Le piège classique
L'article 96 est une clause de droit transitoire qui semble inoffensive, mais elle cree une fausse sécurité dangereuse. De nombreuses organisations invoquent des accords bilateraux anciens (conventions fiscales, accords d'entraide judiciaire, conventions de sécurité sociale) pour justifier des transferts hors UE sans clauses contractuelles types ni analyse d'impact. La CNPD et la CNIL rappellent régulièrement que cette exception ne couvre que les accords internationaux entre Etats membres et pays tiers anterieurs au 24 mai 2016, et qu'elle ne dispense en aucun cas l'entreprise privée qui s'appuie dessus de vérifier la conformité opérationnelle du transfert avec les exigences du chapitre V du RGPD post-Schrems II.
Les pièges en pratique sur l'article 96
- Confusion entre accord etatique et contrat commercial : un accord intergouvernemental n'autorise pas votre prestataire SaaS US a recevoir vos données RH sans SCC ni TIA.
- Accords modifies apres mai 2016 : toute modification, même par echange de notes diplomatiques, fait perdre le bénéfice de l'article 96 et impose une remise a niveau RGPD complète.
- Schrems II (CJUE 2020) : même les accords anterieurs doivent être evalues a l'aune du niveau de protection effectif dans le pays tiers, notamment face aux lois de surveillance (FISA 702, CLOUD Act).
- Data Privacy Framework (2023) : ne remplace pas les accords article 96, mais s'y superpose pour les transferts UE-US vers organisations certifiees.
- Absence de cartographie : la plupart des responsables de traitement luxembourgeois ne savent pas quels accords intergouvernementaux fondent leurs transferts (FATCA, CRS, Europol, Interpol, conventions fiscales bilaterales).
- Charge de la preuve inversee : c'est au responsable du traitement de démontrer que l'accord invoque est anterieur, non modifie et conforme au droit de l'Union pre-2016.
Le test de validite article 96 a documenter
Pour qu'un transfert puisse s'appuyer sur l'article 96, vous devez pouvoir produire en 24h : la référence exacte de l'accord international, sa date de conclusion (anterieure au 24 mai 2016), la preuve qu'il n'a pas ete modifie, remplace ou revoque, et une analyse demontrant que les catégories de données et finalités transférées entrent bien dans le perimetre matériel de l'accord. Sans ces quatre elements, la CNPD considéré que le transfert releve du regime de droit commun (articles 44 a 49 RGPD) et exige SCC, BCR ou derogations article 49.
Comment Luxgap automatise ce risque
Notre outil Luxgap Transfer Heritage Auditor cartographie automatiquement vos transferts hors UE et identifié ceux qui invoquent (ou pourraient legitimement invoquer) un accord international anterieur a 2016. Le module Treaty Matcher croise vos flux de données detectes via Microsoft Purview, Defender for Cloud Apps et vos logs IAM avec une base referencee de plus de 400 accords internationaux UE et bilateraux Luxembourg (FATCA, CRS, conventions fiscales, accords Europol, accords d'entraide). Le module Drift Monitor surveille les modifications publiees au Journal officiel de l'UE et au Memorial luxembourgeois pour vous alerter quand un accord invoque est amende ou revoque.
- Inventaire automatique des transferts hors UE via intégration M365, AWS, GCP, Salesforce, Azure Sentinel
- Base referencee des accords internationaux pertinents avec dates de conclusion et modifications
- Generation d'un rapport PDF Article 96 - preuve par transfert opposable a la CNPD
- Alertes Drift Monitor en cas de modification d'un accord invoque
- Bascule automatique vers SCC + TIA quand le fondement article 96 devient invalide
- Registre exportable des transferts avec base juridique consolidee (art. 45, 46, 49 ou 96)
Disponible en SaaS (3 plans : Starter jusqu'a 25 transferts cartographies, Pro jusqu'a 150, Enterprise illimite multi-entites), ou inclus dans un mandat DPO externe Luxgap. Demandez un audit gratuit de vos transferts hors UE sous 48h avec snapshot 90 jours offert.
