Article 46 du RGPD et transferts de données vers des pays tiers : ce que vous devez vraiment faire

Toute entreprise qui utilise des services cloud américains transfère des données personnelles en dehors de l'Espace économique européen. Cela fait de l'article 46 du RGPD l'une des dispositions les plus importantes du règlement pour les opérations quotidiennes. Les autorités de contrôle ont infligé plus de 2 milliards d'euros d'amendes spécifiquement pour des violations de transferts depuis 2023. Meta seule a payé 1,2 milliard d'euros. Ce n'est pas un risque théorique.

Ce que dit réellement l'article 46

L'article 46 encadre les transferts de données personnelles vers des pays qui ne bénéficient pas d'une décision d'adéquation de l'UE (c'est-à-dire que la Commission européenne n'a pas déclaré que la protection des données de ce pays est suffisante). Il énumère les outils juridiques utilisables pour rendre ces transferts licites :

Sans approbation de l'autorité de contrôle :

• Clauses contractuelles types (SCCs) adoptées par la Commission européenne
• Règles d'entreprise contraignantes (BCRs) pour les transferts intra-groupe
• Codes de conduite approuvés avec des engagements contraignants de l'importateur de données
• Mécanismes de certification approuvés avec des engagements contraignants

Avec approbation de l'autorité de contrôle :

• Clauses contractuelles sur mesure négociées entre les parties
• Arrangements administratifs entre autorités publiques

L'exigence commune à tous ces mécanismes : des droits effectifs pour les personnes concernées et des voies de recours juridiques effectives doivent être disponibles dans le pays de destination.

Les arrêts Schrems : pourquoi les règles changent sans cesse

Deux décisions de justice, initiées par le militant autrichien pour la vie privée Max Schrems, ont profondément transformé la pratique de ces transferts.

Schrems I (octobre 2015) a invalidé le cadre EU-US Safe Harbor. La Cour de justice a estimé que les programmes de surveillance américains (révélés par Snowden en 2013) rendaient le système d'autocertification du Safe Harbor incapable de garantir une protection équivalente au droit européen.

Schrems II (juillet 2020) a invalidé son remplaçant, le EU-US Privacy Shield. La Cour a jugé que la collecte de renseignements par les États-Unis en vertu de la Section 702 du FISA et de l'Executive Order 12333 dépassait toujours ce qui est proportionnel au regard des normes européennes. Le mécanisme de médiation créé par le Privacy Shield manquait d'indépendance et de pouvoir contraignant.

La Cour n'a pas invalidé les clauses contractuelles types, mais y a ajouté une condition déterminante : avant d'utiliser les SCCs, l'exportateur de données doit évaluer au cas par cas si les lois du pays de destination permettent à l'importateur de respecter effectivement les clauses. Si ce n'est pas possible, des mesures supplémentaires sont nécessaires. Si aucune mesure supplémentaire ne peut combler l'écart, le transfert doit cesser.

La situation actuelle : le EU-US Data Privacy Framework

Le troisième mécanisme destiné à stabiliser les transferts vers les États-Unis -- le EU-US Data Privacy Framework (DPF) -- a obtenu sa décision d'adéquation le 10 juillet 2023. Côté américain, il repose sur l'Executive Order 14086 (octobre 2022), qui a introduit des limites de proportionnalité pour le renseignement d'origine électromagnétique et créé un Data Protection Review Court (DPRC) comme mécanisme de recours pour les citoyens européens.

Plus de 2 800 organisations détiennent des certifications DPF actives. Le premier examen périodique de la Commission européenne (octobre 2024) a conclu que les autorités américaines avaient mis en place les structures nécessaires.

Mais le DPF repose sur des bases fragiles :

Le problème du PCLOB. Le 27 janvier 2025, trois membres du Privacy and Civil Liberties Oversight Board ont été licenciés, laissant le conseil en deçà du quorum de trois membres requis. Le PCLOB contrôle si les agences de renseignement américaines respectent les engagements en matière de protection de la vie privée prévus par le DPF. Un tribunal fédéral du district de Columbia a jugé ces licenciements illicites en mai 2025 et ordonné la réinstallation, mais le gouvernement a fait appel. En avril 2026, la fonction de surveillance du conseil reste compromise.

Les recours juridiques. Le député français Philippe Latombe (également membre de la CNIL) a déposé un recours contre le DPF en septembre 2023. Le Tribunal général l'a rejeté en septembre 2025, mais Latombe a formé un pourvoi devant la CJUE en octobre 2025. Ce recours est en cours d'examen. NOYB (l'organisation de Schrems) a signalé son intention de déposer un recours plus large.

Le risque lié à l'executive order. La base juridique américaine du DPF est un executive order, non une loi. Tout futur président peut le révoquer unilatéralement, ce qui compromettrait immédiatement la décision d'adéquation.

Les clauses contractuelles types : l'outil de transfert de référence

La Commission européenne a adopté les SCCs actuelles le 4 juin 2021. Tous les contrats doivent utiliser cette version (le délai de migration depuis les anciennes SCCs était fixé au 27 décembre 2022).

Les SCCs se déclinent en quatre modules pour les transferts internationaux :

• Module 1 : Responsable du traitement vers responsable du traitement
• Module 2 : Responsable du traitement vers sous-traitant
• Module 3 : Sous-traitant vers sous-traitant
• Module 4 : Sous-traitant vers responsable du traitement

Le texte des clauses ne peut pas être modifié. Elles se signent telles quelles. Mais voici ce que beaucoup d'entreprises ignorent : la Clause 14 des SCCs vous oblige à réaliser une analyse d'impact du transfert (TIA) avant que le transfert ne commence. Les SCCs ne sont pas un document que l'on signe et oublie.

Les analyses d'impact du transfert : l'étape que la plupart des entreprises sautent

Une TIA est une évaluation documentée qui vérifie si le cadre juridique du pays de destination permet à l'importateur de données de respecter ses engagements contractuels au titre des SCCs. La CNIL a publié son guide pratique définitif sur les TIA le 31 janvier 2025, articulé en six étapes.

Ce que vous devez évaluer :

1. Les lois sur la surveillance et l'accès gouvernemental aux données dans le pays de destination
2. Si ces lois neutralisent les protections prévues par vos SCCs
3. Quelles mesures supplémentaires (techniques, organisationnelles, contractuelles) peuvent combler l'écart
4. Si ces mesures supplémentaires sont réellement efficaces

Si la réponse à l'étape 4 est "non", vous ne pouvez pas effectuer le transfert. Point final.

La plupart des entreprises qui signent des SCCs avec des fournisseurs cloud américains ne complètent jamais de TIA. C'est précisément ce qui a valu à Meta une amende de 1,2 milliard d'euros. La DPC irlandaise a constaté que Meta s'appuyait sur des SCCs pour ses transferts vers les États-Unis sans avoir mis en place de mesures supplémentaires adéquates au regard de ce que Schrems II avait établi concernant la législation américaine sur la surveillance.

Les mesures supplémentaires : les recommandations de l'EDPB

Les Recommandations 01/2020 de l'EDPB (finalisées le 18 juin 2021) définissent trois catégories :

Les mesures techniques sont les plus efficaces. Chiffrez les données avec des clés détenues exclusivement par l'exportateur (ou une entité située dans un pays adéquat), de sorte que l'importateur ne puisse pas les déchiffrer même sous injonction gouvernementale. Pseudonymisez les données en conservant les clés de ré-identification uniquement côté exportateur. Recourez au traitement fractionné pour qu'aucune entité ne dispose de l'ensemble du jeu de données.

Les mesures organisationnelles comprennent des politiques internes de gouvernance des transferts de données, la minimisation des catégories et du volume de données transférées, ainsi que la formation du personnel.

Les mesures contractuelles exigent de l'importateur qu'il soit transparent sur les demandes d'accès gouvernementales, qu'il conteste les demandes disproportionnées et qu'il notifie promptement l'exportateur.

L'EDPB a été explicite : pour certains pays, aucune combinaison de mesures supplémentaires ne peut être suffisante. Si telle est votre conclusion, le transfert ne peut pas avoir lieu.

Le bilan des sanctions

Les autorités de contrôle ne lancent pas des menaces en l'air. Les amendes pour violations de transferts comptent parmi les plus élevées jamais infligées au titre du RGPD :

Date	Entreprise	Amende	Motif
Mai 2023	Meta	1,2 milliard EUR	Transferts vers les États-Unis via SCCs sans mesures supplémentaires adéquates
Juillet 2024	Uber	290 millions EUR	Données de chauffeurs européens (localisation, pièces d'identité, antécédents judiciaires/médicaux) transférées vers les États-Unis pendant 27 mois sans garanties
Mai 2025	TikTok	530 millions EUR	Données d'utilisateurs de l'EEE transférées vers la Chine sans vérification de l'efficacité des SCCs ; données stockées sur des serveurs chinois alors que l'entreprise affirmait le contraire

L'amende infligée à Meta fait suite à une décision contraignante de l'EDPB d'avril 2023. L'amende TikTok comprenait 485 millions d'euros pour la violation de l'article 46(1) seul, plus 45 millions d'euros pour un manquement à la transparence au titre de l'article 13.

Le conflit avec le CLOUD Act

La législation américaine crée un conflit direct avec le RGPD. Le CLOUD Act (2018) oblige les entreprises dont le siège est aux États-Unis à fournir des données sur injonction valide du gouvernement américain, quel que soit l'endroit où ces données sont physiquement stockées. Vos données peuvent se trouver dans un centre de données à Francfort -- une ordonnance d'un tribunal américain peut tout de même contraindre l'opérateur américain à les remettre.

L'article 48 du RGPD stipule que les transferts fondés sur des ordonnances judiciaires de pays tiers sont illicites en l'absence d'accord international les autorisant. Aucun accord de ce type n'existe entre l'UE et les États-Unis à cette fin. Les entreprises prises entre ces deux régimes font face à un conflit juridique sans résolution propre.

Cela prend d'autant plus d'importance que près de 97 % du marché européen de l'infrastructure cloud est contrôlé par des fournisseurs non européens -- principalement AWS, Google Cloud et Microsoft Azure.

Ce que les entreprises européennes devraient faire maintenant

Si vous vous appuyez sur le DPF : Ne le considérez pas comme permanent. La décision d'adéquation pourrait être invalidée par un futur arrêt de la CJUE, la révocation d'un executive order ou un examen périodique négatif. Prévoyez un plan de repli.

Si vous utilisez des SCCs : Réalisez votre TIA. Documentez-la. Mettez en place des mesures supplémentaires. La TIA n'est pas optionnelle -- elle est intégrée à la Clause 14 des SCCs elles-mêmes. Le guide de la CNIL de janvier 2025 fournit un cadre pratique.

Envisagez des alternatives européennes. Si vous pouvez traiter des données personnelles entièrement au sein de l'EEE en faisant appel à des fournisseurs européens, l'article 46 ne s'applique pas. Pas de TIA à réaliser, pas de mesures supplémentaires à mettre en place, aucun risque qu'un Schrems III élimine votre base juridique. Le problème des transferts disparaît. C'est l'argument structurel en faveur du choix de fournisseurs SaaS et cloud européens, indépendamment de toute échéance réglementaire.

Cartographiez vos flux de données. L'étape 1 de la feuille de route en six étapes de l'EDPB consiste à savoir où vont vos données. De nombreuses entreprises découvrent lors de cet exercice que des données personnelles atteignent des pays tiers via des sous-traitants ultérieurs qu'elles ne connaissaient pas.

Réévaluez périodiquement. La situation juridique évolue. La stabilité du DPF dépend de décisions politiques américaines. De nouveaux arrêts de la CJUE peuvent modifier les exigences du jour au lendemain. Une TIA réalisée en 2023 peut ne plus refléter la réalité en 2026.

Le texte intégral de l'article 46 du RGPD est disponible sur gdpr-info.eu/art-46-gdpr. Les recommandations de l'EDPB sur les mesures supplémentaires sont disponibles sur edpb.europa.eu. Le guide TIA de la CNIL est disponible sur cnil.fr.