Transferts internationaux de données enrichies : ce que tout professionnel B2B doit savoir en 2026

Vous utilisez un outil d’enrichissement américain pour compléter vos listes de prospects. Vous synchronisez vos données avec un CRM hébergé aux États-Unis. Vous partagez vos contacts enrichis avec une agence partenaire en dehors de l’Union européenne.

Dans chacun de ces cas, vous réalisez un transfert international de données enrichies — et vous êtes soumis à des obligations légales précises au titre du RGPD. En 2025, les sanctions liées aux transferts non conformes ont dépassé le milliard d’euros à l’échelle européenne, dont 530 millions infligés à TikTok et 325 millions à Google par les autorités de protection des données. La CNIL a par ailleurs enregistré une hausse de +107 % de ses sanctions entre 2023 et 2024.

Autrement dit : ce n’est plus un sujet réservé aux juristes. C’est un enjeu opérationnel pour chaque équipe sales, growth ou ops qui enrichit des données B2B.

Ce guide vous explique ce que sont exactement les transferts internationaux de données enrichies, pourquoi ils posent problème dans les workflows B2B courants, et comment vous mettre en conformité sans bloquer votre prospection.

Enrichissez vos prospects sans quitter Google Sheets

Trouvez emails et téléphones de vos leads directement dans vos feuilles de calcul, sans export vers des plateformes tierces non conformes.

Essayer gratuitement →

Qu’est-ce qu’un transfert international de données enrichies ?

Commençons par poser une définition claire, parce que beaucoup d’équipes B2B ne réalisent pas qu’elles en effectuent.

La CNIL définit un transfert international de données comme “toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’UE”. Le terme “tiers” désigne tout pays qui ne fait pas partie de l’Union européenne ni de l’Espace économique européen (EEE — qui inclut la Norvège, l’Islande et le Liechtenstein).

Dans un contexte B2B, les données enrichies sont des données personnelles complétées ou générées par un processus d’enrichissement : email professionnel, numéro de téléphone, titre de poste, taille de l’entreprise, stack technologique, etc. Ces données restent des données à caractère personnel au sens du RGPD — même si elles concernent une personne dans le cadre de son activité professionnelle.

Un transfert international de données enrichies intervient donc dès que :

• votre outil d’enrichissement (Apollo, Clearbit, ZoomInfo, etc.) traite les données sur des serveurs situés hors UE
• vous exportez une liste enrichie vers un partenaire, une agence ou une filiale établie aux États-Unis, au Royaume-Uni post-Brexit ou en Inde
• votre CRM (HubSpot, Salesforce) héberge vos données enrichies sur des serveurs américains sans garanties adaptées
• vous utilisez un outil d’automatisation (Zapier, Make) qui route vos données via des serveurs non-européens

Ce que beaucoup d’équipes ignorent : le simple fait qu’un outil traite temporairement vos données dans un pays tiers constitue un transfert, même sans exportation physique de fichier.

Pourquoi les transferts de données enrichies exposent les équipes B2B

Les équipes B2B sont particulièrement exposées pour une raison simple : leur stack technologique est majoritairement américain.

Selon une étude Scalability publiée en 2025, 32 % du temps des commerciaux est perdu à contacter de mauvais prospects à cause de données inexactes. Pour y remédier, les équipes se tournent naturellement vers des outils d’enrichissement — dont la plupart sont fondés aux États-Unis et hébergent leurs bases de données sur des serveurs américains.

Le problème est structurel : chaque fois que vos données de prospection transitent par ces outils, elles font l’objet d’un transfert international. Et sans mécanisme légal approprié, ce transfert est non conforme au RGPD — quelles que soient la qualité des données ou la bonne foi de votre équipe.

Les trois situations à risque les plus courantes

1. L’outil d’enrichissement américain sans DPA

Sophie, Head of Growth dans une startup SaaS parisienne, utilise un outil américain pour enrichir automatiquement ses listes LinkedIn. L’outil traite les données sur des serveurs AWS situés en Virginie. Sophie n’a jamais signé de Data Processing Agreement avec ce fournisseur. Sa startup est exposée à une sanction pour transfert sans base légale.

2. La synchronisation CRM non encadrée

Thomas, Sales Manager dans une PME industrielle, synchronise ses données enrichies depuis Google Sheets vers Salesforce — dont l’instance est hébergée aux États-Unis. Sans avoir vérifié que Salesforce est bien certifié EU-US Data Privacy Framework et sans DPA en bonne et due forme, ce flux constitue un transfert non conforme.

3. Le partage de fichiers enrichis avec un partenaire hors UE

Marc, Sales Ops dans une agence de lead gen, transmet chaque semaine des listes de prospects enrichies à un client dont l’équipe est basée en Inde. Même envoyé par email, ce fichier contient des données personnelles soumises au RGPD dès lors qu’il s’agit de personnes résidant dans l’UE.

Ces trois situations sont banales. Elles constituent pourtant des transferts internationaux non encadrés, exposant les entreprises concernées à des amendes pouvant atteindre 4 % de leur chiffre d’affaires mondial ou 20 millions d’euros.

Le cadre légal en 2026 : les 3 mécanismes autorisés

Le RGPD prévoit, à son chapitre V, une architecture précise pour encadrer les transferts internationaux. Trois mécanismes principaux s’appliquent aux situations B2B.

Mécanisme 1 : la décision d’adéquation

C’est la voie la plus simple : la Commission européenne a reconnu que certains pays offrent un niveau de protection des données “substantiellement équivalent” à celui de l’UE. Ces pays peuvent recevoir des données personnelles sans formalité supplémentaire.

En janvier 2026, les pays couverts par une décision d’adéquation complète incluent notamment : Andorre, l’Argentine, le Canada (secteur privé), les îles Féroé, Guernesey, l’Île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse, l’Uruguay et le Royaume-Uni.

Pour les États-Unis, une décision d’adéquation partielle a été adoptée en juillet 2023 sous le nom EU-US Data Privacy Framework (DPF). Elle permet de transférer des données vers les entreprises américaines qui ont adhéré à ce cadre. Attention : l’adhésion au DPF est volontaire et doit être vérifiée sur le registre officiel. Si votre outil américain n’y figure pas, cette base légale ne s’applique pas.

Mécanisme 2 : les clauses contractuelles types (CCT)

En l’absence de décision d’adéquation (ou si votre fournisseur n’est pas adhérent au DPF), la solution la plus répandue est l’adoption de clauses contractuelles types mises à jour par la Commission européenne en juin 2021. Ces CCT constituent un contrat standardisé entre l’exportateur de données (vous) et l’importateur (votre fournisseur hors UE), engageant ce dernier à respecter des garanties équivalentes au RGPD.

La plupart des grands fournisseurs américains (AWS, Google Cloud, Microsoft Azure, HubSpot, Salesforce) proposent des CCT intégrées dans leur Data Processing Agreement. Il vous revient de les signer — et de documenter cette signature dans votre registre des traitements.

Mécanisme 3 : les règles d’entreprise contraignantes (BCR)

Les Binding Corporate Rules concernent principalement les groupes internationaux qui transfèrent des données en interne entre entités situées dans différents pays. Elles nécessitent une approbation préalable de l’autorité de contrôle compétente (la CNIL pour les entreprises françaises). Ce mécanisme est plus complexe à mettre en place mais offre une couverture globale pour les groupes multi-entités.

Pour la grande majorité des équipes B2B (startups, PME, agences), le recours aux CCT encadrées dans un DPA est la solution pragmatique.

Cas pratiques : quand votre workflow d’enrichissement implique un transfert

Maintenant que le cadre est posé, voyons comment ces règles s’appliquent aux situations concrètes des équipes B2B.

Cas 1 : utiliser un outil d’enrichissement américain

Situation : vous utilisez un outil dont les serveurs sont aux États-Unis pour enrichir vos listes (email professionnel, téléphone, données entreprise).

Ce que vous devez vérifier :

1. L’outil est-il adhérent au DPF ? (vérifier sur le registre officiel)
2. Avez-vous signé un DPA incluant des CCT avec ce fournisseur ?
3. L’outil vous donne-t-il accès à un registre des sous-traitants ultérieurs ?

Ce qu’il faut faire : signer le DPA disponible dans les conditions contractuelles du fournisseur, et documenter cette base légale dans votre registre de traitements (obligatoire pour toute entreprise de plus de 250 salariés, recommandé en dessous).

Cas 2 : partager des données enrichies avec un partenaire hors UE

Situation : vous transmettez des listes de contacts enrichis à un partenaire commercial établi au Royaume-Uni, en Inde ou aux États-Unis.

Ce que vous devez vérifier :

• Le Royaume-Uni bénéficie d’une décision d’adéquation depuis 2021 (maintenue à ce jour) : un simple DPA suffit
• Les États-Unis : vérifier si votre partenaire est adhérent au DPF, sinon prévoir des CCT
• L’Inde : pas de décision d’adéquation — CCT obligatoires

Ce qu’il faut faire : ne jamais transférer de listes enrichies à un tiers sans avoir établi un accord contractuel incluant les garanties appropriées.

Cas 3 : automatiser des workflows via Zapier ou Make

Situation : vos données enrichies transitent via un outil d’automatisation (Zapier, Make) qui route les données vers votre CRM ou vos séquences d’emailing.

