Il y a six ans en juillet, la Cour de justice de l'Union européenne a jugé dans Schrems II (affaire C-311/18) que les données personnelles exportées de l'UE vers un pays tiers doivent bénéficier d'une protection « substantiellement équivalente » — et que les organisations qui transfèrent ces données doivent le vérifier elles-mêmes, transfert par transfert. La Transfer Impact Assessment (TIA) était née.
Six ans plus tard, elle reste la partie la plus opérationnellement inconfortable de la conformité RGPD pour les PME. La plupart des flux de données touchent les États-Unis, le Royaume-Uni, l'Inde ou le Brésil. La plupart des organisations ignorent vers quel pays leur SDK de tracking de cookies se connecte. Et le Data Privacy Framework UE-États-Unis — adopté en 2023 pour remplacer le Privacy Shield invalidé — est lui-même contesté juridiquement dans Schrems III, avec une décision de la CJUE attendue fin 2026 ou début 2027.
Ce guide explique ce qu'une Transfer Impact Assessment exige réellement d'une PME en 2026, les six étapes qui rendent un TIA défendable, et comment l'intégrer à la cartographie des données que vous maintenez déjà.
Qu'est-ce qu'une Transfer Impact Assessment ?
Une Transfer Impact Assessment (TIA) est l'analyse documentée exigée par le chapitre V du RGPD chaque fois que des données personnelles sont transférées de l'EEE vers un pays tiers (un pays hors EEE). Elle répond à deux questions :
- Le transfert est-il protégé par un mécanisme de transfert au titre de l'article 46 — clauses contractuelles types, règles d'entreprise contraignantes, code de conduite approuvé, ou système de certification ?
- Le droit du pays récepteur offre-t-il une protection substantiellement équivalente au RGPD — ou avez-vous besoin de mesures supplémentaires (chiffrement, pseudonymisation, ajouts contractuels) pour combler l'écart ?
La première question est contractuelle. La seconde est la difficile. Les recommandations 01/2020 du CEPD posent la méthodologie ; les autorités de contrôle nationales ont construit des lignes directrices spécifiques par pays.
Une TIA n'est pas un exercice ponctuel. L'analyse doit être révisée lorsque le droit du pays récepteur change (une nouvelle loi de surveillance, une décision de justice), lorsque l'arrangement de transfert change (nouveau sous-traitant, nouveau sous-sous-traitant), ou après un incident grave.
L'héritage de Schrems II : pourquoi les TIA existent
En juillet 2020, la CJUE a invalidé le Privacy Shield UE-États-Unis dans Schrems II. La Cour a constaté que les lois de surveillance américaines (FISA Section 702, Executive Order 12333) donnaient aux services de renseignement américains un accès aux données personnelles des résidents de l'UE incompatible avec les normes de protection du RGPD — et que le système juridique américain n'offrait pas de recours effectif aux personnes non américaines.
L'arrêt n'a pas seulement invalidé le Privacy Shield. Il a établi une méthodologie : tout mécanisme de transfert — CCT, BCR, ou autre — ne fonctionne que si le contexte juridique du pays récepteur permet effectivement aux protections du contrat d'être efficaces. Une clause obligeant l'importateur à refuser les demandes d'accès gouvernementales étrangères n'a aucun sens si la loi locale impose la conformité.
Les recommandations 01/2020 du CEPD (version finale novembre 2020) ont traduit l'arrêt dans la méthodologie TIA en six étapes qui est restée largement stable depuis. Les autorités nationales — la CNIL en France, l'AP aux Pays-Bas, le BfDI en Allemagne, l'AEPD en Espagne, l'ICO au Royaume-Uni — ont publié des lignes directrices d'application, mais le cadre du CEPD est le substrat commun.
Quand une PME a-t-elle besoin d'une TIA ?
Trois déclencheurs, tous routiniers pour toute PME utilisant du SaaS courant :
- Tout sous-traitant dans un pays tiers. CRM américains, plateformes d'analyse américaines, prestataires de helpdesk indiens, services BPO philippins. S'ils traitent des données personnelles de l'UE, vous avez besoin d'une TIA par sous-traitant (ou par sous-sous-traitant, lorsque les transferts s'enchaînent).
- Toute relation de sous-sous-traitance qui traverse les frontières. Votre SaaS hébergé dans l'UE utilise un prestataire de support indien capable de lire des tickets contenant des données personnelles de l'UE — c'est un transfert.
