Aller au contenu principal
Conformité Guide pratique PME

Encadrer les données personnelles hors UE

Vos données personnelles sont-elles stockées dans l'UE ou dans un pays avec niveau de protection adéquat ?

En bref — ce que vous devez retenir

Le RGPD impose des conditions strictes pour tout transfert de données personnelles hors de l'Union Européenne. Héberger des données clients sur AWS us-east-1 ou utiliser un outil américain sans contrat adapté peut vous exposer à des sanctions sévères.

? Nature du problème

Par défaut, le RGPD interdit le transfert de données personnelles vers des pays tiers sauf s'ils offrent un "niveau de protection adéquat" (liste de la Commission européenne) ou s'il existe des garanties appropriées (Clauses Contractuelles Types — CCT).

En pratique : utiliser Google Analytics, Mailchimp, Salesforce, ou tout service américain implique un transfert de données vers les USA. Depuis l'arrêt Schrems II (2020), ces transferts doivent être encadrés par des CCT et une analyse d'impact. Le Data Privacy Framework UE-USA (2023) a partiellement résolu la question pour les entreprises américaines certifiées.

Comment corriger — étape par étape

  1. Identifiez tous vos services qui transfèrent des données hors UE (hébergeurs, outils marketing, CRM, analytics)
  2. Pour chaque service : vérifiez s'il est certifié Data Privacy Framework (liste sur privacyshield.gov) ou s'il propose des CCT
  3. Pour les outils américains certifiés DPF : mentionnez ce transfert dans votre registre et politique de confidentialité
  4. Pour les outils non certifiés : signez les CCT proposées par le prestataire ou migrez vers une alternative européenne
  5. Préférez les hébergements dans des datacenters UE quand c'est possible (OVH, Scaleway, Hetzner)
  6. Documentez vos transferts dans votre registre des traitements

! Incidents réels

Agence marketing — Paris, 2022

Utilisation de Mailchimp sans CCT signées pour envoyer des newsletters à 50 000 clients français. Plainte client à la CNIL. Procédure d'enquête et mise en demeure. L'agence a dû signer les CCT et mettre à jour sa politique de confidentialité.

Responsable conformité — SaaS, Lyon, 2023

"On utilisait AWS us-east-1 sans avoir vérifié si nos données clients françaises étaient concernées. Lors d'un audit, on a migré vers AWS eu-west-3 (Paris) pour 20 % de coût supplémentaire. La sérénité juridique valait largement ce surcoût."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →