L'IDTA britannique expliquée : comment utiliser l'accord international de transfert de données dans le cadre du RGPD britannique

Alexis Dessaints
This is some text inside of a div block.
6
November 21, 2025

Table des matières

À ; SEC :

  • Le Royaume-Uni a introduit l'accord international de transfert de données (IDTA) en mars 2022 pour remplacer les clauses contractuelles types (SCC) de l'UE après le Brexit. Il donne aux organisations britanniques leur propre mécanisme légalement valide pour transférer des données personnelles vers des pays ne bénéficiant pas du statut d'adéquation britannique en vertu de l'article 46 du RGPD britannique et clarifie les attentes de l'IDTA en matière de protection des données pour les exportateurs et les importateurs.

  • Après le Brexit, les entreprises britanniques ne pouvaient plus compter uniquement sur les CCT de l'UE pour les exportations légales de données. L'IDTA comble cette lacune en veillant à ce que les transferts entre le Royaume-Uni et les pays non adéquats restent conformes et sécurisés, avec des évaluations des risques de transfert (TRA) obligatoires pour résoudre les conflits de lois étrangères.

  • L'IDTA s'inscrit aux côtés d'autres mécanismes de transfert britanniques, tels que les décisions d'adéquation, les règles d'entreprise contraignantes et les CCT de l'UE avec un addendum britannique. Il s'agit de l'option autonome la plus simple pour les flux de données uniquement au Royaume-Uni, tandis que les organisations opérant à la fois au Royaume-Uni et dans l'UE préfèrent souvent la combinaison SCC + Addendum.

Qu'est-ce que l'IDTA britannique ?

L'IDTA (International Data Transfer Agreement) britannique est un contrat standardisé émis par le Bureau du commissaire à l'information (ICO) du Royaume-Uni en vertu de la législation britannique pour permettre les transferts légaux de données personnelles du Royaume-Uni vers des pays sans constatation d'adéquation.

En d'autres termes, lorsque votre organisation transfère des données britanniques vers un pays tiers non adéquat, l'IDTA agit comme un ensemble de clauses contraignantes de protection des données (comme les anciennes CCT de l'UE) pour répondre aux exigences de l'article 46 du RGPD britannique. Il a été promulgué en vertu de la loi de 2018 sur la protection des données (section 119A) en 2022, avec l'approbation finale par le Parlement le 21 mars 2022. À ce moment-là, l'IDTA (et un addendum britannique distinct aux CCT de l'UE) sont officiellement entrés en vigueur.

L'IDTA est parfois décrite comme la version britannique des nouvelles CCS de l'UE. Il couvre le même sujet, à savoir les obligations contraignantes des exportateurs/importateurs en matière de sécurité, de droits des personnes concernées, de notification des violations, etc., mais dans un seul modèle unifié. En revanche, les nouvelles CCT de l'UE utilisent des « modules » distincts pour les différents rôles des parties et les différents types de transfert. Le texte de l'IDTA est rempli dans un format « à remplir » : les parties énumèrent les types de données, les objectifs, les mesures de sécurité et les rôles de l'exportateur et de l'importateur dans les tableaux et les annexes. Il est expressément conçu pour fournir des « garanties appropriées » en vertu de la législation britannique pour les transferts restreints, en tenant compte des exigences de Schrems II.

Parce qu'elle était nécessaire après le Brexit, l'IDTA travaille parallèlement à l'addendum britannique. Les exportateurs ont le choix : pour les données provenant du Royaume-Uni, vous pouvez soit utiliser l'IDTA britannique autonome, soit utiliser les SCC de l'UE (version 2021) ainsi que l'addendum britannique de l'ICO. L'addendum britannique s'attache simplement aux CCT de l'UE et les modifie afin qu'elles fonctionnent dans le cadre du RGPD britannique. Les deux options (IDTA ou SCC+addendum) satisfont à l'article 46 pour les transferts non adéquats. De nombreuses organisations disposant de données à la fois au Royaume-Uni et dans l'UE trouvent qu'il est plus simple d'adopter universellement les CCT de l'UE et l'addendum britannique, mais les flux uniquement au Royaume-Uni peuvent s'appuyer sur le document IDTA unique.

Quand devez-vous utiliser l'IDTA ?