- Tout service d'IA qui traite des données hors de l'UE. La plupart des fournisseurs de grands modèles traitent l'inférence dans des centres de données américains. Même quand le contrat dit « hébergé dans l'UE », demandez où l'inférence s'exécute réellement.
Et les décisions d'adéquation ? En avril 2026, quatorze juridictions bénéficient d'une décision d'adéquation : Andorre, Argentine, Canada (organisations commerciales), îles Féroé, Guernesey, île de Man, Israël, Japon, Jersey, Nouvelle-Zélande, République de Corée, Suisse, Royaume-Uni et Uruguay. Un transfert vers l'un de ces pays n'exige pas une TIA complète — la Commission européenne a fait l'analyse pour vous. Vous documentez toujours le transfert dans votre registre, mais aucune mesure supplémentaire n'est nécessaire.
Les États-Unis sont un cas particulier. Le Data Privacy Framework UE-États-Unis (DPF) offre l'adéquation aux organisations américaines qui s'auto-certifient. En avril 2026, ce cadre est toujours en vigueur mais contesté devant la CJUE (Schrems III). De nombreuses PME de l'UE anticipent une invalidation en traitant les transferts vers les États-Unis comme s'il n'y avait pas d'adéquation — TIA complètes et mesures supplémentaires, même quand le destinataire est certifié DPF. C'est conservateur ; c'est aussi défendable.
La méthodologie TIA en six étapes du CEPD
Les recommandations 01/2020 du CEPD posent la structure canonique. Chaque étape est une section de votre document TIA.
Étape 1 : Connaître votre transfert
Documentez qui transfère quoi à qui, où, et pour quelle finalité. Sans cela, le reste est impossible. Pour chaque transfert :
- L'exportateur (vous, ou votre sous-traitant)
- L'importateur (l'organisation réceptrice)
- Les catégories de personnes concernées et de données personnelles
- Le volume et la fréquence
- La finalité
- Les transferts ultérieurs (sous-traitants ultérieurs)
Ce sont précisément les données que votre registre des traitements contient déjà, si votre cartographie des données est à jour. Le guide de cartographie des données RGPD couvre la couche d'inventaire.
Étape 2 : Identifier l'instrument de transfert
Pour chaque transfert, identifiez le mécanisme de l'article 46 : CCT 2021, BCR, code de conduite approuvé, ou système de certification. La plupart des transferts PME utilisent les CCT (les clauses contractuelles types de la Commission européenne, modernisées en juin 2021 en quatre modules : C2C, C2P, P2C, P2P).
Si aucun instrument de l'article 46 ne couvre le transfert, vous ne pouvez pas vous appuyer sur les dérogations de l'article 49, sauf dans des cas étroitement définis — consentement explicite, nécessité à l'exécution d'un contrat, motifs importants d'intérêt public. Les dérogations de l'article 49 sont exceptionnelles, pas un filet de sécurité pour le traitement de routine.
Étape 3 : Évaluer le droit du pays tiers
Le droit du pays importateur permet-il aux protections des CCT d'être efficaces ? C'est l'étape lourde. Vous évaluez :
- Les lois de surveillance (les services de renseignement étrangers ont-ils accès ?)
- Les régimes d'accès gouvernemental (ordres, citations à comparaître, lettres de sécurité nationale)
- Le recours effectif (les personnes concernées de l'UE peuvent-elles contester l'accès ?)
- L'indépendance des autorités de contrôle
Les évaluations spécifiques par pays publiées par les associations professionnelles, les autorités de contrôle et les cabinets d'avocats peuvent être citées. La CNIL maintient une matrice utile de risque par pays ; le CEPD a signalé certains pays — les États-Unis sous FISA 702, la Chine sous la National Intelligence Law, la Russie, l'Inde sous les IT Rules — comme à haut risque.
Étape 4 : Identifier les mesures supplémentaires
Si le droit du pays tiers ne fournit pas une équivalence substantielle, des mesures supplémentaires doivent combler l'écart. Les recommandations du CEPD identifient trois catégories :
- Techniques — chiffrement fort avec des clés détenues dans l'UE, pseudonymisation, calcul multipartite sécurisé. C'est la catégorie la plus défendable.
- Contractuelles — clauses supplémentaires obligeant l'importateur à contester les demandes d'accès, à notifier l'exportateur, à publier des rapports de transparence. Utiles mais limitées ; les contrats ne peuvent pas outrepasser le droit national.
- Organisationnelles — politiques internes pour répondre aux demandes d'accès, formation, gouvernance. Utiles comme preuve de diligence.
