Transferts de données hors UE : ce que dit le RGPD
Beaucoup de sites transfèrent des données personnelles hors de l'Union européenne sans le savoir, simplement en intégrant un outil tiers hébergé aux États-Unis. Le RGPD n'interdit pas ces transferts, mais les encadre.
Quand y a-t-il transfert ?
Dès qu'une donnée personnelle (y compris une simple adresse IP) est accessible depuis un pays hors UE/EEE, il y a transfert. C'est le cas de nombreux services courants : mesure d'audience, polices d'écriture chargées à distance, cartes, CDN, outils de chat, hébergement.
Les garanties prévues par le chapitre V
Un transfert hors UE n'est licite que s'il repose sur une garantie appropriée. Les principales : une décision d'adéquation (le pays offre un niveau de protection jugé équivalent), les clauses contractuelles types de la Commission européenne (CCT/SCC), ou des règles d'entreprise contraignantes.
Pour les États-Unis, le cadre EU-US Data Privacy Framework permet, depuis 2023, de transférer des données vers les entreprises américaines certifiées. En dehors de ce cadre, des clauses contractuelles types et, le cas échéant, des mesures supplémentaires restent nécessaires.
Réduire les transferts à la source
La meilleure façon de gérer un transfert est souvent de l'éviter. Héberger ses polices d'écriture sur son propre serveur plutôt que de les charger à distance, choisir un outil de mesure d'audience européen, ou privilégier des prestataires hébergés dans l'UE supprime le problème sans démarche contractuelle.
Informer, dans tous les cas
Quand un transfert a lieu, votre politique de confidentialité doit l'indiquer : quels destinataires, vers quels pays, et sur quelle garantie il repose. C'est une obligation d'information (articles 13 et 44 et suivants du RGPD).
Les outils qui transfèrent le plus souvent sans qu'on le sache
La plupart des transferts ne sont pas volontaires : ils viennent d'outils intégrés par commodité, sans conscience qu'ils envoient des données hors d'Europe. Les plus courants sur les sites de TPE/PME :
- Les polices d'écriture chargées à distance (Google Fonts), qui transmettent l'adresse IP du visiteur.
- La mesure d'audience hébergée hors UE, si elle n'est pas configurée en conséquence.
- Les cartes interactives et les vidéos embarquées (services américains).
- Les CDN et l'hébergement d'images sur des infrastructures hors UE.
- Les outils de chat, de formulaire ou de réservation dont les serveurs sont aux États-Unis.
Comment repérer vos propres transferts
Repérer un transfert « à l'œil nu » est difficile, car il se produit dans les requêtes réseau de la page. Une analyse automatisée identifie les domaines tiers contactés par votre site et signale ceux hébergés hors UE, ce qui vous donne la liste des transferts à documenter ou à supprimer. C'est souvent une source de mauvaises surprises : un site perçu comme « simple » contacte fréquemment une dizaine de services tiers.
Le cas des boutons de partage et widgets sociaux
Un bouton « Partager sur Facebook » ou un widget « Suivez-nous » chargé directement depuis la plateforme sociale contacte les serveurs de cette plateforme dès l'affichage de la page, ce qui peut constituer un transfert hors UE — même si le visiteur ne clique jamais sur le bouton. Des versions « statiques » (une simple image liée, sans script chargé automatiquement) évitent ce problème tout en gardant la fonctionnalité de partage.
Cas pratique : les transferts cachés d'un site « simple »
Prenons un site vitrine qui semble minimal : une page d'accueil, un formulaire de contact, une carte pour indiquer l'adresse. Une inspection des requêtes réseau révèle pourtant souvent une demi-douzaine de destinations hors UE : les polices d'écriture chargées depuis un service tiers, la carte interactive elle-même, un widget de chat en bas de page hébergé aux États-Unis, et parfois un outil de statistiques activé « par défaut » lors de l'installation d'un thème.
Aucun de ces éléments n'a été ajouté dans l'intention de transférer des données : ils sont arrivés avec un thème, un plugin, ou un copier-coller de code trouvé en ligne. C'est précisément pour cette raison qu'un inventaire purement déclaratif est rarement fiable — seule une observation technique du site tel qu'il fonctionne réellement révèle la totalité des destinations contactées.
Le cas particulier du Royaume-Uni (post-Brexit)
Depuis sa sortie de l'Union européenne, le Royaume-Uni fait l'objet d'une décision d'adéquation de la Commission européenne : les transferts de données vers ce pays sont donc traités comme des transferts vers un pays offrant un niveau de protection jugé équivalent, sans garantie contractuelle supplémentaire à mettre en place pour l'instant.
Cette décision d'adéquation, comme toute décision de ce type, fait l'objet d'un réexamen périodique par la Commission — un outil hébergé au Royaume-Uni aujourd'hui sans formalité particulière pourrait donc, en théorie, nécessiter un encadrement différent si cette décision venait à évoluer.
- Une simple adresse IP accessible hors UE constitue un transfert.
- Un transfert exige une garantie : adéquation, clauses types, ou cadre EU-US DPF pour les entreprises US certifiées.
- Éviter le transfert (self-hosting, prestataires UE) est souvent plus simple que l'encadrer.
- Tout transfert doit être mentionné dans la politique de confidentialité.
- Beaucoup de transferts sont involontaires : polices distantes, cartes, CDN, chat, mesure d'audience.
- Les boutons de partage social chargés en script actif sont une source fréquente de transfert hors UE, même sans clic.
- Un site en apparence simple contacte souvent une demi-douzaine de services tiers hors UE, ajoutés par un thème ou un plugin sans intention explicite.
- Le Royaume-Uni bénéficie d'une décision d'adéquation de la Commission européenne, réexaminée périodiquement.
Questions fréquentes
Sur le même sujet
Sources & références officielles
Votre site est-il concerné ?
Analysez-le gratuitement en 30 secondes : cookies, sécurité e-mail, transferts hors UE et plus encore.
Ce guide est une aide à la compréhension et à la conformité. Il ne constitue pas un avis juridique. Mis à jour le 18 juillet 2026.