Téléchargez la pièce jointe originale
(PDF file)

Ceci est une version HTML d'une pièce jointe à la demande d'accès à l'information 'Demande de communication de la communication sur les enjeux posés par l’informatique en nuage (« cloud computing »):'.



 

Table des matières 

1. Rappel des principes généraux en matière de transferts de données hors de l’Union 

européenne ................................................................................................................................ 2 

2. Les décisions d’adéquation ................................................................................................... 6 

A. 
Focus sur l’adéquation des États-Unis........................................................................ 6 

a) 
Rappel du contexte .................................................................................................. 6 

b) 
Éléments clés du nouveau cadre ............................................................................... 7 

c) 
Conséquences pour les organismes souhaitant transférer des données vers les 

États-Unis .......................................................................................................................... 8 
10 
B. 
Application de l’article 48 du RGPD à des fournisseurs soumis à des lois extra-
11 
européennes autorisant les demandes d’accès par des autorités publiques de pays tiers ... 9 
12 
3. Les garanties appropriées .................................................................................................... 13 
13 
A. 
Présentation des garanties ......................................................................................... 13 
14 
B. 
Analyse d’impact sur les transferts ............................................................................ 15 
15 
4. Les dérogations .................................................................................................................... 16 
16 
5. Possibilités liées à l’article 9.4 du RGPD ............................................................................. 17 
17 
 
18 
      
 
  


 
19 
1. Rappel des principes généraux en matière de transferts de données hors 
20 
de l’Union européenne 
21 
 
22 
Le chapitre V du RGPD (articles 44 à 49) fixe les règles en matière de transfert de données 
23 
hors de l’Union européenne, de sorte que le niveau de protection des personnes physiques 
24 
garanti par le RGPD ne soit pas compromis lorsque des données à caractère personnel sont 
25 
transférées vers un pays tiers ou une organisation internationale. Les responsables de 
26 
traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne 
27 
et de l’espace économique européen à condition d’assurer un niveau de protection des 
28 
données suffisant et approprié  c’est-à-dire en transférant vers un pays considéré comme 
29 
assurant un niveau de protection adéquat (section 2.) ou si des garanties appropriées sont 
30 
mises en place (section 3.).  À  défaut, il existe également des  dérogations permettant 
31 
d’effectuer des transferts dans certains cas particuliers (section 4.). 
32 
 
33 
L’article 4 du RGPD ne contient pas de définition de la notion de transfert. Le CEPD a 
34 
adopté le 14 février 2023 des lignes directrices sur l’articulation entre le champ d’application 
35 
territorial du RGPD (article 3)  et les dispositions relatives aux transferts énoncées au 
36 
chapitre V1. Ces lignes directrices visent à aider les organismes à déterminer si une opération 
37 
de traitement constitue un transfert et à fournir une interprétation commune de cette notion. 
38 
Les trois  critères cumulatifs pour considérer qu’un traitement constitue un 
39 
transfert sont :   
40 
1.  le responsable de traitement ou le sous-traitant exportateur de données est soumis au 
41 
RGPD pour le traitement donné ; 
42 
2.  l’exportateur transmet ou met les données à caractère personnel à la disposition de 
43 
l’importateur de données (une autre responsable du traitement, responsable conjoint 
44 
ou sous-traitant) et  
45 
3.  l’importateur est dans un pays tiers ou est une organisation internationale, qu’il soit 
46 
soumis ou non au RGPD.  
47 
 
48 
À titre d’exemple, la transmission de données par un organisme responsable de traitement 
49 
soumis au RGPD vers un sous-traitant fournisseur de services de cloud  à des fins 
50 
d’hébergement sur des serveurs dans un pays tiers constitue un transfert de données hors 
51 
Union européenne. Si l’hébergement est réalisé sur des serveurs situés en Europe, il peut tout 
52 
de même y avoir des transferts vers des serveurs hors UE gérés par des entités situées dans 
53 
des pays tiers à des fins de réplication ou de sauvegarde ou vers des équipes localisées dans 
54 
des pays tiers à des fins de support ou de maintenance.  
55 
 
56 
En revanche, le recours par un responsable de traitement soumis au RGPD à un fournisseur 
57 
de services de cloud soumis à une législation d’un pays tiers qui héberge les données sur le 
58 
territoire de l’Union européenne ne constitue pas en tant que tel un transfert et le chapitre V 
59 
du RGPD n’est pas applicable. Toutefois, si le fournisseur communique des données à 
60 
caractère personnel en réponse à une demande d’accès des autorités du pays tiers en vertu de 
61 
la législation à laquelle il est soumis, une telle divulgation constitue un transfert en vertu du 
62 
chapitre V du RGPD.  
63 
 
