Transferts internationaux de données : SCC et Schrems II

·

Chaque fois qu'une entreprise espagnole envoie des données de clients ou d'employés à un fournisseur de services en nuage établi aux États-Unis, elle transfère des données personnelles hors de l'Espace économique européen (EEE). Cet acte, apparemment routinier, est soumis au Chapitre V du Règlement (UE) 2016/679 (RGPD) et exige de disposer d'un mécanisme juridique habilitant avant que les données ne franchissent la frontière. Sans ce mécanisme, le transfert est illicite et peut être sanctionné à hauteur de 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total en vertu de l'article 83.5 du RGPD.

Cet article analyse, avec rigueur normative, les mécanismes en vigueur : décisions d'adéquation, clauses contractuelles types (SCC) de 2021 et cadre EU-US Data Privacy Framework (DPF). Il explique également comment l'arrêt Schrems II de la Cour de justice de l'Union européenne (CJUE) a changé les règles du jeu et pourquoi l'évaluation d'impact du transfert (TIA — Transfer Impact Assessment) est aujourd'hui indispensable.

Le Chapitre V du RGPD : le principe de non-contournement

L'article 44 du RGPD établit le principe général des transferts internationaux : « Tout transfert de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après leur transfert vers un pays tiers ou à une organisation internationale n'a lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant. »

Ce principe a une conséquence pratique immédiate : aucun autre article du RGPD — ni le consentement de l'article 6, ni l'intérêt légitime — ne remplace le mécanisme habilitant du Chapitre V. Pour qu'un transfert international soit licite, deux conditions simultanées doivent être réunies : une base légale pour le traitement au sein de l'EEE (art. 6 ou 9 RGPD) et un mécanisme habilitant du Chapitre V pour faire sortir ces données de l'EEE.

Le Chapitre V prévoit trois grandes voies : les décisions d'adéquation (art. 45), les garanties appropriées (art. 46, qui comprennent les clauses contractuelles types) et les dérogations spécifiques pour des situations particulières (art. 49). Les règles d'entreprise contraignantes (art. 47, BCR pour Binding Corporate Rules) constituent également une garantie appropriée, mais leur accès est plus complexe en raison du long processus d'approbation devant les autorités de contrôle.

Décisions d'adéquation (article 45 du RGPD)

Lorsque la Commission européenne constate qu'un pays tiers assure un niveau de protection essentiellement équivalent à celui de l'EEE, elle adopte une décision d'adéquation. Le transfert vers ce pays ne nécessite aucune garantie supplémentaire : le mécanisme est la décision elle-même et l'entreprise peut transférer des données comme si elle le faisait au sein de l'EEE.

En 2026, bénéficient d'une décision d'adéquation complète ou sectorielle, entre autres, l'Andorre, l'Argentine, le Canada (secteur privé), les îles Féroé, Guernesey, Israël, l'île de Man, le Japon, Jersey, la Nouvelle-Zélande, le Royaume-Uni, la République de Corée, la Suisse et l'Uruguay. Ce catalogue est mis à jour périodiquement et chaque décision a un champ d'application matériel spécifique qu'il convient de vérifier avant de supposer une couverture automatique.

La nouveauté la plus importante de ces dernières années est la décision d'adéquation pour les transferts vers des entreprises américaines certifiées dans le cadre du EU-US Data Privacy Framework (DPF), adoptée le 10 juillet 2023 par la Décision d'exécution (UE) 2023/1795. Nous l'aborderons en détail plus loin.

Les clauses contractuelles types (SCC) : base légale et fonctionnement

Lorsque le pays de destination ne bénéficie pas d'une décision d'adéquation, l'option la plus courante pour les entreprises est de recourir aux garanties appropriées de l'article 46 du RGPD. Les clauses contractuelles types (SCC, pour Standard Contractual Clauses) sont l'instrument le plus utilisé, sur le fondement de l'article 46.2.c du RGPD.

Leur mécanique est simple en théorie : l'exportateur de données (dans l'EEE) et l'importateur de données (hors EEE) signent un contrat intégrant les clauses approuvées par la Commission européenne. Ce contrat impose à l'importateur des obligations équivalentes à celles du RGPD et confère aux personnes concernées des droits directement opposables à l'importateur. Si l'importateur manque à ses obligations, l'exportateur peut et doit suspendre le transfert.

Le problème mis en évidence par l'affaire Schrems II est que la signature de ce contrat ne garantit pas, à elle seule, que l'importateur pourra le respecter en pratique, si la législation du pays de destination oblige les entreprises à donner aux services de renseignement l'accès à leurs données sans que les citoyens européens disposent d'un recours juridictionnel effectif.

L'arrêt Schrems II : le Privacy Shield tombe, les SCC survivent sous conditions

Le 16 juillet 2020, la CJUE a rendu son arrêt dans l'affaire C-311/18 (Data Protection Commissioner contre Facebook Ireland et Maximillian Schrems), connue sous le nom de Schrems II. Les conséquences ont été doubles :

Cette seconde conséquence a introduit dans la pratique des entreprises le concept d'évaluation d'impact du transfert (TIA), que le Comité européen de la protection des données (CEPD) a développé dans ses Recommandations 01/2020.

Les SCC de 2021 : structure modulaire et délai d'adoption

La Commission européenne a adopté les nouvelles clauses contractuelles types par la Décision d'exécution (UE) 2021/914 du 4 juin 2021. Les SCC de 2021 ont remplacé les versions antérieures (2001 et 2010) et ont intégré les exigences découlant de Schrems II. Leur conception modulaire permet de couvrir quatre types de relations entre exportateur et importateur de données :

Module Relation couverte Exemple typique
Module 1 Responsable → Responsable La maison mère américaine reçoit les données de sa filiale espagnole
Module 2 Responsable → Sous-traitant Une entreprise espagnole recourt à un SaaS hébergé aux États-Unis
Module 3 Sous-traitant → Sous-traitant ultérieur Un fournisseur de cloud européen sous-traite le stockage aux États-Unis
Module 4 Sous-traitant → Responsable La filiale espagnole (sous-traitant) transfère des données au groupe (responsable) aux États-Unis

La période transitoire pour migrer des anciennes SCC vers celles de 2021 a expiré le 27 décembre 2022. Depuis cette date, seules les SCC de 2021 sont valables comme mécanisme habilitant. Les clauses antérieures figurant encore dans des contrats en vigueur avec des importateurs hors EEE n'ont plus d'effet juridique à cet égard et doivent être mises à jour.

L'évaluation d'impact du transfert (TIA)

La Transfer Impact Assessment (TIA), également appelée évaluation d'impact du transfert (EIT), est l'analyse que l'exportateur de données doit réaliser pour vérifier si les SCC peuvent être effectives dans le pays de destination. Il n'existe pas de format officiel unique, mais le CEPD décrit dans ses Recommandations 01/2020 un processus qui, dans la pratique des entreprises, se déroule en trois phases :

  1. Connaître le transfert : identifier quelles données personnelles sont transférées, vers quel pays, à quelle fin, sous quel module des SCC et qui est l'importateur.
  2. Identifier le mécanisme habilitant : vérifier que des SCC 2021 signées ou un autre mécanisme valide (décision d'adéquation, BCR, etc.) sont en place.
  3. Évaluer l'effectivité pratique : analyser le cadre juridique du pays de destination — législation sur la surveillance, accès des autorités publiques, recours juridictionnels dont disposent les personnes concernées — et déterminer si l'importateur peut respecter ses obligations au titre des SCC dans ce contexte. Dans le cas contraire, des mesures supplémentaires doivent être adoptées ou le transfert doit être suspendu.

Les mesures supplémentaires peuvent être techniques (chiffrement de bout en bout empêchant l'importateur de déchiffrer les données, pseudonymisation, opérations de déchiffrement uniquement au sein de l'EEE), contractuelles (obligations supplémentaires à la charge de l'importateur de résister aux demandes d'accès des autorités et de les notifier) ou organisationnelles (procédures pour détecter et gérer les demandes abusives). Ces mesures ne sont pas une simple formalité : si le droit du pays de destination oblige légalement l'importateur à divulguer les données et qu'il n'existe pas de recours effectif pour les personnes concernées, même les meilleures mesures techniques ne peuvent pas juridiquement sauvegarder le transfert.

Chez Summum Consultoría, nous accompagnons les organisations dans leur mise en conformité au RGPD, y compris la cartographie des transferts internationaux et l'élaboration des TIA correspondantes, adaptées au secteur et à la taille de chaque entreprise. L'approche pratique que nous appliquons vise à ce que chaque mesure adoptée soit proportionnée et dûment documentée en prévision d'un éventuel contrôle de l'Agencia Española de Protección de Datos (AEPD — Agence espagnole de protection des données).

Le EU-US Data Privacy Framework : le nouveau Privacy Shield ?

Le 10 juillet 2023, la Commission européenne a adopté la Décision d'exécution (UE) 2023/1795, accordant l'adéquation aux transferts de données vers des entreprises américaines certifiées dans le cadre du EU-US Data Privacy Framework (DPF). Les entreprises américaines qui se certifient volontairement auprès du département du Commerce des États-Unis sont couvertes par cette décision, sans qu'il soit nécessaire de recourir à des SCC ni à une TIA pour les transferts entrant dans le champ de leur certification.

Les principales innovations du DPF par rapport au Privacy Shield invalidé sont :

Cependant, le DPF n'est pas exempt d'incertitude. Des militants de la vie privée ont annoncé dès 2023 leur intention de le contester devant la CJUE, arguant que les réformes sont insuffisantes pour éliminer les vices qui ont motivé Schrems II. Jusqu'à ce qu'il existe un nouvel arrêt d'invalidation, le DPF est un mécanisme juridiquement valide et les entreprises peuvent s'y appuyer. Il est néanmoins prudent de documenter la certification du fournisseur pour chaque opération de transfert, compte tenu du contexte de contentieux.

Si le fournisseur américain n'est pas certifié dans le DPF, ou si sa certification ne couvre pas la catégorie de données ou la finalité du traitement concerné, l'entreprise espagnole exportatrice doit recourir aux SCC 2021 et procéder à la TIA correspondante.

Vue comparative des mécanismes de transfert

Mécanisme Base légale RGPD TIA requise ? Contrat supplémentaire requis ? Statut en 2026
Décision d'adéquation Art. 45 Non Non Valide (selon le pays)
SCC 2021 Art. 46.2.c Oui Oui (clauses modulaires) Valide
EU-US DPF Art. 45 (Déc. 2023/1795) Non (si fournisseur certifié) Non Valide (sous réserve d'un possible recours judiciaire)
Règles d'entreprise contraignantes (BCR) Art. 47 Oui Oui (approbation de l'autorité de contrôle) Valide (processus long et complexe)
Dérogations spécifiques Art. 49 Non Non Pour des cas ponctuels uniquement ; non applicable à un usage systématique
Privacy Shield Ancien art. 45 Invalide (arrêt Schrems II, juillet 2020)
Anciennes SCC (2001/2010) Ancien art. 46 Invalides depuis le 27 décembre 2022

Conséquences du non-respect

Les transferts internationaux sans mécanisme habilitant constituent une violation grave du RGPD. L'article 83.5.c qualifie le non-respect du Chapitre V d'infraction passible d'amendes allant jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. La Loi organique 3/2018 du 5 décembre relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD — Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales) complète le régime de sanctions dans l'ordre juridique espagnol sans modifier les seuils maximaux fixés par le règlement européen.