Vous avez besoin de l'IDTA chaque fois que vous effectuez un transfert restreint de données personnelles britanniques vers un pays ou un territoire qui est pas couvert par une décision d'adéquation du Royaume-Uni. Pour toutes les données provenant du Royaume-Uni envoyées à des pays non adéquats, vous devez soit remplir l'IDTA britannique, soit appliquer les CCT de l'UE avec l'addendum britannique.

Par exemple, une entreprise britannique stockant les dossiers de son personnel sur un serveur cloud américain a certainement besoin d'une protection ; cela peut être l'IDTA si aucune adéquation ne s'applique. L'envoi de données au Canada ou à l'UE, qui ont un statut d'adéquation, pas nécessitent l'IDTA. Si vous effectuez des virements uniquement au sein du même groupe de sociétés au Royaume-Uni, il ne s'agit pas du tout d'un transfert restreint. Ainsi, si vous choisissez l'IDTA, le contrat doit répondre aux exigences de l'IDTA britannique et démontrer les mesures de protection des données IDTA sur lesquelles vous vous basez

IDTA contre SCC de l'UE avec addendum britannique

L'IDTA et l'addendum EU SCCS+UK ont le même objectif, mais présentent quelques différences majeures :

  • Format/Modularité : L'IDTA utilise un modèle pour tous les transferts (contrôleur à contrôleur, contrôleur à processeur, etc.). Il n'y a pas de modules séparés. Il vous suffit d'identifier les rôles de l'exportateur/importateur dans les tableaux de l'IDTA. En revanche, les nouveaux SCC de l'UE comportent plusieurs modules (par exemple, le module 1 pour le contrôleur à contrôleur, le module 2 pour le contrôleur à processeur, etc.). Cela signifie que l'IDTA peut être utilisé « tel quel » dans n'importe quel scénario sans sélectionner de modules.

  • Article 28 (Obligations du sous-traitant) : L'IDTA ne satisfait pas elle-même à l'article 28 (l'exigence britannique de protection des données pour les contrats entre responsables du traitement et sous-traitants). Si vous utilisez l'IDTA et que l'importateur est un sous-traitant, vous devez disposer d'un accord de traitement distinct qui inclut toutes les clauses de l'article 28 (l'IDTA appelle cela un « accord lié »). Vous joignez ou intégrez un DPA pour couvrir ces obligations. Les SCC de l'UE, en revanche, incluent des clauses de traitement facultatives dans leurs modules, de sorte qu'un DPA autonome n'est pas toujours nécessaire lors de l'utilisation de SCC.

  • Résolution des litiges : L'IDTA introduit un système d'arbitrage facultatif. Les parties (ou même les personnes concernées) peuvent choisir de résoudre les litiges dans le cadre d'un arbitrage IDTA basé sur les règles de la LCIA. (L'ICO s'est notamment retirée de la liste des arbitres possibles : l'arbitrage n'est désormais possible qu'entre les parties ou les personnes concernées.) Les CCT de l'UE ne disposent pas d'une option d'arbitrage officielle ; l'exécution se fait normalement par le biais de systèmes judiciaires ou de mesures réglementaires. Dans tous les cas, les individus conservent toujours le droit de déposer des réclamations en vertu du RGPD britannique.

  • Champ d'utilisation : L'IDTA est seulement adapté aux transferts originaire du Royaume-Uni. Il ne peut pas être utilisé pour respecter les obligations du RGPD de l'UE. Les SCCs de l'UE et l'addendum britannique peuvent être utilisés pour les transferts de données de l'UE ou du Royaume-Uni, ce qui en fait un choix naturel pour les entreprises mixtes du Royaume-Uni et de l'UE.

Nous pouvons dire que l'IDTA est idéal pour les transferts uniquement au Royaume-Uni (un document, un ensemble de clauses), tandis que les CCT de l'UE + UK Addendum pourraient être meilleurs pour les opérations multinationales couvrant à la fois le Royaume-Uni et l'UE. Les deux répondent à l'exigence de l'article 46 du RGPD britannique.

Principales obligations en vertu de l'IDTA

L'IDTA impose plusieurs obligations importantes à la fois aux exportateur de données (généralement l'entité britannique) et le importateur de données (dans le pays tiers). Les exigences de l'IDTA au Royaume-Uni sont les suivantes :

  • Données et finalité spécifiées : L'annexe I de l'accord exige de répertorier exactement les données personnelles qui sont transférées, les catégories de personnes concernées et la finalité du traitement. Les parties doivent respecter ces limites. Vous ne pouvez traiter que dans le but et les catégories de données indiqués.

  • Mesures de sécurité : L'exportateur et l'importateur doivent mettre en œuvre des mesures de sécurité techniques et organisationnelles conformes aux normes britanniques du RGPD. Le contrat suppose des mesures (souvent énumérées à l'annexe II) telles que le cryptage, les contrôles d'accès, etc., pour assurer la sécurité des données.

  • Droits de la personne concernée : L'importateur doit respecter les droits des particuliers conformes au RGPD britannique. Dans la pratique, cela signifie respecter les droits tels que l'accès, la correction et l'effacement au nom de l'exportateur. Chaque partie doit s'assurer que l'autre peut faciliter les demandes des personnes concernées. (LegalVision explique que l'IDTA garantit que les personnes concernées « peuvent accéder à leurs données, les corriger ou les supprimer » après leur transfert.)

  • Notification de violation : Si une violation de données personnelles affecte les données transférées, le contrat exige une notification rapide. Plus précisément, tout incident qui « entraîne un risque pour les droits et libertés » doit être signalé tout au long de la chaîne (souvent de l'importateur à l'exportateur, puis aux réglementateurs/personnes concernées si nécessaire).

  • Transparence pour les personnes concernées : Si l'importateur agit en tant qu'entité distincte manette, il doit mettre certaines informations à la disposition des personnes concernées britanniques. Par exemple, elle devrait les informer de son identité, des finalités du traitement et des éventuels destinataires des données. (Si la notification directe est trop contraignante, un avis public est autorisé à la place.) Cela garantit que les personnes savent que leurs données ont été envoyées dans un autre pays.

  • Divulgation des lois locales : L'importateur est tenu d'informer l'exportateur des lois et pratiques étrangères pertinentes ayant une incidence sur transfert de données transfrontalier. Dans le texte final de l'IDTA, l'importateur doit fournir des « informations pertinentes » sur les lois, les risques et les protections locales en matière de données, mais il n'est plus obligé de le faire garantie exhaustivité. Cela se répercute sur l'évaluation des risques de transfert (étape 4 ci-dessous) : essentiellement, l'importateur signale toute contrainte légale ou tout accès gouvernemental susceptible de compromettre le transfert.

  • Coopération bilatérale : Les deux parties conviennent de coopérer avec les autorités de surveillance britanniques (ICO). Ils devraient s'accorder une assistance mutuelle pour les audits ou les enquêtes.

  • Clause de résiliation : L'IDTA permet notamment à l'une ou l'autre des parties de résilier le contrat sous certaines conditions. Supposons que des changements de droit ou de circonstances entraînent une « substantiel, augmentation disproportionnée et démontrable » en termes de coût ou de risque liés à la mise en conformité avec l'IDTA. Dans ce cas, la partie peut mettre fin à l'accord après avoir essayé d'atténuer ces problèmes. Cela apporte un certain soulagement si, par exemple, de nouvelles lois locales rendent la conformité extrêmement difficile.

Calendrier de transition et anciens contrats

Lorsque l'IDTA a été introduite, l'ICO a également établi des règles transitoires pour les anciens contrats. En bref :

  • Ancienne période de grâce de la SCC : Tous les contrats internationaux de transfert de données utilisant le vieux Les clauses contractuelles types de l'UE (CCT de l'ère des directives) qui ont été signées le 21 septembre 2022 ou avant peuvent continuer à être utilisées dans le cadre du RGPD britannique jusqu'au 21 mars 2024. Cela donne aux entreprises le temps de migrer. À partir du 22 septembre 2022, les nouveaux contrats devaient utiliser l'IDTA ou les nouvelles CCT + UK Addendum ; vous ne pourrez pas signer de nouveaux contrats sur les anciennes CCT après cette date.

  • Date limite de migration : D'ici le 21 mars 2024, tous ces anciens contrats doivent être remplacés. À ce stade, ils doivent être mis à jour pour utiliser soit l'IDTA britannique, soit les (nouvelles) SCC de l'UE avec l'addendum britannique. Si vous ne le faites pas, vous transférerez des données sans garanties appropriées en vertu de la législation britannique.

  • Approche pour les contrats existants : Si vous avez toujours un ancien contrat SCC (sans l'addendum) qui relève de la période de transition, prévoyez dès maintenant de le mettre à jour. Nous vous recommandons de contacter de manière proactive la partie étrangère pour négocier l'insertion des termes de l'IDTA ou de l'addendum. N'oubliez pas que l'IDTA peut souvent simplement être utilisé « tel quel » (les annexes étant remplies) pour remplacer un ancien SCC.

  • Nouveaux contrats : Tout accord de transfert signé après la date limite de transition (après septembre 2022) doit utiliser directement l'addendum IDTA ou EU SCC+. Ne vous fiez pas aux anciennes clauses à l'avenir.

Comment mettre en œuvre l'IDTA dans la pratique

Suivez ces étapes pratiques pour déployer l'IDTA pour vos transferts :

Étape 1 : Cartographier le flux de données transfrontalier

Tout d'abord, dressez un inventaire des données personnelles qui circulent du Royaume-Uni vers d'autres pays (et vers qui). Identifiez les types de données, les catégories (employés, clients, etc.) et les destinations des transferts. La compréhension de ces flux constitue la base de toute stratégie de transfert conforme.

Étape 2 : Choisissez le bon outil de transfert (IDTA vs SCC+Addendum)

Sur la base de votre carte, décidez si l'IDTA est approprié ou si vous devez utiliser les CCT + Addendum de l'UE. Utilisez l'IDTA lorsque le transfert est effectué depuis le Royaume-Uni vers un pays non adéquat et qu'il n'est pas mélangé à des données personnelles de l'UE. Utilisez les SCCs + Addendum de l'UE si le même contrat doit couvrir à la fois les transferts en provenance du Royaume-Uni et de l'UE (courant dans les contrats multinationaux). Bien entendu, si la destination est adaptée au Royaume-Uni (par exemple, un transfert de données du Royaume-Uni vers le Royaume-Uni/l'UE ou un pays d'adéquation), aucun contrat spécial n'est nécessaire. Sinon, prévoyez d'utiliser l'IDTA.

Étape 3 : Complétez le contrat IDTA

L'IDTA est un modèle à remplir (Word/PDF). Procédez comme suit :

  1. Tableau 1 (Parties) : Entrez les noms, adresses et coordonnées de l'exportateur et de l'importateur dans l'en-tête de l'accord.

  2. TTableau 2 (Détails du transfert) : Vous spécifiez ici le transfert. Cochez les rôles : indiquez si importateur agit en tant que responsable du traitement ou sous-traitant des données transférées et identifie la relation entre les parties (contrôleur-contrôleur, contrôleur-sous-traitant, etc.). Dressez la liste des catégories de données (annexe I) et des mesures de sécurité (annexe II).

  3. Annexe I (Description du transfert) : Décrivez les champs de données personnelles, les catégories de personnes concernées et les finalités du traitement.

  4. Annexe II (Mesures techniques et organisationnelles) : Détaillez vos mesures de sécurité (par exemple, cryptage, contrôle d'accès) ou faites référence aux mesures existantes.

  5. Accord lié : Si l'importateur est un transformateur, assurez-vous de disposer d'un accord de traitement conforme à l'article 28 (le « contrat lié » exigé par l'IDTA).

  6. Signatures : L'exportateur et l'importateur doivent signer et dater l'IDTA.

Étape 4 : Réaliser une évaluation des risques de transfert (TRA)

Avant de finaliser, effectuez un EMR : évaluez si les lois du pays importateur pourraient porter atteinte aux protections de l'IDTA. Les directives de l'ICO l'exigent explicitement dans le cadre de l'utilisation de tout outil relevant de l'article 46. Vérifiez les lois locales en matière de surveillance, les restrictions ou les problèmes d'application. Si des conflits existent, documentez-les et envisagez des mesures supplémentaires (comme le cryptage, l'anonymisation, etc.) pour atténuer les risques. Ne procédez que si vous êtes certain que l'IDTA (avec toutes les garanties supplémentaires) maintiendra la protection des données « essentiellement équivalente » à celle du RGPD britannique.

