Rester conforme au RGPD dans les échanges de données avec des pays tiers – partie 2 : dans les pays « sûrs »

Dans le premier Fil de cette série, nous évoquions les échanges de données intra-européens. Nous exposions le principe clé du RGPD s’agissant du partage de données au niveau international : quel que soit le parcours des données, elles doivent toujours être soumises soit : (i) à la protection du RGPD dans les cas où celui-ci est applicable (selon les critères d’applicabilité de l’article 3 du Règlement), soit (ii) à la protection de normes essentiellement équivalentes en vigueur dans le pays où est établi·e votre correspondant·e.

Cet article se propose de décrypter la deuxième partie de ce principe : l’application de normes équivalentes au RGPD.

En 10 ans d’existence et 8 ans d’application, le RGPD, séduisant à bien des égards par ses principes et sa structure, aura eu le temps de « faire des petits », d’inspirer les législateurs étrangers[1]. Cela n’empêche pas que dans un monde aussi vaste que le nôtre, il subsiste parfois d’énormes disparités entre les législations.

Comment donc détermine-t-on si une norme est « essentiellement équivalente » au RGPD ? Le chapitre V du RGPD envisage deux solutions : la première est la voie royale, dont nous parlerons plus en détail ici : la décision d’adéquation. La seconde, dont nous parlerons dans un prochain Fil, est celle, plus tortueuse, des garanties appropriées.

La décision d’adéquation est l’outil de transfert le plus simple à utiliser : il s’agit d’un acte juridique par lequel la Commission européenne déclare considérer un pays donné comme offrant une protection des données personnelles essentiellement équivalente à celle qu’offre le RGPD.

Cette décision se fonde sur une évaluation approfondie de la législation en place, du respect des droits humains et de la législation relative au droit pénal, à la défense et aux services de renseignement, par exemple. Pour être déclaré « adéquat », un pays doit aussi disposer d’autorités de contrôle indépendantes. Les engagements internationaux pris par le pays étudié qui concernent le traitement de données personnelles sont aussi passés au peigne fin.

Une décision d’adéquation est sujette à réexamen au moins tous les 4 ans. Elle peut être suspendue, modifiée ou abrogée à tout moment, si les garanties offertes par le pays en question ne sont plus suffisantes.

Vous ne devez donc rien faire de particulier pour encadrer le transfert de données s’agissant du RGPD, si votre correspondant·e est établi·e dans l’un des pays de cette liste (pour autant qu’il·elle respecte la législation locale, bien sûr).

Même si ce système permet de ne pas mettre en place des mesures supplémentaires pour protéger les données à l’étranger, il ne vous dispense pas de votre obligation de mentionner la liste de vos échanges internationaux dans votre registre de traitement (dans la section « transfert de données hors UE » du traitement concerné, si vous utilisez le modèle fourni par AVOCATS.BE ).

Voici la liste des pays considérés comme adéquats par la Commission, en date du 18 juin 2026.

• Andorre
• L’Argentine
• Le Brésil
• Le Canada (uniquement pour ce qui concerne les organisations commerciales)
• Les Îles Féroé
• Guernesey
• Israël
• L’Île de Man
• Le Japon
• Jersey
• La Nouvelle-Zélande
• La Corée du Sud
• La Suisse
• Le Royaume-Uni
• Les États-Unis (uniquement si l’organisation de votre correspondant·e est reprise dans cette liste du département américain du Commerce , et libellée « active » sous le titre « EU-US Data Privacy Framework »).
• L’Uruguay