Au-delà des sanctions financières, l'AEPD peut ordonner la suspension à titre conservatoire du transfert dans le cadre de l'enquête sur la violation. Cela peut interrompre l'accès à des outils SaaS, à des plateformes en nuage ou à des services d'analyse dont les serveurs sont situés hors de l'EEE, avec un impact opérationnel significatif pour l'organisation concernée.

Si vous souhaitez réviser la cartographie des transferts internationaux de votre organisation et la mettre en conformité avec la réglementation en vigueur, l'équipe de protection des données de Summum Consultoría est à votre disposition dans nos cinq bureaux en Castille-et-León et aux Îles Canaries — Valladolid, Burgos, Palencia, Aranda de Duero et Las Palmas. Depuis 2007, nous accompagnons les organisations dans leur mise en conformité réglementaire, avec une approche pratique et proportionnée à la réalité de chaque organisation.

Questions fréquemment posées

Puis-je continuer à utiliser les SCC de 2010 si je les avais déjà signées avec mes fournisseurs ?

Non. La période transitoire pour migrer vers les SCC de 2021 a expiré le 27 décembre 2022. Les versions antérieures des clauses contractuelles types (2001 et 2010) ne constituent plus un mécanisme habilitant valide. Si vos contrats avec des fournisseurs hors EEE contiennent encore les anciennes SCC, vous devez les mettre à jour dans la version de 2021 adoptée par la Décision d'exécution (UE) 2021/914. Conserver les anciennes SCC revient à ne disposer d'aucun mécanisme habilitant, avec l'exposition aux sanctions qui en découle.

Si mon fournisseur américain est certifié dans le EU-US DPF, dois-je faire autre chose ?

Vous devez vérifier que la certification dans le registre public du DPF est active et en cours de validité au moment du transfert, et qu'elle couvre la catégorie de données que vous transférez (les données relatives aux ressources humaines et les données de personnes autres que les employés relèvent de périmètres de certification différents). Si la certification couvre votre transfert, vous n'avez besoin ni de SCC ni d'une TIA. Il est néanmoins recommandé de documenter cette vérification dans le cadre du registre des activités de traitement (art. 30 RGPD), en particulier compte tenu du contexte de possible recours judiciaire contre le DPF. Si la CJUE venait à invalider le DPF, vous devriez disposer immédiatement de SCC 2021 accompagnées d'une TIA comme solution de remplacement.

Quelle est la différence entre l'évaluation d'impact du transfert (TIA) et l'AIPD ?

L'évaluation d'impact du transfert (TIA) analyse spécifiquement si le mécanisme habilitant choisi — généralement les SCC — peut être effectif dans le pays de destination, en se concentrant sur le cadre juridique de ce pays et sur les risques pour les personnes concernées découlant d'un éventuel accès par des autorités étrangères. L'analyse d'impact relative à la protection des données (AIPD ou DPIA), réglementée à l'article 35 du RGPD, analyse les risques du traitement lui-même pour les droits et libertés des personnes concernées, indépendamment de l'existence ou non d'un transfert international. Ce sont des analyses distinctes et complémentaires : un même traitement peut requérir les deux. Vous pouvez approfondir le sujet dans notre article sur comment réaliser une AIPD étape par étape.

L'AEPD peut-elle enquêter si notre entreprise effectue des transferts internationaux sans mécanisme habilitant ?

Oui. L'AEPD peut ouvrir une procédure d'office ou à la suite d'une plainte — par exemple, d'un employé ou d'un client dont les données sont transférées à un fournisseur hors EEE sans couverture — pour vérifier l'existence d'un mécanisme habilitant. Si elle constate l'absence d'un tel mécanisme, elle peut imposer des mesures correctives, ordonner la suspension immédiate du transfert et ouvrir une procédure de sanction dans le cadre de l'article 83.5 du RGPD. Une documentation bien organisée des TIA réalisées et des contrats SCC signés constitue la meilleure preuve de diligence lors d'un contrôle.