Sous-traitants hors UE : ce que l'arrêt Schrems II exige toujours

Vous utilisez AWS, Google ou Microsoft ? Une partie de vos données transite par les États-Unis. Depuis Schrems II, ce n'est plus anodin. Voici ce qui fonctionne concrètement.

Le traitement des données de citoyens européens hors de l'EEE n'est autorisé qu'avec des garanties explicites. L'arrêt Schrems II (2020) a invalidé l'ancien Privacy Shield.

Les voies actuelles

• EU-US Data Privacy Framework (2023) : successeur du Privacy Shield. S'applique aux fournisseurs américains certifiés dans ce cadre.
• Clauses Contractuelles Types (CCT / SCC) : modèles de clauses européennes entre une partie établie dans l'UE et une partie hors UE. Souvent associés à une Transfer Impact Assessment.
• Règles d'Entreprise Contraignantes (BCR) : applicables au sein de grands groupes, peu pertinentes pour une PME classique.

Microsoft, Google, AWS — où en sont-ils ?

• Microsoft 365 : l'EU Data Boundary garantit que les données des clients européens restent dans l'UE pour la plupart des services. Microsoft est certifié DPF pour les cas impliquant les États-Unis.
• Google Workspace : même principe — les données UE restent dans l'UE, DPF pour les composants américains.
• AWS : configurable par région. Choisissez une région UE (Francfort, Amsterdam, Irlande). Pour les services managés, vérifiez où se situe le plan de contrôle.
• Cloudflare : les données peuvent transiter par l'edge mondial. L'offre Business propose une option « EU uniquement ».

Petits SaaS américains (Slack, Notion, Intercom)

La plupart disposent désormais d'une certification DPF. Consultez leur DPA ou leur page de confiance. Pour les données véritablement sensibles, envisagez une alternative hébergée dans l'UE.

Documentation

Dans votre registre des traitements : indiquez pour chaque traitement si les données quittent l'UE et sur quelle base juridique.

Voir aussi : pilier RGPD, DPA.