La Commission européenne reprend, dans l’exposé des motifs de la proposition qui allait plus tard devenir le RGPD, les principes qui ont présidé à l’adoption de la directive 95/46/CE[1], l’ancêtre du Règlement actuel. Dès 1995, l’Union européenne se fixe un double objectif : assurer la protection des données personnelles, tout en prenant en compte la réalité d’un marché intérieur en développement constant. C’est ce développement qui induit des échanges frontaliers de données personnelles de plus en plus intenses.
Lors de l’adoption du RGPD, plus de 20 ans après celle de la directive, la réalité des échanges transfrontaliers de données est toujours là. Que dire alors de la situation actuelle ?
Pour tout·e avocat·e qui exerce son activité en 2026, les échanges transfrontaliers de données sont une réalité, que ce soit entre professionnel·les de la justice (par exemple lors d’un litige) ou du point de vue de prestataires de solutions informatiques (exemple : un fournisseur de services informatiques en nuage (cloud) basé en France).
La question des échanges internationaux de données n’est pas anodine. Le principe qui préside à l’approche du RGPD dans le transfert de données au niveau international est celui-ci : quel que soit le parcours des données, elles doivent toujours être sujettes soit : (i) à la protection du RGPD dans les cas où celui-ci est applicable (selon les critères d’applicabilité de l’article 3 du Règlement), soit (ii) à la protection de normes essentiellement équivalentes en vigueur dans le pays ou est établi·e votre correspondant·e.
Nous le verrons au fil des articles qui suivent, la question du partage de données à l’étranger est peut-être un des sujets les plus complexes abordés par le RGPD, un règlement dont la mise en œuvre générale est déjà bien ardue.
S’agissant donc d’un échange de données personnelles entre un.e avocat·e basé·e dans l’Union et un·e autre basé·e dans l’Union, chacun·e devra respecter le RGPD. Il en va de même pour le confrère ou la consœur dont le cabinet est établi en Norvège, en Islande ou au Liechtenstein, dans la mesure où ces pays font partie de l’Espace Economique Européen et où le RGPD a été incorporé dans les accords de l’EEE[2].
La Suisse fait également partie de l’EEE, mais elle est sujette à un mécanisme séparé que nous verrons dans le prochain Fil RGPD. [MB1]
Au-delà de l’aspect international de l’échange, il est important de définir si le confrère ou la consœur, le ou la notaire, l’huissier·ère, à qui vous envoyez ces données personnelles sera considéré·e comme un sous-traitant au sens de l’article 28 du RGPD ou un responsable de traitement conjoint au sens de l’article 26 du RGPD.
Pour rappel, cette distinction se fera de manière factuelle, en déterminant si la personne à laquelle vous envoyez des données personnelles agira uniquement sur base de vos instructions avec ces données ou décidera avec vous de la manière et des raisons pour lesquelles les données sont utilisées.
Il est recommandé de convenir du statut applicable avec une convention RGPD qui précise entre autres le statut de responsable ou de sous-traitant selon le cas, les types de données envoyées, le traitement qui sera fait de ces données par votre correspondant·e, ainsi que les mesures de protection en place au cabinet ou à l’étude de votre correspondant·e.
En conclusion, si votre correspondant·e est basé·e dans l’UE, en Norvège, en Islande ou au Liechtenstein, le RGPD s’applique automatiquement et vous devez simplement définir les rôles et obligations de chacun·e, comme vous le feriez pour un·e correspondant·e belge.
Le devoir de responsabilité s’applique ici également. Le modèle de registre mis à votre disposition par AVOCATS.BE contient, pour chaque activité de traitement, une section reprenant les « transferts hors UE ». Bien que le RGPD s’applique en Norvège, en Islande et au Liechtenstein de la même manière que dans l’UE, nous vous conseillons tout de même de lister vos éventuels échanges de données de ou vers ces pays dans votre registre, par sécurité. Du reste, les échanges de et vers les pays membres de l’UE ne doivent pas y être repris.
Pour savoir comment définir le rôle de votre correspondant·e au sens du RGPD, vous pouvez consulter la Fiche RGPD n°7 sur l’extranet .
Votre correspondant·e est un sous-traitant au sens du RGPD ? Découvrez ce que cela implique dans la Fiche RGPD n°6 sur l’extranet .
Nicolas Ceysens
Juriste spécialisé en protection des données chez AVOCATS.BE
[1] Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) COM/2012/011 final.
[2] Plus précisément l’annexe XI des accords de l’Espace Economique Européen. Voyez le site internet de l’Association Européenne de Libre Echange (en anglais) : https://www.efta.int/consolidated-eea-legal-acts (consulté pour la dernière fois le 6 mai 2026).
