Qu'est-ce qu'une décision d'adéquation ?

C'est une décision formelle de la Commission européenne qu'un pays hors UE offre un niveau de protection comparable. Vous pouvez transférer des données vers ce pays comme s'il s'agissait d'un pays de l'UE.

Puis-je envoyer des données aux États-Unis ?

Depuis juillet 2023, le EU-US Data Privacy Framework s'applique pour les entreprises américaines certifiées. Vérifiez sur dataprivacyframework.gov si l'organisation est certifiée.

Et si un pays n'a pas de décision d'adéquation ?

Vous pouvez utiliser des Clauses Contractuelles Types (CCT), approuvées par la Commission européenne. La plupart des grands fournisseurs cloud les proposent déjà.

Pays Tiers Approuvés pour les Transferts de Données | Décisions d'Adéquation RGPD

Liste des Pays Tiers Approuvés pour les Transferts de Données hors de l'UE

verified Dernière révision 7 avril 2026 · l'équipe juridique GDPRWise

Le RGPD restreint les transferts de données personnelles vers des pays hors de l'UE, sauf si une décision d'adéquation s'applique. Voici la liste actuelle et ce que cela signifie pour vous.

summarize Points clés

check_circle Les transferts de données vers les pays avec une décision d'adéquation sont autorisés sans garanties supplémentaires
check_circle La Commission européenne évalue si un pays offre un niveau de protection comparable
check_circle Les États-Unis ont le EU-US Data Privacy Framework depuis 2023, mais sa pérennité est incertaine
check_circle Vers les pays sans décision d'adéquation, vous pouvez transférer des données avec des Clauses Contractuelles Types (CCT)

Tous les pays n’offrent pas la même protection

Le RGPD interdit en principe le transfert de données personnelles vers des pays hors de l’Espace Économique Européen (EEE), sauf si ce pays offre un niveau de protection comparable.

Pays avec une décision d’adéquation complète

Les pays et territoires suivants ont été évalués comme adéquats (avril 2026) :

Andorre, Argentine, Canada (PIPEDA), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, Uruguay, Royaume-Uni, États-Unis (EU-US Data Privacy Framework, uniquement organisations certifiées)

Le EU-US Data Privacy Framework

Il ne s’applique qu’aux organisations américaines activement certifiées. Vérifiez sur dataprivacyframework.gov.

Les décisions d’adéquation précédentes pour les États-Unis (Safe Harbor et Privacy Shield) ont été invalidées par la Cour de justice de l’UE. Le framework actuel pourrait connaître le même sort.

Pays sans décision d’adéquation

Clauses Contractuelles Types (CCT)

L’option la plus courante. La plupart des grands fournisseurs les incluent déjà dans leurs conditions.

Règles d’Entreprise Contraignantes (BCR)

Pour les multinationales. Moins pertinent pour les PME.

Consentement explicite

Dans des cas exceptionnels. Ce n’est pas une solution structurelle.

Que documenter ?

Par fournisseur : pays de traitement, décision d’adéquation applicable, garanties supplémentaires en place.

auto_awesome Documentez vos transferts de données

GDPRWise vous aide à documenter par tiers où les données sont traitées et quelles garanties s'appliquent.

Lancez votre scan gratuit

Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.