Skip to main content
Blog
Blog

Comment surveiller les transferts transfrontaliers de données sur votre site web | RGPD, CCPA

Votre site web envoie probablement des données personnelles vers d'autres pays. Découvrez comment suivre les transferts transfrontaliers de données pour répondre aux exigences du RGPD et du CCPA.

Feb 12, 2026 11 min read
Comment surveiller les transferts transfrontaliers de données - Couverture du blog

En résumé

  • Le transfert transfrontalier de données se produit lorsque des données personnelles collectées sur votre site web sont envoyées vers des serveurs situés dans un autre pays. L'article 30 du RGPD (RoPA) et l'article 28 (obligations des sous-traitants), ainsi que les exigences de divulgation du CCPA, imposent aux propriétaires de sites web de documenter où les données sont envoyées.
  • Commencez par inventorier qui collecte des données (tous les collecteurs de données tiers sur votre site). Associez chaque collecteur de données à une base juridique.
  • Surveillez où les données sont réellement envoyées. Examinez les domaines externes, les régions d'hébergement et les sous-traitants. Vous pouvez obtenir un aperçu rapide par inspection manuelle dans les outils de développement du navigateur, ou utiliser un outil automatisé comme cside Privacy Watch pour une surveillance continue.
  • Ces informations alimentent votre documentation de conformité en matière de confidentialité via les RoPA, les DPA, les divulgations de confidentialité et les audits d'incidents. Par ailleurs, des changements soudains dans les destinations des données (vers la Russie ou la Chine, par exemple) sont des signes avant-coureurs d'une violation de données sur votre site web.

4 étapes pour suivre les transferts de données transfrontaliers et internationaux sur votre site web

1. Inventorier qui transfère des données sur votre site

Exemple d'inventaire de collecteurs de données tiers pour le suivi des transferts transfrontaliers de données
Exemple d'inventaire de collecteurs de données tiers pour le suivi des transferts transfrontaliers de données (image du tableau de bord cside)

Pour suivre les transferts transfrontaliers de données, il faut comprendre où la collecte de données commence réellement. Cela inclut à la fois les éléments internes que vous contrôlez directement et les services tiers intégrés sur votre site.

Collecte de données en première partie (votre propre équipe) :

Les composants internes tels que les formulaires de contact, les intégrations CRM et les outils d'analyse développés en interne peuvent déclencher des flux de données sortants. Il est facile de passer à côté de points de collecte sur votre site ou d'ignorer qui en est responsable (marketing, support ou développeurs).

Collecte de données par des tiers (fournisseurs et outils) :

Les scripts tiers méritent une attention particulière. La plupart des équipes ne savent pas comment les scripts tiers fonctionnent en coulisses, et il en existe des dizaines sur un site web typique selon les recherches du Web Almanac. Des outils tels que les plateformes d'analyse, les pixels publicitaires, les widgets de chat, les scripts de tests A/B ou les bibliothèques de développement se chargent depuis des domaines externes et peuvent envoyer des données personnelles au-delà des frontières sans autorisation.

Ces scripts tiers chargent des scripts de quatrième partie, qui peuvent charger des scripts de cinquième partie, et ainsi de suite. Vous avez peut-être approuvé le script tiers, mais vous êtes aveugle à tous les sous-traitants en aval de la chaîne d'approvisionnement.


Les « inventaires de fournisseurs » qui vivent dans les outils de conformité générale sont un bon point de départ. Mais ils ne surveillent pas l'exécution du code dans le navigateur. Nous avons discuté avec des entreprises qui ont réalisé qu'elles avaient encore du code actif traitant des données sur leur site web, provenant de fournisseurs résiliés des mois auparavant.


La création d'un inventaire manuel de toutes les collectes de données tierces sur votre site web implique :

  • L'inspection du code source de votre site pour repérer les extraits de code tiers
  • L'inspection des gestionnaires de balises (comme Google Tag Manager) pour détecter les traceurs de données cachés
  • La répétition de ce processus en continu à mesure que de nouveaux scripts sont ajoutés, supprimés ou mis à jour.

Les outils de sécurité web comme cside automatisent ce processus grâce à une surveillance continue. Vous pouvez démarrer avec une analyse gratuite des scripts tiers de votre site web.

2. Comprendre quelles données sont transférées sur votre site

Identification des données collectées par des tiers (tableau de bord cside)
Identification des données collectées par des tiers (tableau de bord cside)

Une fois que vous connaissez les points de collecte internes et tiers sur votre site, votre prochain objectif est de comprendre quelles données ils collectent réellement et envoient hors site.

  • Il y a les données évidentes comme les noms, adresses e-mail et numéros de téléphone.
  • Les scripts tiers capturent discrètement des identifiants tels que les adresses IP, les cookies, les identifiants de session, les informations sur les appareils ou les métadonnées de localisation.
  • Des données sensibles sont saisies via les flux KYC (permis de conduire, passeports) et les chatbots de support reçoivent des images de données de compte de la part des clients.