                                                   
1 https://edpb.europa.eu/system/files/2023-02/edpb guidelines 05-
2021 interplay between the application of art3-chapter v of the gdpr v2 en 0.pdf  
 2 
 




 
64 
Un autre cas ne constituant pas un transfert est celui d’un salarié qui,  à l’occasion d’un 
65 
déplacement professionnel temporaire hors de l’Union européenne, accède à distance à ses 
66 
documents professionnels stockés dans le cloud. Le CEPD a considéré qu’il ne s’agissait pas 
67 
ici d’un transfert dans la mesure où le salarié n’est pas une entité distincte de son employeur 
68 
responsable de traitement.  
69 
 
70 
Les schémas ci-dessous présentent différentes situations permettant d’illustrer des situations 
71 
de transfert ou d’absence de transfert. 
72 
 
73 
 
74 
 
75 
 
 3 
 





 
76 
 
77 
 
78 
 
79 
 
80 
 
81 
 
 4 
 



 
82 
 
83 
 
 
 5 
 


 
84 
2. Les décisions d’adéquation 
85 
 
86 
Une décision d’adéquation est une décision adoptée par la Commission européenne fondée 
87 
sur  l’article 45 du RGPD, qui établit qu’un pays tiers ou une organisation internationale 
88 
assure un niveau de protection adéquat des données à caractère personnel. 
89 
 
90 
Le  RGPD  prévoit une liste non exhaustive d’éléments qui, cumulés, permettent à la 
91 
Commission d’évaluer le caractère adéquat du niveau de protection des données du pays tiers. 
92 
Ces éléments incluent notamment la législation interne du pays, l’existence d’une ou  de 
93 
plusieurs autorités de contrôle indépendantes en matière de protection des données et les 
94 
engagements internationaux pris par le pays. 
95 
 
96 
Une  décision d’adéquation a pour effet de permettre le transfert, sans exigence 
97 
supplémentaire, de données à caractère personnel par des organismes soumis au RGPD vers 
98 
le pays tiers concerné. À ce jour, 15 pays bénéficient d’une décision d’adéquation2 : 
99 
Andorre, Argentine, Canada (volet commercial)3, Îles Féroé, Guernesey, Israël, Île de Man, 
100 
Jersey, Nouvelle-Zélande, Suisse et Uruguay et, depuis l’entrée en application du RGPD, 
101 
Japon, République de Corée, Royaume-Uni et États-Unis (organismes auto-certifiés). 
102 
 
103 
La Commission est actuellement en phase de revue des 11 décisions d’adéquation 
104 
adoptées avant l’entrée en application du RGPD. Cette revue prendra la forme d’un 
105 
rapport adressé au Parlement et au Conseil qui contiendra une synthèse des modifications 
106 
internes (réformes législatives, jurisprudence) depuis l’adoption de la décision d’adéquation. 
107 
Pour la première fois, les règles en matière d’accès aux données par les gouvernements seront 
108 
évaluées. Pour chaque pays, le rapport présentera et évaluera les modifications puis conclura 
109 
sur l’adéquation. Si la conclusion est positive, l’adéquation restera en place. Si elle est 
110 
négative, une procédure sera alors initiée pour modifier ou retirer la décision. Pour certains 
111 
pays (par exemple Israël), la Commission a indiqué que des préoccupations ont été identifiées 
112 
mais des solutions portant sur des garanties additionnelles ont été négociées.  
113 
A. Focus sur l’adéquation des États-Unis  
114 
a)  Rappel du contexte  
115 
 
116 
Le 16 juillet 2020, la CJUE dans son arrêt « Schrems II » a invalidé la précédente décision 
117 
d’adéquation de la Commission européenne à l’égard des États-Unis (le « Privacy Shield »). 
118 
 
119 
La CJUE a analysé la législation étasunienne alors en vigueur en matière d’accès aux données 
120 
des fournisseurs de services web et entreprises de télécommunications par les services de 
121 
renseignement étasuniens (Section 702 FISA et Executive Order n°12333). Elle en a conclu 
122 
que les atteintes portées à la vie privée des personnes dont les données étaient traitées par les 
123 
entreprises et opérateurs étasuniens soumis à cette législation étaient disproportionnées au 
                                                   