Étape 5 : Surveillance et évaluation continues

Une fois implémenté, ne « configurez et oubliez ». Passez régulièrement en revue vos virements internationaux. Si la législation du Royaume-Uni ou du pays de destination change (par exemple, une nouvelle décision d'adéquation, une modification des règles d'accès gouvernementales), réévaluez votre approche. L'IDTA elle-même anticipe les mises à jour : les clauses permettent aux parties de réviser les dispositions de sécurité ou même de remplacer l'IDTA si nécessaire. Conservez des copies des accords et des annexes signés et mettez-les à jour si, par exemple, la finalité de votre traitement change. Les audits ou contrôles annuels constituent une bonne pratique.

Exemples et cas d'utilisation

  • Transferts entre le Royaume-Uni et les États-Unis : Une entreprise britannique stockant les données de ses clients sur un serveur cloud américain doit utiliser l'IDTA (étant donné que les États-Unis ne sont pas couverts de manière adéquate par la législation britannique). Si le même contrat implique également des données de l'UE (par exemple, l'envoi de données de clients de l'UE au même service américain), de nombreuses personnes choisissent d'utiliser les CCT de l'UE et l'addendum britannique pour couvrir les deux. Mais si seules les données britanniques sont concernées, l'IDTA suffit à elle seule.

  • Royaume-Uni → Autres pays non adéquats : Les transferts vers des pays tels que l'Inde, la Chine, le Brésil, etc. nécessitent tous l'IDTA (en supposant qu'il n'y ait aucune adéquation). Par exemple, l'externalisation du traitement des salaires au Royaume-Uni à un fournisseur indien utiliserait normalement l'IDTA ainsi qu'un DPA distinct s'il s'agit d'une relation de traitement.

  • Activités du groupe (Royaume-Uni et UE) : Un groupe multinational ayant des bureaux au Royaume-Uni et dans l'UE pourrait utiliser les CCT de l'UE avec l'addendum britannique dans ses accords mondiaux de transfert de données. Ainsi, un ensemble de clauses (les modules EU SCC + UK Addendum) peut couvrir toutes les branches. Ils peuvent toujours utiliser l'IDTA pour les accords purement internes au Royaume-Uni, mais pour tout contrat concernant à la fois des données personnelles de l'UE et du Royaume-Uni, l'approche de l'addendum simplifie souvent les choses.

  • Royaume-Uni → Transferts adéquats: Si vous envoyez des données vers un pays adéquat (par exemple, vers la Suisse, le Japon (données commerciales uniquement) ou l'UE/EEE), ni l'IDTA ni les CCS ne sont nécessaires : vous pouvez les transférer librement. Mais si vos processus sont également transférés vers des sites inadéquats dans le cadre d'une chaîne plus importante, vous aurez toujours besoin de l'IDTA pour cette étape.

  • Royaume-Uni → Transferts de groupe internes : Si votre entité britannique envoie des données à une filiale étrangère qui est une succursale (et non une entité juridique distincte), cela n'est pas considéré comme un transfert restreint. Aucun IDTA n'est nécessaire dans ce cas (il s'agit d'un transfert intragroupe).

Ces scénarios montrent que le choix de l'outil dépend de la personne qui transfère les données et de l'endroit où elles sont transférées. L'IDTA est particulièrement utile pour les flux de données entre le Royaume-Uni et les États-Unis ou entre le Royaume-Uni et l'Asie de l'Est, tandis que la combinaison SCC+addendum peut être préférable lorsque des données de l'UE sont également en jeu.

Risques et pièges à surveiller

Bien que l'IDTA propose une voie claire vers la conformité, il existe des pièges courants à éviter :

  1. Ignorer le TRA : L'un des principaux écueils est de traiter l'IDTA comme une formalité et d'oublier l'évaluation des risques de transfert. Les régulateurs britanniques s'attendent à une EMR robuste pour chaque transfert afin de détecter les conflits (comme les lois de surveillance étrangères). Si vous lésinez là-dessus, vous risquez de ne pas voir un problème qui annulera ultérieurement votre sauvegarde.

  2. Date limite non respectée : Ne négligez pas le calendrier de transition. Si vous vous fiez toujours aux anciennes CCT après le 21 mars 2024, vos transferts violeront le RGPD britannique. Planifiez les mises à jour de vos contrats dès maintenant plutôt que plus tard.

  3. Des rôles confus : Veillez à bien identifier le rôle de chaque partie dans le Tableau 2. L'étiquetage erroné d'un processeur en tant que contrôleur (ou vice versa) peut entraîner une manipulation incorrecte. N'oubliez pas non plus : si vous marquez l'importateur comme processeur, ce DPA distinct doit être joint. L'oubli de l' « accord lié » est une erreur courante.

  4. Annexes incomplètes : Une annexe I ou II à moitié remplie pourrait invalider les protections de l'IDTA. Assurez-vous de décrire en détail les catégories de données et les mesures de sécurité mises en œuvre de manière réaliste. Les entrées génériques ou vides vont à l'encontre de l'objectif du modèle.

  5. Oublier l'adéquation : N'utilisez pas l'IDTA lorsque vous n'en avez pas besoin. Pour les transferts vers des pays adéquats (comme le Canada ou les États-Unis dans le cadre de la protection des données), des mesures de sécurité des données normales suffisent. L'utilisation de l'IDTA là où elle n'est pas nécessaire peut compliquer les choses.

  6. Défaut d'application : N'oubliez pas que la qualité de l'IDTA dépend de votre application. Assurez-vous que l'importateur respecte réellement les normes britanniques. Si la contrepartie de votre contrat n'est pas disposée à s'y conformer (par exemple, elle refuse de fournir des informations TRA ou de signaler une violation), réévaluez le transfert ou trouvez un autre partenaire.

  7. En supposant que c'est permanent : L'IDTA est un modèle ICO qui peut être mis à jour au fil du temps. Ne partez pas du principe que la version que vous signez reste valide indéfiniment sans révision. Des mises à jour des clauses et de nouvelles versions peuvent être publiées.

En restant au courant de ces problèmes (et en utilisant le Liste de contrôle de conformité au RGPD pour les projets de transfert), vous pouvez éviter les écarts de conformité courants.

Pourquoi utiliser IDTA avec l'assistance de DPO Consulting

La mise en œuvre de garanties relatives aux transferts internationaux peut être complexe, c'est pourquoi de nombreuses organisations font appel à des experts. C'est exactement dans ce domaine que notre équipe International DPO Services est spécialisée. Nous apportons une connaissance approfondie de RGPD britannique contre RGPD européen, Conformité à la PDPA, ainsi que d'autres lois internationales sur la confidentialité destinées à faciliter vos transferts. Voici comment nous pouvons vous aider :

  • Sélection d'outils par des experts : Nous vous aidons à choisir entre l'IDTA, le SCC + UK Addendum ou d'autres outils en fonction de vos flux de données et de votre juridiction.

  • Soutien et garanties TRA : Nous guidons vos évaluations des risques de transfert, en identifiant les conflits avec les lois locales et en suggérant des mesures de protection supplémentaires telles que le cryptage ou la pseudonymisation.

  • Rédaction et révision des contrats : Nous nous occupons des détails juridiques, de la rédaction des IDTA, des accords liés à l'article 28 et de la négociation des conditions avec les importateurs.

  • Audits de conformité : Nous repérons les SCC obsolètes, les mettons à jour et assurons la migration vers IDTA ou SCC + Addendum avant les dates limites.

  • Surveillance continue : Nos experts suivent l'évolution des lois (telles que les décisions d'adéquation ou les modifications apportées à l'étranger) afin que vos transferts restent conformes.

En travaillant avec nos experts DPO, vous aurez l'assurance que vos transferts internationaux sont juridiquement solides et bien documentés. Contactez-nous pour profiter de notre Services de DPO internationaux et assurez-vous que vos flux de données mondiaux restent conformes au RGPD britannique et au-delà.

FAQ

Qu'est-ce qu'un « transfert restreint » au sens du RGPD britannique ?

Un « transfert restreint » est essentiellement tout transfert de données personnelles réglementées par le Royaume-Uni vers une destination étrangère qui déclenche les règles de l'article 46 du RGPD britannique. Concrètement, cela signifie envoyer des données personnelles en dehors du Royaume-Uni (ou les rendre accessibles à une entité distincte en dehors du Royaume-Uni) lorsque le destinataire est un responsable du traitement ou un sous-traitant distinct.

Pouvons-nous toujours utiliser les CCT de l'UE après le Brexit ?

Oui et non Après le Brexit, vous ne pouvez pas compter sur les CCS de l'UE seul pour les transferts de données au Royaume-Uni. Au lieu de cela, vous devez soit ajouter l'addendum britannique de l'ICO aux nouvelles SCC de l'UE, soit utiliser l'IDTA britannique. Les anciennes CCT antérieures à 2010 ne peuvent être utilisées que dans le cadre des règles transitoires (contrats conclus avant le 21 septembre 2022 et jusqu'au 21 mars 2024). Pour les nouveaux transferts, le choix est : (a) l'IDTA britannique, ou (b) les SCC de l'UE (version 2021) avec l'addendum britannique. Si vos transferts concernent également des données personnelles provenant de l'UE, de nombreuses organisations s'en tiennent à l'option (b) pour des raisons de simplicité. Mais les transferts purement britanniques peuvent utiliser l'IDTA.

Avons-nous besoin d'un TRA pour chaque IDTA ?

Oui L'intérêt des garanties de l'article 46 est que vous devez vérifier qu'elles protègent réellement les données conformément à la législation locale. Les directives britanniques indiquent clairement qu'une évaluation des risques de transfert (TRA) est attendue chaque fois que l'IDTA (ou toute autre clause contractuelle) est utilisée.

Que se passe-t-il si les lois d'un pays de destination entrent en conflit avec le RGPD britannique ?

Si vous découvrez un conflit (par exemple, des lois de surveillance étrangères qui pourraient forcer la divulgation des données), l'IDTA a intégré des mesures. Tout d'abord, l'importateur doit vous informer de ces lois dans le cadre du processus TRA. Votre TRA doit identifier toutes les « limites légales » à la capacité de l'importateur à respecter les conditions de l'IDTA. Si l'IDTA ne peut plus fournir les garanties appropriées en raison de la législation locale, vous devez suspendre ou arrêter le transfert. L'importateur est toujours tenu de conserver toutes les mesures de sécurité existantes, mais dans les faits, le transfert ne peut pas être effectué légalement en vertu du RGPD britannique. Dans la pratique, cela signifie soit que vous mettez en place des mesures techniques supplémentaires (comme un cryptage que même le gouvernement local ne peut pas déchiffrer), soit que vous interrompez le transfert en cas d'échec. L'IDTA autorise également le licenciement dans de tels cas de « risque important ». Consultez toujours un conseiller juridique en cas de conflit grave.

Quand devons-nous migrer les anciens contrats SCC ?

Tout contrat portant sur les anciennes CCT (de l'ère des directives) signé le 21 septembre 2022 ou avant cette date pourrait rester en vigueur jusqu'au 21 mars 2024. Après cela, il ne constitue plus une garantie légale en vertu du RGPD britannique. Alors oui, d'ici le 21 mars 2024, vous devez remplacer ou modifier ces anciens contrats.

DPO Consulting : votre partenaire en matière d'IA et de conformité au RGPD

Investir dans les efforts de conformité au RGPD peut peser lourdement sur les grandes entreprises ainsi que sur les petites et moyennes entreprises (PME). Le recours à une ressource ou à une assistance externe peut alléger la charge d'un audit interne pour l'ensemble des entreprises et alléger la pression sur les finances, les capacités technologiques et l'expertise de l'entreprise.

Les auditeurs externes et les partenaires experts tels que DPO Consulting sont bien placés pour aider les organisations à gérer efficacement la nature complexe des audits du RGPD. Ces professionnels formés agissent comme une extension de votre équipe, aidant à rationaliser les processus d'audit, à identifier les domaines à améliorer, à mettre en œuvre les changements nécessaires et à garantir la conformité au RGPD.

Confier le bon partenaire offre l'avantage de l'impartialité et du respect des normes du secteur et permet de débloquer une multitude de ressources telles que des informations spécifiques au secteur, ce qui se traduit par des évaluations impartiales et une conformité réussie. Travailler avec DPO Consulting se traduit par un gain de temps précieux et allège la charge de travail du personnel interne, tout en réduisant considérablement les coûts de l'entreprise.

Nos solutions

RGPD et conformité

DPO et représentation externalisés

Formation et assistance

À lire également

See all

Liste de contrôle des audits de cybersécurité : étapes clés et contrôles essentiels pour la conformité

Une liste de contrôle d'audit de cybersécurité permet d'évaluer les contrôles de sécurité en matière de politiques, de systèmes, de réponse aux incidents et de formation.

Read more

Audit de conformité en matière de cybersécurité : qu'est-ce que c'est et comment le réaliser

Un audit de conformité en matière de cybersécurité évalue vos contrôles, politiques et pratiques de sécurité par rapport aux normes et réglementations.

Read more

Le CISO en tant que service : qu'est-ce que c'est, avantages et comment choisir

Le CISO as a Service fournit un leadership externalisé en matière de cybersécurité aux organisations qui ne peuvent pas ou ne veulent pas d'un RSSI à plein temps.

Read more
Restez au courant des dernières actualités en matière de protection des données et de conformité au RGPD.
Votre adresse e-mail sera utilisée pour vous envoyer notre newsletter ainsi que des informations concernant l'activité et l'actualité de DPO Consulting. Vous pouvez vous désinscrire à tout moment en cliquant sur le lien de désinscription figurant dans les e-mails. Pour en savoir plus sur vos droits, consultez notre Politique de confidentialité.
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
À propos de nous
Notre expertise
Logiciel RGPD (myDPO)
Nous contacter
contact@dpo-consulting.com
+33 (0) 1 55 06 16 86
50, Avenue des Champs-Élysées, 75008, Paris, France
DPO ExternaliséDPO International Assistance DPOReprésentant UEReprésentant UKFormation en protection des données
Conformité des études cliniquesAudit de conformité RGPDAnalyse d'Impact sur la Vie Privée (AIPD)Transformation digitaleConformité multi-réglementaireUK GDPR, UK DPA, & DUAA
Conformité en cybersécurité
RSSI ExternaliséAudit de conformité en cybersécuritéGestion de projet IT
Conformité à l'AI Act
Audit de conformité à l'AI ActFormation à l'AI Act
DPO Consulting © 2025 Tous droits réservés |
Conditions d'utilisation
|
Politique de confidentialité
|
Politique en matière de cookies
|
Mentions légales
Créons un expérience comme remarquable en tant que votre entreprise
Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.
Pages principales
Pages du CMS
Utilité
Modèles
hi@byq.studio
@byqstudio
+1 600 600 000
White stylized letter B logo on a black circular background.
Hey there 🙌🏽 This is Grained Agency Webflow Template by BYQ studio
Read more
Minimize
Template details

Included in Grained

Grained Agency Webflow Template comes with everything you need

15+ pages

25+ sections

20+ Styles & Symbols

Figma file included

To give you 100% control over the design, together with Webflow project, you also get the Figma file. After the purchase, simply send us an email to and we will e happy to forward you the Figma file.

Buy template $79

Grained Comes With Even More Power

Overview of all the features included in Grained Agency Template

Premium, custom, simply great

Yes, we know... it's easy to say it, but that's the fact. We did put a lot of thought into the template. Trend Trail was designed by an award-winning designer. Layouts you will find in our template are custom made to fit the industry after carefully made research.

Optimised for speed

We used our best practices to make sure your new website loads fast. All of the images are compressed to have as little size as possible. Whenever possible we used vector formats - the format made for the web.

Responsive

Grained is optimized to offer a frictionless experience on every screen. No matter how you combine our sections, they will look good on desktop, tablet, and phone.

Reusable animations

Both complex and simple animations are an inseparable element of modern website. We created our animations in a way that can be easily reused, even by Webflow beginners.

Modular

Our template is modular, meaning you can combine different sections as well as single elements, like buttons, images, etc. with each other without losing on consistency of the design. Long story short, different elements will always look good together.

100% customisable

On top of being modular, Grained was created using the best Webflow techniques, like: global Color Swatches, reusable classes, symbols and more.

CMS

Grained includes a blog, carrers and projects collections that are made on the powerful Webflow CMS. This will let you add new content extremely easily.

Ecommerce

Grained Template comes with eCommerce set up, so you can start selling your services straight away.

Figma included

To give you 100% control over the design, together with Webflow project, you also get the Figma file.

Buy template $79