Certains points de données individuels sont respectueux de la vie privée, mais leur combinaison peut qualifier l'ensemble comme données personnelles au sens du RGPD et peut constituer un partage au sens du CCPA (même si l'intention était simplement de mesurer l'audience du site).

C'est pourquoi chaque flux de données doit être rattaché à sa catégorie de base juridique pour chaque cadre réglementaire auquel vous vous conformez.

La mise en correspondance des types de données avec leur justification légale est la façon dont les organisations démontrent leur responsabilité lors des audits pour les divulgations de « partage » au titre du CCPA et répondent aux questions réglementaires sur les droits des personnes concernées.

Votre inventaire devrait comporter des colonnes avec quelque chose comme ceci :

Traceur → Type de données → Base juridique

Pour les données sensibles, une vigilance accrue s'impose. Les informations de santé, les données de localisation précises, les identifiants biométriques ou les opinions politiques nécessitent souvent un consentement explicite et des garanties renforcées. Même une collecte accidentelle peut créer des obligations de conformité, en particulier dans les secteurs réglementés comme la santé.

3. Surveiller les données sont envoyées

Carte visualisée des flux de données transfrontaliers (tableau de bord cside)
Carte visualisée des flux de données transfrontaliers (tableau de bord cside)

Vous avez maintenant besoin de visibilité sur la destination des données une fois qu'elles quittent le navigateur de l'utilisateur. Le code interne et tiers envoie des données vers des domaines externes pour le stockage ou le traitement. Ces serveurs externes peuvent être hébergés dans différents États ou pays.

  • Votre formulaire de paiement capture l'adresse e-mail d'un client en Californie, mais les serveurs de votre fournisseur de messagerie sont à Francfort.
  • Un visiteur à Londres charge votre page d'accueil. Un script d'analyse envoie des données vers des serveurs aux États-Unis ou en Asie-Pacifique. Vous venez de déclencher un flux de données international.

Ces destinations déterminent si un flux de données devient un transfert transfrontalier avec des implications réglementaires.

Le Département de la Justice des États-Unis restreint les transferts importants de données personnelles sensibles vers des pays préoccupants, notamment la Chine, la Russie, l'Iran, la Corée du Nord, Cuba et le Venezuela.

Il ne s'agit pas d'un exercice de révision ponctuel. Les fournisseurs tiers et les SDK modifient fréquemment leur code ou ajoutent de nouveaux sous-traitants. Une seule mise à jour peut rediriger les flux de données vers un nouveau pays sans préavis. Les obligations du RGPD Article 44 et du CCPA §1798.100 en matière de partage et de divulgation supposent une responsabilité continue dans le suivi des mouvements de données.

Les vérifications manuelles à l'aide des DevTools du navigateur ou d'outils de surveillance réseau comme l'onglet « Network » de Chrome permettent de voir instantanément où les requêtes sont envoyées. Cependant, cela devient ingérable en raison des changements de scripts et de domaines. De plus, ces vérifications manuelles ne fournissent qu'un aperçu ponctuel, ce qui les rend insuffisantes pour la documentation de conformité.

4. Documenter les transferts transfrontaliers pour les exigences réglementaires (RGPD et CCPA)

Lorsque les régulateurs demandent comment les données personnelles quittent votre site web, ils attendent une réponse documentée, et non reconstituée après coup.

Au titre du RGPD, les transferts transfrontaliers sont explicitement couverts par les Articles 44 à 50. Ces articles imposent aux organisations d'enregistrer où les données sont envoyées, quelles garanties s'appliquent à ces données et le mécanisme juridique soutenant chaque transfert.

L'Article 30 du RGPD (RoPA) exige une documentation sur les mouvements de données vers des pays tiers ou des organisations internationales.

L'Article 28 du RGPD (obligations des sous-traitants) exige que les DPA indiquent :

  • Quels sous-traitants sont utilisés
  • Où les données sont traitées
  • Comment les transferts ultérieurs sont gérés

Les DPA reflètent ce qu'un fournisseur affirme être vrai. Sans surveillance des scripts tiers, il est impossible de vérifier que ces scripts se comportent réellement de cette façon sur votre site. Si un fournisseur tiers est compromis lors d'une attaque sur la chaîne d'approvisionnement, les DPA seront ignorés et une collecte excessive de données aura lieu sans que votre équipe s'en aperçoive.

Le CCPA met l'accent sur la transparence ; les entreprises doivent démontrer :

  • Quels tiers reçoivent des données personnelles
  • Si ces données constituent une vente ou un partage
  • Comment les droits des consommateurs s'appliquent à ces divulgations

Comment cside aide au suivi des transferts transfrontaliers de données

Tableau de bord cside Privacy Watch - Conformité RGPD, CCPA, HIPAA pour les sites web
Tableau de bord cside Privacy Watch - Conformité RGPD, CCPA, HIPAA pour les sites web

cside Privacy Watch surveille chaque script tiers sur votre site web pour détecter les risques de sécurité et les violations cachées de la vie privée. Les ingénieurs en sécurité web de cside sont spécialisés dans la surveillance de l'exécution du code dans le navigateur et ont développé Privacy Watch après avoir constaté que les logiciels de conformité traditionnels ne détectaient pas les événements d'exfiltration de données.