2 https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-
protection/adequacy-decisions en#adequacy-decisions-latest  
3  Décision d’adéquation applicable uniquement aux traitements couverts par la loi PIPEDA (« Personal 
Information Protection and Electronic Documents ») régissant le traitement des informations personnelles par 
les organisations sur secteur privé à des fins commerciales.  
 6 
 


 
124 
regard des exigences de la Charte des Droits Fondamentaux européenne. En particulier, la 
125 
Cour a jugé que la collecte des données par les services de renseignement n’est pas 
126 
proportionnée et que les voies de recours, y compris juridictionnelles, dont disposent les 
127 
personnes à l’égard du traitement de leurs données étaient insuffisantes. La CJUE a dès lors 
128 
invalidé cette décision d’adéquation de la Commission européenne. 
129 
 
130 
En réaction à cette invalidation, le président des États-Unis, Joe Biden, a  adopté 
131 
le 7 octobre 2022, un décret présidentiel (Executive Order  n°14086) pour renforcer les 
132 
garanties concernant la collecte et l’utilisation des données à caractère personnel par les 
133 
services de renseignement étasuniens. 
134 
 
135 
Sur cette base, le Département du Commerce étasunien a adopté un nouveau cadre 
136 
transatlantique pour la protection des données à caractère personnel  (le  « EU-U.S. Data 
137 
Privacy Framework »). 
138 
 
139 
Ce nouveau cadre transatlantique a été soumis à la Commission européenne afin qu’elle 
140 
évalue s’il permet d’assurer un niveau de protection adéquat des données des Européens. 
141 
Avant d’adopter définitivement sa décision reconnaissant le caractère adéquat de ce nouveau 
142 
dispositif, la Commission a soumis le 13 décembre 2022 un projet de décision pour avis au 
143 
CEPD. 
144 
 
145 
Le 28 février 2023, le CEPD a adopté et publié son avis sur ce projet d’adéquation. Le CEPD 
146 
y relève les améliorations apportées par le gouvernement des États-Unis, tout en faisant part 
147 
de ses préoccupations sur un certain nombre de points dont il dresse la liste. 
148 
b)  Éléments clés du nouveau cadre  
149 
 
150 
Le cadre de protection des données UE-États-Unis est composé d’un nouvel ensemble de 
151 
règles et de garanties contraignantes pour limiter l’accès aux données à caractère personnel 
152 
par les autorités de renseignement étasuniennes à ce qui est nécessaire et proportionné pour 
153 
protéger la sécurité nationale. 
154 
 
155 
Le système d’auto-certification des entités important des données 
156 
 
157 
Comme  dans le précédant cadre de protection des données UE-États-Unis (le « Privacy 
158 
Shield »), un système d’auto-certification des entités étasuniennes est mis en place. 
159 
Une fois inscrites sur la liste des organismes certifiés, ces dernières s’engagent annuellement 
160 
et publiquement à adhérer à ce cadre légal et à en respecter l’ensemble des principes. Des 
161 
garanties similaires à celles de l’UE sont prévues, telle que la limitation de la finalité, c’est-à-
162 
dire l’obligation de supprimer les données qui ne seraient plus nécessaires à la finalité de 
163 
collecte. En cas de partage des données européennes à un tiers, la continuité de leur 
164 
protection devra également être assurée. 
165 
 
166 
Seuls les transferts vers les entités étasuniennes certifiées ne nécessitent pas 
167 
l’utilisation d’outils d’encadrement des transferts prévus par l’article 46 du 
168 
RGPD. Pour les transferts de données vers d’autres entités que celles certifiées, des garanties 
169 
appropriées doivent être fournies et ces transferts ne sont possibles qu’à condition de garantir 
170 
des droits opposables aux personnes concernées ainsi que des voies de recours effectives. 
 7 
 


 
171 
 
172 
Le décret présidentiel n°14086 
173 
 
174 
Un des éléments clés de ce cadre est le décret présidentiel étasunien n°14086 qui a pour 
175 
objet de renforcer la protection des données à caractère personnel traitées par les services de 
176 
renseignement étasuniens, en : 
177 
•  consacrant les principes de nécessité et de proportionnalité dans le cadre de l’accès des 
178 
autorités étasuniennes aux données ; et 
179 
•  introduisant un nouveau mécanisme de recours indépendant et impartial auprès d’une 
180 
Cour de contrôle de la protection des données. 
181 
c)  Conséquences pour les organismes souhaitant transférer des données vers les 
182 
États-Unis 
183 
 
184 
La Commission européenne ayant constaté  que les États-Unis assurent un niveau de 
185 
protection substantiellement équivalent à celui de l’UE, les organismes soumis au RGPD 
186 
(qu’ils soient responsables de traitement ou sous-traitants) peuvent désormais transférer des 
187 
données à caractère personnel vers les organismes certifiés qui se sont engagés, annuellement 
188 
et publiquement, à adhérer à ce cadre légal. Ils n’ont pas l’obligation de mettre en place un 
189 
outil de transfert au titre de l'article 46 du RPGD ou de se prévaloir d'une dérogation au titre 
190 
de l'article 49 du RGPD. 
191 
 
192 
Avant de procéder au transfert, les organismes doivent s’assurer que l’organisme destinataire 
193 
figure sur une liste mise à disposition sur le site du Département du Commerce des États-
194 
Unis4.  
195 
 
196 
Les organismes certifiés sur la base du Privacy Shield et qui avaient maintenu cette 
197 
certification même après l’invalidation de la décision d’adéquation ont été automatiquement 
198 
inscrits sur la nouvelle liste. Ils ont trois mois pour mettre à jour leur Politique de 
199 
Confidentialité (jusqu’au 10 octobre 2023)5. Néanmoins, les transferts vers ces organismes 
200 
peuvent bénéficier immédiatement de la décision d’adéquation, dans la mesure où les 
201 
principes de protection des données à caractère personnel  sont restés les mêmes que 
202 
précédemment, combinés au cadre de protection renforcé offert par le décret présidentiel. 
203 
 
204 
Les responsables du traitement et les sous-traitants  réalisant des transferts vers des 
205 
organismes auto-certifiés au titre de la décision d’adéquation doivent  par ailleurs  se 
206 
conformer à d'autres obligations découlant du RGPD, notamment en ce qui concerne la 
207 
nécessité de mettre à jour leurs registres de traitement et l’information des personnes 
208 
concernées des transferts vers les États-Unis. 
209 
 
210 
Les transferts vers des entités étasuniennes ne figurant pas sur la liste du Département du 
211 
Commerce ne peuvent pas être fondés sur la décision d'adéquation et nécessitent des 
212 
garanties appropriées prévues par l’article 46 du RGPD.  Il est cependant  important de 
213 
souligner  que  les  garanties mises en place par le gouvernement étasunien via le décret 
214 
présidentiel dans le domaine de la sécurité nationale (y compris le mécanisme de recours) 
215 
s'appliquent à tous les transferts de données effectués par des entités publiques ou privées 
                                                   
4 https://www.dataprivacyframework.gov/s/participant-search  
5 Annex I, Section III (Supplemental Principles), 6.e de la décision d’adéquation de la Commission européenne.   8 
 


 
216 
soumises au RGPD vers des entreprises situées aux États-Unis. Elles sont donc applicables 
217 
quel que soit l’outil de transfert utilisé (clauses contractuelles types ou règles d’entreprise 
218 
contraignantes, notamment). 
219 
B.  Application de l’article 48 du RGPD à des fournisseurs soumis à des lois 
220 
extra-européennes autorisant les demandes d’accès par des autorités 
221 
publiques de pays tiers 
222 
 
223 
Des lignes directrices sur l’article 48 sont actuellement en cours d’élaboration par le CEPD 
 
 
225 
 dont l’objectif est de clarifier son champ d’application dans le cadre de demandes 
226 
d’accès adressées à des destinataires dans l’UE à des fins répressives et de sécurité nationale. 
 
 
228 
 
229 
 
230 
Même en l’absence de transfert de données à caractère personnel  hors  UE, une société 
231 
soumise à la législation d’un pays tiers peut faire l’objet d’injonctions des autorités publiques 
232 
de ce pays l’obligeant à leur transférer des données stockées et traitées sur le territoire de 
233 
l’Union européenne.  
234 
 
235 
Cette situation a été spécifiquement couverte par l'article 48 du RGPD qui prévoit que  : 
236 
« Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant 
237 
d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des 
238 
données à caractère personnel ne peut être reconnue ou rendue exécutoire de 
239 
quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord 
240 
international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers 
241 
demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en 
242 
vertu du présent chapitre ». Une demande d'un juge ou d'une autorité administrative d’un 
243 
pays tiers ne peut donc être exécutoire que s'il existe un cadre juridique spécifique en place 
244 
convenu entre les deux pays (comme un traité d’entraide judiciaire). 
245 
 
246 
De telle demandes de transmission d’information peuvent ainsi être fondées sur :  
247 
-  des traités d’entraide judiciaire, une juridiction étrangère demandant communication 
248 
d’information ou de document et pouvant être revêtue d’un exequatur en Europe ;  
249 
-  des traités de coopération pénale ; on peut également signaler le deuxième protocole 
250 
additionnel à la convention du Conseil de l’Europe sur la cybercriminalité (Convention 
251 
de Budapest7) mais qui n’est pas encore applicable car en cours de ratification ;  
252 
-  des traités de coopération fiscale qui prévoient la communication de renseignements 
253 
d’une administration fiscale à une autre : si la décision est « reconnue » par 
                                                   

  
7 Ce protocole a pour objectif d’améliorer l'accès transfrontière aux preuves électroniques à utiliser dans le cadre 
des procédures pénales. Il contribuera à la lutte contre la cybercriminalité et d'autres formes de criminalité au 
niveau mondial en facilitant la coopération entre les États membres et les pays tiers, tout en assurant un niveau 
élevé de protection des personnes et en veillant au respect des normes de l'UE en matière de protection des 
données. Le protocole prévoit des procédures visant à améliorer la coopération internationale entre autorités 
ainsi qu'à renforcer la coopération directe avec les fournisseurs de services et les entités situés dans d'autres 
pays. Il définit également des procédures relatives à la demande d'entraide judiciaire urgente. 
 9 
 





 
389 
3. Les garanties appropriées 
390 
A. Présentation des garanties 
391 
L’article 46 prévoit différents outils pour encadrer les transferts de données vers des entités 
392 
situées dans des pays non adéquats. 
393 
 
394 
•  Clauses contractuelles types (CCT) de la Commission européenne  
395 
Les clauses contractuelles types sont des modèles de clauses  encadrant le  transfert de 
396 
données à caractère personnel et adoptés par la Commission européenne. Leur conclusion ne 
397 
nécessite pas d’autorisation d’une autorité de contrôle. 
398 
 
399 
Les modèles de clauses contractuelles ont été mis à jour par la Commission européenne le 
400 
4 juin 2021. Elles combinent des clauses générales avec une approche « par modules » pour 
401 
répondre à divers scénarios de transfert.  
402 
-  module 1 : transfert de responsable de traitement à responsable de traitement ; 
403 
-  module 2 : transfert de responsable de traitement à sous-traitant ; 
404 
-  module 3 : transfert de sous-traitant à sous-traitant ; 
405 
-  module 4 : transfert de sous-traitant à responsable de traitement 
406 
 
407 
Les clauses contractuelles types intègrent la jurisprudence « Schrems II »  de la CJUE en 
408 
imposant à l’exportateur de tenir compte de la législation applicable à l’importateur pour 
409 
déterminer si les clauses contractuelles types pourront produire tous leurs effets. 
410 
 
411 
Il convient de noter qu’elles ne peuvent pas être utilisées si l’importateur dans le pays tiers 
412 
est soumis au RGPD en vertu de l’article 3.2 du RGPD. La Commission a annoncé travailler à 
413 
l’élaboration de clauses « allégées » pour couvrir cette situation afin de tenir compte  des 
414 
exigences qui s'appliquent déjà directement à ces organismes soumis au RGPD. 
415 
 
416 
•  Règles internes d’entreprises (BCR)  
417 
Il existe des BCR « responsable du traitement » et « sous-traitant ». Le nouveau référentiel 
418 
BCR « responsable du traitement » mis à jour a été approuvé par le CEPD le 20 juin 2023. 
419 
Les travaux de mise à jour du référentiel BCR « sous-traitant » ont démarré au sein du CEPD. 
420 
Pour  plus d’informations, il est renvoyé au  le point d’actualité relatif aux dossiers BCR 
421 
présenté en séance plénière le 12 janvier 2023 
422 
 
423 
•  Clauses contractuelles types adoptées par une autorité de contrôle et 
424 
approuvées par la Commission européenne (pas de clauses adoptées à ce jour
425 
 
426 
•  Code de conduite approuvé  comportant l’engagement contraignant et exécutoire 
427 
pris par les destinataires hors UE (importateurs) d’appliquer les garanties appropriées 
428 
 
