AI PlaybookEU

Art. 44–49 RGPD – Transferts vers des pays tiers pour les services d'IA

Quand un transfert vers un pays tiers au sens des art. 44–49 RGPD s'applique-t-il ? Décisions d'adéquation, clauses contractuelles types (CCT), évaluation d'impact du transfert (TIA) et orientation pratique pour l'utilisation du cloud et des LLM.

11 février 20266 min de lecture
RGPDTransfert pays tiersCCTTIAEU-US Data Privacy FrameworkCloud IA

Vue d'ensemble

De nombreux systèmes d'IA reposent sur une infrastructure cloud ou des services API externes. Dès que des données à caractère personnel sont transmises à des prestataires situés en dehors de l'Union européenne ou de l'Espace économique européen, un transfert vers un pays tiers a lieu.

Les art. 44 à 49 RGPD régissent les conditions de ces transferts. En particulier lors de l'utilisation de fournisseurs d'IA américains, de services cloud ou d'API de LLM, la question se pose régulièrement : est-ce admissible au regard du droit de la protection des données ?

Cet article explique :

  • Quand un transfert vers un pays tiers a lieu
  • Quels mécanismes juridiques sont admissibles
  • Le rôle du EU-US Data Privacy Framework
  • Les clauses contractuelles types (CCT)
  • L'évaluation d'impact du transfert (TIA)
  • Les questions spécifiques à l'IA

Quand un transfert vers un pays tiers a-t-il lieu ?

Un transfert vers un pays tiers a lieu lorsque :

  • des données à caractère personnel
  • sont transmises ou rendues accessibles à un destinataire en dehors de l'UE/EEE

Cela peut se produire par :

  • Le stockage cloud
  • Les appels API
  • L'accès à distance
  • Les services de support

Idée reçue

Un transfert vers un pays tiers a également lieu lorsque les données sont stockées dans l'UE mais qu'un accès depuis un pays tiers est possible.

Scénarios IA typiques

ScénarioTransfert vers un pays tiers ?
Utilisation d'un LLM américain via APIOui
Fournisseur cloud UE avec société mère américaineÉvaluation au cas par cas
Modèle on-premise sans accès externeNon
Fournisseur UE avec sous-traitant dans un pays tiersOui

Mécanismes juridiques pour les transferts vers des pays tiers

Le RGPD n'autorise les transferts vers des pays tiers que si un niveau de protection adéquat est garanti.

Décision d'adéquation (art. 45)

La Commission européenne peut constater qu'un pays tiers offre un niveau de protection des données adéquat.

Exemple :

  • EU-US Data Privacy Framework (DPF)

Condition préalable :

  • Le fournisseur spécifique est certifié.

Vérifier le DPF

Chaque fournisseur américain n'est pas automatiquement certifié DPF. Une évaluation individuelle est nécessaire.

Clauses contractuelles types (CCT) -- art. 46

Les CCT sont des modèles de contrats approuvés par la Commission européenne.

Elles régissent :

  • Les obligations de protection des données
  • Les droits des personnes concernées
  • La responsabilité
  • Les mesures de sécurité

Les CCT sont le mécanisme le plus courant pour les services cloud d'IA.

Évaluation d'impact du transfert (TIA)

À la suite de l'arrêt Schrems II, il convient en outre d'évaluer :

  • Si des possibilités d'accès gouvernemental existent dans le pays tiers
  • Si celles-ci sont compatibles avec les droits fondamentaux de l'UE
  • Si des mesures de protection supplémentaires sont nécessaires

Le TIA documente cette évaluation.

Schrems II -- Importance pour l'IA

La CJUE a clarifié :

  • Les CCT seules ne suffisent pas toujours
  • Une évaluation des risques est nécessaire

Pertinence pour l'IA :

  • Grands fournisseurs cloud américains
  • Traitement des données d'entraînement
  • Utilisation de LLM via API

Mesures de protection supplémentaires

Les mesures techniques peuvent inclure :

  • Chiffrement de bout en bout
  • Pseudonymisation avant transmission
  • Minimisation des données
  • Restrictions d'accès

Mesures organisationnelles :

  • Contrôle contractuel
  • Transparence des sous-traitants
  • Droits d'audit

Appel API vers un LLM américain -- est-ce un transfert ?

Oui, si :

  • des données à caractère personnel sont contenues dans le prompt
  • le modèle les traite
  • un stockage ou une journalisation a lieu

Il convient donc d'évaluer :

  • Les politiques de journalisation
  • Les durées de conservation
  • L'utilisation pour l'entraînement
  • Les chaînes de sous-traitants

Contenu des prompts

Les données à caractère personnel dans les prompts peuvent déclencher un transfert vers un pays tiers.

Cas exceptionnels (art. 49)

Dans des cas exceptionnels, les transferts sont admissibles :

  • Consentement explicite
  • Exécution d'un contrat
  • Constatation de droits en justice

Ces exceptions doivent être interprétées de manière restrictive et ne sont pas conçues comme des solutions permanentes.

Lien avec la Loi sur l'IA de l'UE

La Loi sur l'IA exige en outre :

  • La transparence sur les sources de données
  • La gestion des risques
  • La documentation

Les transferts vers des pays tiers peuvent faire partie des obligations de gouvernance des données.

Mise en oeuvre pratique

Étape 1 -- Inventaire des transferts

  • Quels services d'IA sont utilisés ?
  • Où se trouvent les serveurs ?
  • Qui a accès ?

Étape 2 -- Vérification du mécanisme juridique

  • Une certification DPF est-elle disponible ?
  • Les CCT sont-elles conclues ?
  • Un TIA a-t-il été réalisé ?

Étape 3 -- Mesures de protection techniques

  • Le chiffrement est-il mis en place ?
  • La pseudonymisation est-elle appliquée avant l'appel API ?

Étape 4 -- Documentation

  • Mettre à jour le registre des activités de traitement
  • Documenter les transferts vers des pays tiers
  • Archiver les documents contractuels

Erreurs courantes

ErreurRisque
Pas de vérification des sous-traitantsViolation des art. 28 et 44
Se fier aux CCT sans TIARisque Schrems II
Prompts API non vérifiésTransfert de données incontrôlé
Documentation manquanteViolation de la responsabilité

Recommandation de gouvernance

Les transferts vers des pays tiers devraient :

  • être audités régulièrement
  • faire partie de la revue d'architecture IA
  • être coordonnés avec les équipes sécurité et conformité

En particulier avec l'IA générative, la transparence sur les flux de données est déterminante.

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Prochaines étapes

  1. Identifiez tous les transferts vers des pays tiers liés à l'IA.
  2. Vérifiez les certifications DPF ou les CCT.
  3. Réalisez une évaluation d'impact du transfert.
  4. Mettez en place des mesures de protection techniques.
  5. Mettez à jour vos avis de confidentialité en conséquence.

Besoin d'aide pour la mise en œuvre ?

Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.

Parler à un architecte IADiscuter de la stratégie IA

Besoin de clarté juridique ?

Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.

Demander un conseil juridiqueClarifier les questions Loi sur l'IA et RGPD

Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.

Articles connexes

RGPD et IA

Art. 6 RGPD – Licéité du traitement

Les six bases juridiques de l'art. 6 RGPD en détail – avec un focus particulier sur les systèmes d'IA, le consentement, l'intérêt légitime et le changement de finalité pour l'entraînement de modèles.

Lire la suite

RGPD et IA

Art. 35 RGPD – Analyse d'impact relative à la protection des données (AIPD) pour les systèmes d'IA

Quand une analyse d'impact relative à la protection des données est-elle requise en vertu de l'art. 35 RGPD pour les systèmes d'IA ? Structure, processus, risques spécifiques à l'IA et lien avec la Loi sur l'IA de l'UE.

Lire la suite

Loi sur l'IA de l'UE

Modèles GPAI selon les art. 51–56 de la Loi sur l'IA de l'UE

Que sont les modèles d'IA à usage général (GPAI) selon la Loi sur l'IA ? Aperçu de la définition, des obligations des fournisseurs, du risque systémique, du seuil FLOPs et des implications pratiques pour les entreprises utilisant des LLM.

Lire la suite