Ces plateformes d’automatisation sont elles-mêmes des sous-traitants au sens du RGPD. Elles peuvent introduire des transferts internationaux supplémentaires, notamment si elles utilisent des serveurs américains ou font appel à des sous-traitants en dehors de l’EEE.

Ce qu’il faut faire : vérifier les conditions de traitement des données de chaque outil d’automatisation, s’assurer qu’un DPA est en place, et examiner la liste de leurs sous-traitants ultérieurs (généralement disponible dans leur documentation de conformité).

Pour aller plus loin sur la qualification de vos contacts B2B et les bonnes pratiques de traitement, consultez notre article sur l’enrichissement de base de données.

Comment mettre vos transferts de données enrichies en conformité : guide étape par étape

Voici une méthode structurée pour auditer et sécuriser vos transferts internationaux, sans bloquer vos opérations.

Étape 1 : cartographiez vos flux de données enrichies

Listez tous les outils qui reçoivent, traitent ou transmettent vos données de prospection enrichies. Pour chaque outil, notez :

• Le nom de l’éditeur et le pays où sont hébergés les serveurs
• Le type de données traitées (email, téléphone, données d’entreprise)
• La présence ou l’absence d’un DPA signé

Résultat attendu : une cartographie claire de vos flux de données, identifiant les transferts internationaux existants.

Étape 2 : identifiez la base légale applicable à chaque transfert

Pour chaque transfert identifié, appliquez la grille suivante :

• Le pays destinataire bénéficie-t-il d’une décision d’adéquation ? → Transfert encadré
• Le fournisseur américain est-il adhérent au DPF ? → Transfert encadré
• Aucun des deux ? → CCT obligatoires, à inclure dans le DPA

Étape 3 : signez ou demandez un DPA à chaque fournisseur

Un Data Processing Agreement (accord de sous-traitance de données) est obligatoire dès lors qu’un prestataire traite des données personnelles pour votre compte. Pour les transferts hors UE, ce DPA doit intégrer des garanties appropriées (CCT ou référence au DPF).

La plupart des fournisseurs sérieux proposent un DPA en ligne. Si votre fournisseur n’en propose pas, c’est un signal d’alerte.

Étape 4 : réalisez une AITD si nécessaire

L’Analyse d’Impact des Transferts de Données (AITD) est recommandée par la CNIL depuis 2025 pour évaluer si les garanties contractuelles (CCT) sont suffisantes compte tenu des lois du pays destinataire — notamment si ce pays accorde à ses autorités des droits d’accès étendus aux données.

En pratique, une AITD est nécessaire lorsque vous transférez des données vers des pays dont la législation sur la surveillance est jugée incompatible avec les standards européens (la Chine, la Russie, mais aussi potentiellement les États-Unis pour certains traitements sensibles).

Étape 5 : documentez et tenez votre registre à jour

Toute la démarche de conformité ne vaut que si elle est documentée. Votre registre des traitements doit mentionner pour chaque traitement impliquant un transfert international :

• La base légale du transfert
• Le mécanisme utilisé (décision d’adéquation, CCT, DPF)
• Les coordonnées du responsable dans le pays tiers
• La référence au DPA signé

Pour approfondir les bonnes pratiques sur la vérification et la conformité de vos emails, consultez notre guide sur la vérification et le nettoyage de vos listes emails.

Les erreurs à éviter — et leur impact réel

Erreur 1 : penser que les données B2B ne sont pas des données personnelles

Impact : de nombreuses équipes estiment que les emails professionnels (prenom.nom@entreprise.com) ou les titres de poste ne sont pas des données personnelles. C’est faux. Dès qu’une donnée permet d’identifier directement ou indirectement une personne physique, elle est soumise au RGPD — y compris dans un contexte B2B.

Solution : traiter toute donnée de contact B2B comme une donnée personnelle à part entière, et appliquer les règles de conformité en conséquence.

Erreur 2 : ne pas vérifier l’adhésion de vos fournisseurs au DPF

Impact : beaucoup d’équipes supposent que leurs fournisseurs américains sont conformes parce qu’ils affichent “GDPR compliant” sur leur site. Or, l’adhésion au Data Privacy Framework est facultative et peut être révoquée. Si votre outil n’y figure plus, la base légale de votre transfert disparaît.

Solution : vérifier périodiquement sur dataprivacyframework.gov que vos fournisseurs américains sont bien enregistrés.

Erreur 3 : oublier les sous-traitants ultérieurs

Impact : votre outil d’enrichissement peut lui-même faire appel à des sous-traitants situés hors UE pour certains traitements (stockage, analyse, IA). Ces flux de second niveau constituent aussi des transferts internationaux que vous devez avoir encadrés dans votre chaîne contractuelle.

Solution : exiger de vos fournisseurs une liste exhaustive de leurs sous-traitants ultérieurs, et vérifier que chacun est couvert par des garanties appropriées.

Erreur 4 : traiter la conformité comme un projet ponctuel

Impact : le cadre juridique évolue en permanence — décisions d’adéquation révisées, nouvelles recommandations du CEPD, sanctions. Une conformité établie en 2023 peut devenir insuffisante en 2026 si les conditions ont changé.

Solution : intégrer une revue annuelle de vos transferts internationaux dans vos processus de gouvernance des données, et veiller à la CNIL et au CEPD pour anticiper les évolutions réglementaires.

À retenir

• Tout transfert de données personnelles enrichies vers un pays hors UE/EEE doit reposer sur un mécanisme légal : décision d’adéquation, DPF (pour les États-Unis), ou clauses contractuelles types.
• Un DPA signé avec chaque fournisseur qui traite vos données est obligatoire — qu’il soit européen ou non.
• Les emails professionnels, numéros de téléphone et données d’entreprise collectées sur des contacts B2B sont des données personnelles soumises au RGPD.
• La CNIL a enregistré +107 % de sanctions entre 2023 et 2024 : le risque d’amende est réel, même pour les PME et les startups.
• Une cartographie de vos flux de données enrichies est le point de départ indispensable de toute démarche de mise en conformité.
• Vérifiez régulièrement l’adhésion de vos fournisseurs américains au Data Privacy Framework sur le registre officiel.

Pour comprendre les bases légales applicables à votre stratégie de prospection au sens large, notre article sur le cold emailing et le RGPD est un complément utile.

Consultez également le glossaire RGPD compliance de Derrick pour clarifier les termes clés liés à la protection des données.

Conclusion : conformité et performance ne s’opposent pas

Les transferts internationaux de données enrichies ne sont pas une contrainte réservée aux grandes entreprises avec un service juridique dédié. Ils concernent chaque startup, chaque PME, chaque agence B2B qui enrichit ses données avec des outils dont les serveurs ne sont pas en Europe.

La bonne nouvelle : se mettre en conformité n’implique pas d’abandonner vos outils ni de ralentir votre prospection. Il s’agit d’identifier les flux à risque, de signer les DPA manquants, et de documenter vos bases légales. Un travail de quelques jours qui vous protège durablement.

Et si vous souhaitez garder le contrôle sur vos données enrichies en travaillant directement dans un environnement que vous maîtrisez, Derrick permet d’enrichir vos listes B2B — emails, téléphones, données LinkedIn — sans quitter Google Sheets.

Enrichissez vos données B2B en gardant le contrôle

Derrick enrichit vos prospects directement dans Google Sheets : emails vérifiés, téléphones, données entreprises. Sans export vers des plateformes tierces.

Essayer gratuitement →

Vous avez des questions sur la conformité de votre stack actuel ? La page data enrichment de Derrick vous donne un aperçu complet des workflows d’enrichissement disponibles et de leur fonctionnement.

FAQ

Qu’est-ce qu’un transfert international de données enrichies ? C’est tout mouvement de données personnelles (emails, téléphones, données de contact B2B) vers un pays situé hors de l’UE et de l’EEE, dès lors que ces données font ou vont faire l’objet d’un traitement dans ce pays. L’utilisation d’un outil d’enrichissement dont les serveurs sont aux États-Unis constitue un transfert international.

Mon outil d’enrichissement américain est-il conforme au RGPD ? Vérifiez deux éléments : l’outil est-il enregistré au Data Privacy Framework (sur dataprivacyframework.gov) ? Propose-t-il un Data Processing Agreement incluant des clauses contractuelles types ? Si les deux réponses sont oui, le transfert dispose d’une base légale. Sinon, vous êtes exposé à un risque de non-conformité.

Dois-je signer un DPA même avec un fournisseur européen ? Oui. Un DPA (accord de sous-traitance de données) est obligatoire dès lors qu’un prestataire traite des données personnelles pour votre compte, quelle que soit sa localisation. Il encadre les responsabilités de chaque partie et est exigé par l’article 28 du RGPD.

Les données professionnelles (email pro, titre de poste) sont-elles concernées par le RGPD ? Oui. Toute donnée permettant d’identifier directement ou indirectement une personne physique est une donnée personnelle au sens du RGPD — y compris dans un contexte B2B. L’email prenom.nom@entreprise.com est une donnée personnelle, tout comme un numéro de téléphone direct ou un profil LinkedIn.

Quelles sanctions risque-t-on en cas de transfert non conforme ? Les autorités de protection des données peuvent prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé. En 2025, TikTok a été sanctionné à hauteur de 530 millions d’euros notamment pour des transferts de données vers la Chine sans base légale suffisante.