La combinaison dépend de la catégorie de données et du risque. Pour les catégories particulières de données personnelles envoyées à un sous-traitant américain, le chiffrement de bout en bout avec des clés détenues dans l'UE est essentiellement le seuil. Pour les données opérationnelles à faible risque, des mesures contractuelles peuvent suffire.
Étape 5 : Documenter l'évaluation
La TIA est elle-même un document. Elle capture l'analyse des étapes 1–4, la conclusion (acceptable / nécessite des mesures supplémentaires / non autorisé), les mesures supplémentaires adoptées, la personne responsable et la date de prochaine révision. Sans documentation, vous ne pouvez pas démontrer la conformité à une autorité de contrôle.
Un outil TIA sérieux stocke l'évaluation comme données structurées — pas un fichier Word dans un dossier SharePoint — afin que vous puissiez répondre à des questions comme « montre-moi toutes les TIA pour les transferts vers les États-Unis qui se concluent par une approbation conditionnelle ». C'est aussi là que l'intégration avec votre flux AIPD paie : le même traitement peut faire l'objet à la fois d'une AIPD au titre de l'article 35 et d'une TIA au titre du chapitre V, et la documentation ne doit pas être en double.
Étape 6 : Réévaluer
Trois déclencheurs forcent une réévaluation :
- Un changement substantiel dans le droit du pays importateur (une nouvelle loi de surveillance, un arrêt comme Schrems II ou son éventuel successeur)
- Un changement substantiel dans le transfert (nouveau sous-traitant, nouveau sous-sous-traitant, nouvelle catégorie de données)
- Un incident grave (une violation de données chez l'importateur, une demande d'accès gouvernemental reçue)
Au-delà des déclencheurs, une révision annuelle planifiée capture la dérive. Chaque TIA doit enregistrer sa prochaine date de révision.
Le paysage des transferts en 2026
Un instantané de ce qu'une PME affronte aujourd'hui, pays par pays.
États-Unis. Data Privacy Framework UE-États-Unis en vigueur ; Schrems III pendant à la CJUE avec une décision attendue fin 2026 ou début 2027. Les importateurs américains certifiés DPF peuvent être traités comme adéquats selon le droit en vigueur, mais la pratique conservatrice applique des mesures supplémentaires de toute façon. Le chiffrement de bout en bout avec des clés détenues dans l'UE reste la mesure technique la plus forte.
Royaume-Uni. Décision d'adéquation en vigueur, à renouveler en 2026. Le Royaume-Uni a divergé du RGPD dans certains domaines (règles cookies assouplies, régulation IA plus souple) mais conserve des règles de transfert équivalentes au RGPD. L'ICO britannique est largement aligné avec le CEPD.
Inde. Pas de décision d'adéquation. Le Digital Personal Data Protection Act 2023 a relevé certaines protections de base, mais les pouvoirs de surveillance sous les IT Rules restent une préoccupation. Traitez comme à haut risque ; mesures supplémentaires requises.
Chine. Pas de décision d'adéquation. La Personal Information Protection Law (PIPL) exige le consentement explicite pour les transferts transfrontaliers et des évaluations de sécurité gouvernementales pour les transferts importants. Combiné avec la National Intelligence Law, les transferts vers la Chine exigent de fortes mesures supplémentaires ou des dérogations.
Brésil. Pas encore de décision d'adéquation, mais la LGPD offre une protection similaire au RGPD. La Commission européenne a signalé le Brésil pour une évaluation d'adéquation possible en 2026. Traitez comme risque modéré ; CCT standard plus surveillance est généralement défendable.
Intégrer les TIA dans votre cartographie des données
Un outil TIA déconnecté de votre inventaire de transferts fait le travail en double. Chaque transfert dans votre cartographie devrait déjà avoir :
- Le pays de destination
- Le mécanisme de transfert
- La base juridique
- La catégorie de données
- Le volume et la fréquence
Quand ces données sont structurées, générer une TIA devient une question de confirmer les heuristiques et d'ajouter l'analyse spécifique au pays. Readmodel® traite chaque transfert dans votre cartographie comme candidat pour une TIA : quand le pays de destination est hors de la liste d'adéquation, le système signale le transfert dans le registre des risques et propose un flux TIA qui pré-remplit les étapes 1, 2 et 6 à partir de l'inventaire.
Pour le flux AIPD plus large qui s'exécute souvent en parallèle d'une TIA, voir le guide des outils d'automatisation DPIA.
Transfer Impact Assessment : questions fréquentes
Une Transfer Impact Assessment est-elle légalement obligatoire selon le RGPD ? Le texte du RGPD n'utilise pas l'expression « Transfer Impact Assessment ». L'exigence vient de Schrems II (CJUE C-311/18) et des recommandations 01/2020 du CEPD, qui interprètent les articles 44–49 du RGPD. Les autorités de contrôle attendent désormais une TIA documentée pour tout transfert vers un pays tiers sans adéquation. En pratique, la réponse est oui — par la jurisprudence et les lignes directrices du CEPD.
Ai-je besoin d'une TIA pour les transferts vers les États-Unis dans le cadre du Data Privacy Framework UE-États-Unis ? Lecture stricte : non — la certification DPF fournit l'adéquation. Lecture pratique : oui, légèrement. Le contentieux Schrems III signifie que le statut DPF pourrait changer. Documenter une TIA qui conclut « adéquat sous DPF, surveillance des changements juridiques » vous donne à la fois la conformité aujourd'hui et une protection prospective si le cadre tombe.
Quelle est la différence entre une TIA et une AIPD ? Une AIPD (article 35) évalue le traitement à haut risque pour son impact sur les personnes concernées. Une TIA (chapitre V via Schrems II) évalue si un transfert vers un pays tiers maintient une protection équivalente au RGPD. Le même traitement peut nécessiter les deux : un traitement à haut risque qui implique un transfert vers un pays tiers exige à la fois une AIPD ET une TIA. Les outils de conformité modernes stockent les deux comme enregistrements liés.
Les petites entreprises ont-elles besoin d'une TIA ? Si vous utilisez du SaaS hors-UE qui traite des données personnelles — et presque toute PME le fait — oui. Il n'y a pas d'exception comparable à l'article 30(5) basée sur les effectifs pour les transferts. La profondeur de l'analyse peut être proportionnée, mais la documentation doit exister.
Quelle est la différence entre les CCT et les BCR ? Les CCT sont les contrats standardisés pré-approuvés de la Commission européenne que toute paire d'organisations peut adopter. Elles ont été modernisées en juin 2021 avec quatre modules. Les BCR (Binding Corporate Rules) sont des règles intra-groupes pour de grands groupes multinationaux qui ont été approuvées par une autorité de contrôle. Les BCR sont coûteuses à obtenir mais plus faciles à exploiter à grande échelle ; les CCT sont accessibles mais nécessitent un travail par relation. La plupart des PME utilisent les CCT.
Puis-je m'appuyer sur les dérogations de l'article 49 ? Pour le traitement de routine, non. Les dérogations sont conçues pour des cas étroits et exceptionnels : consentement explicite pour un transfert spécifique, nécessité à l'exécution d'un contrat avec la personne concernée, motifs importants d'intérêt public. Le CEPD a été emphatique : l'article 49 n'est pas un contournement pour les mécanismes manquants de l'article 46.
À quelle fréquence dois-je mettre à jour mes TIA ? Trois déclencheurs forcent une mise à jour : un changement dans le droit du pays importateur, un changement dans l'arrangement de transfert, un incident grave. Une révision annuelle planifiée capture la dérive. La plupart des autorités de contrôle attendent que les TIA n'aient pas plus de 12 mois au moment de l'inspection.
Que se passe-t-il si Schrems III invalide le Data Privacy Framework UE-États-Unis ? Si la CJUE invalide le DPF, les importateurs américains certifiés DPF perdent leur statut d'adéquation. Les PME qui ont préventivement appliqué des mesures supplémentaires seront largement épargnées. Les PME qui s'appuient uniquement sur le DPF devront rapidement adopter des CCT plus des mesures supplémentaires ou rapatrier le traitement vers l'EEE. La leçon de 2020 (invalidation du Privacy Shield) : la pratique conservatrice maintenant vous épargne une course aux solutions plus tard.
Commencez à documenter vos transferts
Une TIA n'est pas un formulaire ponctuel — c'est une documentation qui doit suivre les réalités de l'endroit où vont vos données, qui y a accès et sous quel régime juridique. L'inventaire des données est le fondement ; la TIA est construite par-dessus.
Créez un compte Readmodel® gratuit, documentez vos services et transferts, et le système signalera chaque transfert transfrontalier nécessitant une TIA. Modèles pour la méthodologie en six étapes du CEPD, indices de risque par pays et intégration avec le flux AIPD sont disponibles sur tous les plans, y compris le plan gratuit Explore.