En tant que couche dans la pile GRC d'entreprise, la plateforme de surveillance de sites web de cside vous aide à :

  • Suivre tous les points de collecte de données sur votre site web (depuis le code interne et les fournisseurs tiers)
  • Alerter lorsque les destinations des données changent ou que de nouvelles données sont collectées par des fournisseurs
  • Détecter le code malveillant injecté sur votre site qui vole les données des utilisateurs (web skimming)
  • Identifier le code tiers mal configuré sur votre site web qui enfreint la conformité en matière de confidentialité
  • Comparer le code du site web en production aux inventaires de fournisseurs dans vos outils GRC pour s'assurer que les fournisseurs résiliés n'ont plus de code présent sur votre site

Autres bonnes pratiques pour les transferts transfrontaliers de données

Examinez les politiques de vos fournisseurs

Commencez par la politique de confidentialité et le DPA du fournisseur. Recherchez :

  • Où les données sont traitées
  • Quels sous-traitants sont impliqués
  • Les garanties mises en place par les sous-traitants

Veillez à vérifier les politiques déclarées avec ce que la surveillance technique révèle. Les scripts tiers peuvent se comporter différemment des DPA déclarés en cas de mauvaises configurations ou d'injections de code malveillant. Vous pouvez voir des exemples de suivi des DPA sur notre blog comment rendre votre site web conforme au RGPD

Chiffrez les données en transit et au repos

Le chiffrement est une garantie importante lorsque des données personnelles transitent entre pays et entre outils comme les CRM, les entrepôts de données et les API. Il réduit l'exposition en cas d'interception ou d'accès par des parties non autorisées.

À noter : le chiffrement entre généralement en jeu après que les données soumises par un utilisateur (comme un formulaire) ont intégré le périmètre de sécurité de votre réseau/API. Les données peuvent être volées avant d'entrer dans ce périmètre via le web skimming.

Quelles lois imposent la documentation des transferts transfrontaliers de données :

Cadre réglementaire Exigence / Article Ce qu'il impose
RGPD Articles 44 à 50 (Transferts vers des pays tiers) Les transferts hors UE/EEE nécessitent des garanties approuvées
RGPD Article 30 (RoPA) Les responsables du traitement doivent documenter les destinataires dans les pays tiers et les garanties utilisées
RGPD Article 28 (DPA) Les DPA doivent définir les lieux de traitement et les transferts ultérieurs vers les sous-traitants
CCPA / CPRA §1798.100 (Transparence) Les entreprises doivent divulguer les catégories de données personnelles collectées et partagées
Département de la Justice des États-Unis Programme de sécurité des données Restrictions sur les transferts transfrontaliers de données vers la Chine, la Russie, l'Iran, la Corée du Nord, Cuba et le Venezuela
Juan Combariza
Growth Marketer

Researching & writing about client side security.

FAQ

Frequently Asked Questions

Un transfert transfrontalier de données se produit lorsque les données utilisateurs collectées sur votre site web sont envoyées vers des serveurs situés dans un autre pays. Cela implique souvent des scripts tiers qui peuvent transmettre des données à des sous-traitants ultérieurs, parfois appelés scripts de quatrième partie, créant ainsi une chaîne d'approvisionnement de flux de données invisible pour votre organisation.

Commencez par identifier quels outils collectent des données personnelles et où ils les envoient. De nombreux sites web s'appuient sur des scripts tiers qui transmettent des informations sans autorisation explicite. Comme les fournisseurs mettent fréquemment à jour leur code de script, le périmètre de la collecte de données et la destination des transferts peuvent changer de manière inattendue, à l'insu de votre équipe.

Oui. Les scripts tiers envoient souvent des données vers des serveurs situés dans d'autres pays. Les exemples courants incluent les outils d'analyse, les pixels publicitaires, les widgets de chat et les scripts de tests A/B, qui peuvent tous initier des flux de données transfrontaliers.

Oui, mais le RGPD impose des garanties strictes. Les articles 44 à 50 définissent les conditions requises pour des transferts transfrontaliers de données licites, notamment les évaluations des risques liés aux transferts, les garanties appropriées et la documentation. Les entreprises doivent également tenir des RoPA et des DPA précisant où les données sont envoyées et quels sous-traitants les traitent.

Des plateformes comme cside Privacy Watch peuvent suivre la collecte de données par des tiers, visualiser les flux de données transfrontaliers et organiser les résultats en rapports spécifiques à chaque réglementation. Des outils de cartographie des données plus larges peuvent offrir une visibilité supplémentaire sur les transferts effectués dans des systèmes extérieurs à votre site web, comme les CRM ou les entrepôts de données.

Vous pouvez le faire manuellement en utilisant les DevTools du navigateur pour inspecter les requêtes sortantes, puis en effectuant des recherches IP ou d'hébergement pour identifier le pays du serveur. Vous pouvez également automatiser ce processus avec une plateforme de surveillance comme cside Privacy Watch, qui suit en continu où les données du site web sont envoyées et visualise les transferts transfrontaliers en temps réel.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration