Le piège classique
L'article 44 pose le principe cardinal : aucun transfert hors UE sans garantie equivalente au RGPD. Depuis l'arret Schrems II (CJUE, juillet 2020), la CNPD, la CNIL et l'EDPB sanctionnent systématiquement les organisations qui se contentent de cocher Standard Contractual Clauses sans réaliser de Transfer Impact Assessment. Le piège le plus frequent : ignorer les transferts indirects, c'est-a-dire ceux opérés par vos sous-traitants UE qui hébergent en realite sur AWS US-East ou utilisent un support technique en Inde. Le responsable du traitement reste pleinement responsable, même quand le transfert est invisible dans son contrat.
Les 5 angles morts qui déclenchent les sanctions
- Support et maintenance : un editeur SaaS européen avec une équipe support a Manille ou Bangalore = transfert non documente
- Sous-traitants ulterieurs : votre prestataire UE utilise Mailchimp, Zendesk, Salesforce, Microsoft 365 (transferts US même avec Data Privacy Framework)
- Acces administrateur : un administrateur cloud base hors UE qui peut techniquement lire les données constitue un transfert, même sans extraction
- Sauvegardes et logs : repliquees automatiquement vers des regions non-UE pour la resilience
- Outils internes : LinkedIn Recruiter, ChatGPT, GitHub Copilot, Notion, utilises par les équipes sans validation DPO
Le test 'niveau de protection equivalent' impose par Schrems II
L'article 44 in fine exige que le niveau de protection ne soit pas compromis. Concretement, l'EDPB (recommandations 01/2020) impose une analyse en six etapes : cartographier le transfert, identifier l'outil de transfert (DPF, SCC, BCR), évaluer la legislation du pays tiers (FISA 702, Cloud Act, lois chinoises), ajouter des mesures supplementaires (chiffrement, pseudonymisation, split processing), formaliser le TIA, reevaluer régulièrement. La CNPD vérifié l'existence d'un TIA documente par transfert, pas un document generique.
Comment Luxgap automatise ce risque
Notre outil Luxgap Transfer Radar est le moteur de cartographie et d'évaluation des transferts internationaux. Il se branche sur votre Microsoft 365, Azure AD, AWS Organizations, Google Workspace, Cloudflare, et votre registre des sous-traitants pour détecter automatiquement les flux sortants vers des pays tiers, y compris les transferts indirects via sous-traitants ulterieurs.
- Flow Discovery Engine : scan des logs DNS, des endpoints API et des regions cloud reellement utilisees
- Country Risk Scoring : évaluation automatique de la legislation locale (FISA 702, Cloud Act, PIPL chinois, lois russes)
- TIA Generator : production d'un Transfer Impact Assessment conforme EDPB 01/2020 par transfert detecte
- SCC Module Tracker : vérification que les bons modules SCC 2021 sont signes et a jour
- Onward Transfer Alerts : alerte en temps reel quand un sous-traitant ajoute un nouveau sous-traitant ulterieur hors UE
- Evidence Vault : rapport PDF horodate 'Article 44 - preuve par transfert' opposable a la CNPD
Disponible en SaaS (Starter jusqu'a 25 transferts cartographies, Pro jusqu'a 100, Enterprise illimite avec API), ou inclus dans le mandat DPO externe Luxgap. Demandez un scan gratuit de vos transferts internationaux en 48h, livre avec snapshot 90 jours.
