plus refleter la realite en 2026.

Le texte integral de l'article 46 du RGPD est disponible sur gdpr-info.eu/art-46-gdpr. Les recommandations de l'EDPB sur les mesures supplementaires sont disponibles sur edpb.europa.eu. Le guide TIA de la CNIL est disponible sur cnil.fr.