429 
Le 22 février 2022, le CEPD a adopté des lignes directrices sur les codes de conduite en tant 
430 
qu’outils de transfert11. Le principal objectif des lignes directrices est de clarifier l’application 
431 
de l’article 40, paragraphe 3, et de l’article 46, paragraphe 2, point e), du RGPD. Ces 
432 
dispositions prévoient qu’une fois approuvé par une autorité de contrôle compétente et après 
                                                   
11 https://edpb.europa.eu/system/files/2022 
10/edpb guidelines codes conduct transfers after public consultation fr.pdf  
 13 
 


 
433 
s’être vu accorder une validité générale au sein de l’EEE par la Commission, un code de 
434 
conduite peut être adopté et utilisé par les responsables du traitement et les sous-traitants 
435 
qui ne sont pas soumis au RGPD afin de fournir des garanties appropriées pour les transferts 
436 
de données en dehors de l’UE. 
437 
 
438 
À ce jour, aucun code de conduite en tant qu’outil de transfert n’a été approuvé12.  
439 
 
440 
Il convient de noter qu’un code de conduite en tant qu’outil de transfert est différent d’un 
441 
code de conduite « RGPD » au sens de l’article 40.2 du RGPD dont l’objectif est de démonter 
442 
la conformité de ses adhérents au RGPD13. Même si le code de conduite « RGPD » contient 
443 
des éléments sur la conformité des transferts de données effectués par ses adhérents en tant 
444 
qu’exportateurs, il ne constitue pas pour autant un outil de transfert. 
445 
 
446 
•  Mécanisme de certification approuvé comportant l’engagement contraignant et 
447 
exécutoire pris par les importateurs hors UE d’appliquer les garanties appropriées 
448 
 
449 
Le 14 février 2023, le CEPD a adopté des lignes directrices sur la certification en tant qu’outil 
450 
de transfert14. L’article 46, paragraphe 2, point f), du RGPD introduit des mécanismes de 
451 
certification approuvés en tant que nouvel outil permettant de transférer des données à 
452 
caractère personnel vers des pays tiers en l’absence d’accord d’adéquation. L’objectif 
453 
principal de ces lignes directrices est de fournir des précisions sur l’utilisation pratique de cet 
454 
outil de transfert. 
455 
 
456 
À ce jour, aucune certification n’a été approuvée en tant qu’outil de transfert. Toutefois, un 
457 
organisme a soumis un projet à l’autorité luxembourgeoise. 
458 
 
459 
De la même manière que pour les codes de conduite, les certifications outil de transfert sont 
460 
à distinguer des certifications « RGPD » au sens de l’article 42.1 du RGPD dont l’objectif est 
461 
de démontrer la conformité des organismes certifiés au RGPD, y compris pour les transferts 
462 
pour lesquels ils sont exportateurs15. En revanche, et conformément à l’article 42.2 du RGPD, 
463 
les certifications outil de transfert sont destinées aux organismes qui ne sont pas soumis 
464 
au RGPD et donc aux importateurs de données hors UE qui peuvent ainsi être certifiées 
465 
pour les données qu’ils reçoivent dans le cadre de transferts de leurs clients soumis au RGPD.  
466 
 
                                                   
12 À ce jour, un organisme a contacté la CNIL pour un projet de code de conduite comme outil de transfert mais 
les échanges sont à ce stade préliminaire et aucun projet n’a été adressé formellement à la CNIL. 
13 En 2021, la CNIL a approuvé son premier code de conduite, le code européen porté par CISPE (Cloud 
Infrastructure Service Providers Europe) à destination des fournisseurs de services d’infrastructures 
informatiques en nuage (« cloud ») situés sur le territoire de l’Union européenne , de façon quasi simultanée 
avec l’approbation par l’autorité belge du Code européen « EU CLOUD CoC ». Au niveau européen, quatre codes 
nationaux et deux  codes européens ont été approuvés à ce jour depuis l’entrée en vigueur du RGPD.  
Actuellement, les services de la CNIL accompagnent les porteurs de trois projets de codes de conduite européens 
et quatre projets nationaux dans différents secteurs d’activités. 
14 https://edpb.europa.eu/system/files/2023-05/edpb guidelines 07-
2022 on certification as a tool for transfers v2 fr 0.pdf  
15 A ce jour, trois certifications « RGPD » ont été approuvées dont une seule s’applique en France car européenne 
(EuroPrivacy). Ces certifications sont toutes « généralistes », c’est-à-dire non spécifiques au secteur du cloud 
mais rien n’empêche un fournisseur de services de cloud d’y candidater. Huit projets de certifications sont en 
cours d’examen.  
 14