← Tous les articles

consultant

Transferts hors UE: EDPB vs ICO sur l’évaluation de risque (TRA)

L’ICO (15/01/2026) assouplit sa Transfer Risk Assessment, s’écartant de l’EDPB qui maintient un test d’« équivalence essentielle ». Pour les acteurs luxembourgeois, garder une analyse conforme EDPB reste clé.

Par Expertise Luxgap 27/06/2026

Fait de départ. Le 15 janvier 2026, l’ICO a publié une mise à jour majeure de sa doctrine sur les transferts internationaux et sa « Transfer Risk Assessment » (TRA), avec un accent plus pragmatique et proportionné au risque. Cette approche diverge des Recommandations 01/2020 de l’EDPB (version finale du 21 juin 2021), qui exigent une équivalence de protection démontrée.

L’affaire

  • Royaume‑Uni — Mise à jour « International transfers » de l’ICO avec un guide simplifié (dont un « three‑step test ») et l’engagement d’affiner la TRA et l’IDTA. Objectif: réduire la complexité et soutenir l’innovation, tout en restant conforme au UK GDPR. L’ICO précise que la TRA vérifie que la protection « n’est pas matériellement plus faible ». Sources ICO (consultées en juin 2026): annonce 15/01/2026 et A brief guide.
  • Union européenne — Après Schrems II (CJUE, 16 juillet 2020, C‑311/18), l’EDPB a adopté le 21 juin 2021 la version finale des Recommandations 01/2020 sur les mesures supplémentaires sous l’article 46 RGPD (SCC, BCR, certification…). La Commission a adopté les nouvelles SCC par la Décision d’exécution (UE) 2021/914. Sources: EDPB — 21/06/2021; EUR‑Lex — 2021/914; CJUE — CP/20/091.

Ces positions encadrent directement les pratiques luxembourgeoises: les responsables de traitement et sous‑traitants basés au Luxembourg restent soumis au chapitre V du RGPD et, le cas échéant, interagissent avec des prestataires soumis à la doctrine ICO.

Le raisonnement juridique

  • Base UE (RGPD, art. 44‑49) — Tout transfert vers un pays tiers exige une décision d’adéquation (art. 45), des garanties appropriées (art. 46: SCC 2021/914, BCR, codes, certification) ou, à titre résiduel, une dérogation (art. 49). Après Schrems II, l’EDPB requiert une évaluation solide de l’ordre juridique du pays importateur et, si nécessaire, des « mesures supplémentaires » démontrant une protection « essentiellement équivalente ». Références: EDPB — 21/06/2021; SCC 2021/914; CJUE — C‑311/18.
  • Position EDPB — Méthode en six étapes (cartographier, choisir l’outil, évaluer la loi/pratique du pays tiers, définir des mesures supplémentaires, formaliser, réévaluer). Accent sur une analyse « objective » des accès publics et sur des mesures techniques robustes (chiffrement, gestion des clés dans l’UE). Voir les Recommandations.
  • Position ICO — La TRA vérifie que la protection « n’est pas matériellement plus faible », avec une approche outcome‑based et proportionnée, centrée sur le « risque significatif » plutôt que l’« équivalence essentielle ». Outils: IDTA + TRA. Sources: annonce ICO; brief guide; page synthèse.
  • Luxembourg — La CNPD suit l’EDPB, rappelle les outils (SCC, BCR, codes, certification) et l’accountability des exportateurs. Depuis 2026, la certification (Europrivacy) progresse comme garantie au sens de l’art. 46. Sources CNPD: dossier transferts; actualité certification.

Ce que ça change concrètement

  • Entités luxembourgeoises avec prestataires UK ou chaînes EU→UK→pays tiers — Votre documentation doit rester alignée EDPB (équivalence + mesures supplémentaires), même si un partenaire britannique propose une TRA « légère ». Montrez l’analyse du droit du pays importateur final et vos contre‑mesures (chiffrement côté exportateur, clés dans l’UE, minimisation, pseudonymisation). Réf.: EDPB — 21/06/2021. En cas de doute, l’appui d’un DPO externe peut sécuriser vos arbitrages.
  • Choix d’outils de transfertSCC vs IDTA: l’IDTA est valable sous UK GDPR mais ne remplace pas les SCC pour un exporteur luxembourgeois. Les groupes UE↔UK maintiendront souvent SCC et IDTA en parallèle. Réf.: ICO — IDTA overview; EUR‑Lex — 2021/914. La certification Europrivacy peut structurer vos transferts récurrents.
  • Clauses et mesures supplémentaires « testées » — Pour données sensibles ou secteurs régulés (finance, santé): chiffrement de bout en bout avec clés détenues dans l’UE, séparation des rôles, journalisation des accès, procédure de contestation des demandes gouvernementales. Voir Recommandations EDPB. Un audit de cybersécurité peut valider l’effectivité des mesures techniques.

Pièges fréquents

  1. Confondre conformité UK et conformité UE — Accepter une TRA « raisonnable » côté prestataire britannique et oublier l’exigence d’équivalence Schrems II côté EDPB. Réf.: ICO — A brief guide; EDPB — 21/06/2021.
  2. Remplir les SCC « à blanc » — Annexes techniques laconiques, mesures supplémentaires génériques, pas de plan de notification/contestation. Réf.: EUR‑Lex — 2021/914.
  3. Négliger l’analyse juridique du pays importateur — Se limiter à une « probabilité faible » sans revue du droit d’accès public et des garanties effectives — insuffisant pour l’EDPB. Réf.: EDPB — 21/06/2021.
  4. Oublier l’accountability face à la CNPD — Incapacité à produire la base (art. 45/46/49), la cartographie des flux, l’analyse de risque Schrems II et les mesures supplémentaires. Réf.: CNPD — transferts sans protection adéquate. En pratique, cadrer ces éléments renforce votre conformité CNPD au Luxembourg.
  5. Mal gérer les chaînes de sous‑traitance — Absence de flow‑down des SCC vers les sous‑processeurs; pas d’alerte si le sous‑traitant ne peut plus suivre les instructions. Réf.: EUR‑Lex — 2021/914.

Sources officielles

  • EDPB — « Final version of Recommendations on supplementary measures » (21 juin 2021): lien
  • CJUE — Communiqué de presse, arrêt C‑311/18 (Schrems II), 16 juillet 2020: lien
  • Commission européenne — Décision d’exécution (UE) 2021/914 (SCC), 4 juin 2021: lien
  • ICO — Updated guidance on international transfers (15 janvier 2026): lien
  • ICO — A brief guide to international transfers (consultation de juin 2026): lien
  • CNPD — Dossier « Transferts hors EEE sans protection adéquate » (v. 2025): lien
  • CNPD — « International data transfers: an important step forward in GDPR certification » (16 avril 2026): lien

En synthèse

Le cœur de la divergence est le standard d’évaluation: l’EDPB exige une équivalence de protection démontrée; l’ICO accepte un standard « pas matériellement plus faible » axé sur probabilité et gravité du préjudice. Pour un dirigeant luxembourgeois, gardez une analyse EDPB‑compliant pour tous les flux soumis au RGPD, y compris avec des outils ICO.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd transferts-internationaux edpb ico luxembourg
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →