RGPD et freelance hors UE : faire travailler un prestataire extra-européen sur des données européennes
Un freelance hors UE qui accède à des données personnelles européennes, c'est un transfert hors UE. Ce que le RGPD exige, et comment le sécuriser dans la chaîne.
Un freelance tech excellent est disponible à Dubaï, Bali ou ailleurs hors UE, mais votre ESN doit signer un contrat propre, facturable en France, compatible RGPD et défendable côté client final.
C’est souvent là que le sujet se bloque.
Le besoin métier est clair : sécuriser une compétence rare, souvent senior, pour une prestation technique précise. Le risque, lui, est moins visible : accès à un environnement client, manipulation de données personnelles, transfert hors UE, sous-traitance en chaîne, absence de fournisseur européen signable, clauses contractuelles incomplètes.
Pour une ESN, le sujet “RGPD et freelance hors UE” n’est donc pas seulement juridique. C’est un sujet de delivery, de conformité contractuelle et de gestion du risque fournisseur.
Cet article explique les points à vérifier avant de contractualiser avec un freelance tech basé hors Union européenne, et comment structurer l’intervention pour réduire les frictions côté ESN et côté client final.
Cet article est une information générale. Il ne constitue pas un conseil juridique, fiscal ou réglementaire personnalisé. Chaque situation doit être analysée avec vos conseils habituels, notamment selon les pays concernés, les données traitées, le contrat client final et l’organisation réelle de la mission.
Pourquoi un freelance hors UE pose un sujet RGPD spécifique pour une ESN
Un freelance basé hors UE peut parfaitement intervenir sur une prestation tech pour une ESN française.
Le point sensible apparaît dès qu’il accède à des données personnelles.
Le RGPD ne s’arrête pas aux frontières de l’Union européenne. Si une personne située hors UE consulte, traite, extrait, héberge ou maintient un système contenant des données personnelles, l’ESN doit se poser une question simple : y a-t-il un transfert hors UE ?
Dans beaucoup de missions tech, la réponse peut être oui.
Exemples fréquents :
- accès à une base de production contenant des utilisateurs ;
- intervention sur un CRM, un ERP ou un outil support ;
- maintenance d’une application SaaS ;
- analyse de logs contenant des identifiants, adresses IP ou emails ;
- accès à un dépôt de code contenant des jeux de données ;
- support niveau 2 ou niveau 3 sur incidents clients ;
- administration cloud ou sécurité avec visibilité sur des données.
Même si le freelance ne “copie” pas les données, un simple accès depuis un pays tiers peut suffire à caractériser un transfert hors UE selon l’analyse RGPD applicable.
Pour une ESN, ignorer ce point peut créer un décalage avec ses propres engagements envers le client final.
Les trois questions à poser avant toute mission
Avant de contractualiser avec un freelance tech hors UE, l’ESN doit clarifier trois éléments.
1. Le freelance accède-t-il à des données personnelles ?
Le RGPD ne concerne pas uniquement les fichiers clients.
Une donnée personnelle peut être directe ou indirecte : nom, email, identifiant utilisateur, adresse IP, ticket support, logs applicatifs, données RH, données de navigation, données de paiement, données médicales, etc.
Une mission de développement peut sembler technique, mais devenir sensible si le freelance accède à l’environnement de production.
À l’inverse, une mission isolée sur un environnement de test avec données anonymisées peut réduire fortement le risque.
La qualification dépend donc de la réalité opérationnelle, pas du libellé de la mission.
2. Qui est responsable de traitement, sous-traitant et sous-traitant ultérieur ?
Dans une chaîne classique :
- le client final est souvent responsable de traitement ;
- l’ESN peut être sous-traitant du client final ;
- le freelance hors UE peut devenir sous-traitant ultérieur s’il traite des données pour le compte de l’ESN ou du client final.
Cette chaîne doit être cohérente contractuellement.
Si le contrat client final interdit les sous-traitants ultérieurs non autorisés, l’ESN ne peut pas faire intervenir un freelance hors UE sans validation préalable.
Si le contrat impose une localisation UE des données ou des intervenants, la mission doit être structurée autrement.
Le risque ne vient pas seulement du RGPD. Il vient aussi du non-respect du contrat principal.
3. Le pays du freelance bénéficie-t-il d’un mécanisme de transfert valable ?
Le RGPD encadre les transferts de données personnelles vers les pays situés hors Espace économique européen.
Plusieurs situations existent :
- pays bénéficiant d’une décision d’adéquation ;
- transfert encadré par des clauses contractuelles types ;
- mesures supplémentaires techniques, organisationnelles ou contractuelles ;
- cas particuliers prévus par le RGPD.
Pour beaucoup de destinations prisées par les freelances tech — Dubaï, Bali, Thaïlande, îles hors UE — une analyse spécifique est nécessaire.
Les clauses contractuelles types ne sont pas un simple copier-coller. Elles doivent correspondre aux rôles des parties, à la nature des données, aux accès réels et aux mesures de sécurité mises en place.
RGPD et freelance hors UE : le vrai risque pour l’ESN
Le risque principal pour l’ESN n’est pas seulement “avoir un freelance à l’étranger”.
Le risque est de ne pas pouvoir démontrer que l’intervention est maîtrisée.
En cas d’audit client, de revue DPO, de questionnaire sécurité ou d’incident, l’ESN doit pouvoir répondre clairement :
- qui intervient ;
- depuis quel pays ;
- pour quelle prestation ;
- avec quels accès ;
- sur quelles données ;
- sous quel contrat ;
- avec quelles clauses de sous-traitance ;
- selon quelles mesures de sécurité ;
- avec quelle autorisation du client final si nécessaire.
Si ces réponses sont dispersées entre emails, devis incomplets et factures étrangères, le dossier devient difficile à défendre.
Pour un décideur ESN, le sujet est donc très concret : comment conserver l’agilité du freelance tout en présentant un fournisseur propre, documenté et compatible avec les exigences B2B françaises.
Le transfert hors UE : ce qu’il faut comprendre
Un transfert hors UE peut exister dès lors que des données personnelles sont rendues accessibles depuis un pays tiers.
Cela peut inclure :
- un accès VPN ;
- une connexion à un outil cloud ;
- une consultation de tickets ;
- une intervention sur une base ;
- une extraction temporaire ;
- une prise en main à distance ;
- un accès à des logs ou sauvegardes.
Le fait que les serveurs soient en Europe ne suffit pas toujours à écarter le sujet.
Si le freelance est physiquement situé hors UE et peut consulter les données, l’ESN doit analyser ce flux.
L’approche attendue est pragmatique : cartographier les accès, limiter ce qui doit l’être, documenter les garanties, et éviter les interventions trop larges ou mal cadrées.
Une mission “remote” hors UE sans accès à données personnelles n’a pas le même profil de risque qu’une mission de support production avec accès complet aux comptes utilisateurs. La conformité RGPD se travaille à partir des accès réels, pas seulement du lieu de résidence du freelance.
Les clauses contractuelles types ne suffisent pas toujours seules
Les clauses contractuelles types, souvent appelées CCT ou SCC pour Standard Contractual Clauses, sont un mécanisme central pour encadrer certains transferts hors UE.
Mais elles ne règlent pas tout automatiquement.
Elles doivent être articulées avec :
- le contrat de prestation ;
- l’accord de sous-traitance RGPD ou DPA ;
- les engagements de confidentialité ;
- les mesures de sécurité ;
- les restrictions d’accès ;
- les obligations de notification d’incident ;
- les conditions de recours à des sous-traitants ultérieurs ;
- les exigences du client final.
Après la jurisprudence européenne et les recommandations des autorités, les organisations doivent aussi apprécier le niveau de protection effectif dans le pays de destination, notamment lorsque les données sont sensibles ou les accès importants.
C’est souvent là que les ESN ont besoin d’un dossier contractuel plus robuste qu’un simple devis freelance.
Ce que votre client final peut vous demander
Un client final structuré peut demander à l’ESN :
- la liste des sous-traitants ultérieurs ;
- la localisation des intervenants ;
- les pays depuis lesquels les accès sont réalisés ;
- les mesures techniques et organisationnelles ;
- les clauses de transfert hors UE ;
- le DPA signé ;
- les preuves de confidentialité ;
- les procédures d’incident ;
- la politique de contrôle des accès ;
- la justification du besoin d’accès aux données ;
- l’existence ou non de données sensibles ;
- les conditions de suppression ou restitution des données.
Ces demandes peuvent arriver au démarrage, mais aussi en cours de mission.
Le problème est alors opérationnel : si le freelance hors UE a été intégré sans structuration contractuelle, l’ESN doit régulariser dans l’urgence.
C’est précisément ce que les directions achats, DPO et RSSI veulent éviter.
Structurer la mission en prestation, pas en mise à disposition
Pour une ESN, le cadrage contractuel ne doit pas seulement traiter le RGPD.
Il doit aussi qualifier correctement la relation commerciale.
L’intervention doit être structurée comme une prestation : périmètre, objectifs, livrables, responsabilités, calendrier, modalités de validation, obligations de confidentialité et sécurité.
La logique doit rester celle d’un fournisseur réalisant une prestation de résultat, pas celle d’une mise à disposition informelle de personnel.
Cela permet de réduire plusieurs risques :
- flou sur les responsabilités ;
- dépendance opérationnelle excessive ;
- absence de livrables ;
- difficulté à documenter la sous-traitance ;
- confusion entre supervision technique et lien hiérarchique ;
- difficulté à répercuter les engagements client final en dos-à-dos.
Le bon réflexe consiste à formaliser ce qui est attendu, ce qui est livré, ce qui est accessible, et ce qui est interdit.
Les mesures opérationnelles qui réduisent le risque RGPD
La conformité ne repose pas uniquement sur le contrat.
Elle dépend aussi de la manière dont la mission est exécutée.
Voici les mesures les plus fréquentes à envisager, selon le contexte :
- limiter les accès au strict nécessaire ;
- privilégier les environnements de test ou de préproduction ;
- utiliser des données anonymisées ou pseudonymisées lorsque possible ;
- interdire les exports locaux non autorisés ;
- encadrer les connexions VPN ;
- activer l’authentification forte ;
- journaliser les accès ;
- prévoir la révocation des droits en fin de mission ;
- documenter les habilitations ;
- séparer les rôles de développement, administration et production ;
- prévoir une procédure d’incident ;
- formaliser la restitution ou suppression des éléments en fin de prestation.
Ces mesures doivent être cohérentes avec le niveau de risque.
Un accès ponctuel à un dépôt de code sans données personnelles n’appelle pas le même niveau d’encadrement qu’une administration de production sur données clients.
Avant de parler contrat, listez les accès nécessaires. Si l’accès à la production n’est pas indispensable, évitez-le. Si des données personnelles ne sont pas nécessaires, retirez-les. Le meilleur transfert hors UE est souvent celui qui n’a pas lieu.
La difficulté spécifique des freelances établis hors UE
De nombreux freelances tech établis hors Union européenne sont compétents, disponibles et fiscalement résidents dans leur pays de vie réel.
Cela ne pose pas de problème en soi.
Mais côté ESN française, plusieurs frictions apparaissent :
- fournisseur étranger difficile à référencer ;
- facturation hors UE à vérifier ;
- absence de documentation conformité ;
- incertitude sur le traitement TVA ;
- contrat freelance non aligné avec le contrat client final ;
- difficulté à imposer un DPA complet ;
- risque de sous-traitance non déclarée ;
- absence de dossier fournisseur compatible avec les achats ;
- risque de décalage entre la réalité de la mission et les documents signés.
Sur le plan fiscal, le principe de réalité reste essentiel : la situation doit correspondre à une résidence réelle hors UE, à une activité remote réelle, et à l’absence de présence organisée en France. Une configuration saine n’a rien à voir avec une entité-coquille créée pour masquer une activité exercée en France, qui serait abusive et à proscrire.
StelarWork ne vend pas de défiscalisation et ne crée pas de statut fiscal. Le cas traité est celui d’un freelance déjà établi hors UE dans des conditions réelles, pour lequel l’ESN a besoin d’un fournisseur français conforme et contractuellement exploitable.
Comment StelarWork s’insère dans la chaîne contractuelle
StelarWork intervient comme société française qui contracte en son nom propre avec l’ESN.
Concrètement :
- l’ESN contractualise avec un fournisseur français ;
- StelarWork facture l’ESN ;
- StelarWork contractualise avec le freelance hors UE ;
- StelarWork paie le freelance ;
- les obligations de conformité, de sous-traitance, de confidentialité, de facturation et de documentation sont structurées dans la chaîne ;
- les engagements sont travaillés en dos-à-dos avec les exigences de la mission.
L’objectif est de transformer un freelance difficilement contractualisable en fournisseur français plus lisible pour l’ESN, sans masquer la réalité de l’intervention ni contourner les exigences RGPD.
StelarWork n’agit pas comme employeur du freelance, ne conclut pas de contrat au nom du freelance et ne se présente pas comme son représentant en France. La relation est structurée autour d’une prestation B2B, avec des obligations contractuelles adaptées.
Pour l’ESN, l’intérêt est opérationnel : un interlocuteur contractuel français, un dossier plus propre, une facturation plus simple, et une chaîne documentaire conçue pour réduire les frictions avec les achats, le juridique, le DPO ou le client final.
Ce que StelarWork peut aider à clarifier côté RGPD
Dans une mission impliquant un freelance hors UE, StelarWork peut aider à structurer les points suivants :
- qualification des rôles dans la chaîne contractuelle ;
- identification des accès aux données personnelles ;
- cohérence entre contrat ESN, contrat client final et contrat freelance ;
- obligations de confidentialité ;
- clauses de sous-traitance ;
- encadrement du transfert hors UE ;
- intégration de clauses contractuelles types lorsque nécessaire ;
- description des mesures techniques et organisationnelles ;
- conditions de notification d’incident ;
- règles de suppression ou restitution ;
- documentation attendue côté fournisseur.
Cette structuration ne remplace pas l’analyse du DPO ou du conseil juridique de l’ESN.
Elle vise à éviter une situation fréquente : un excellent freelance validé par les équipes techniques, mais bloqué ensuite par les achats, la conformité ou le client final faute de cadre exploitable.
Les erreurs à éviter
Certaines pratiques exposent inutilement l’ESN.
Faire intervenir le freelance avant le cadrage RGPD
C’est le cas le plus fréquent.
La mission démarre vite. Les accès sont ouverts. Le contrat est finalisé ensuite.
En cas de question client ou d’incident, l’ESN doit alors reconstruire la conformité après coup.
C’est plus fragile.
Utiliser un contrat générique sans DPA
Un contrat de prestation classique ne suffit pas si le freelance traite des données personnelles pour le compte de l’ESN ou du client final.
Il faut encadrer la sous-traitance RGPD, les instructions, la confidentialité, la sécurité, les incidents et la fin de mission.
Oublier l’autorisation du client final
Si l’ESN est elle-même sous-traitante du client final, le contrat principal peut imposer une autorisation préalable des sous-traitants ultérieurs.
Ne pas respecter cette clause peut créer un risque contractuel indépendant du RGPD.
Laisser des accès trop larges
Un accès administrateur complet “par confort” est difficile à défendre si la mission ne l’exige pas.
Le principe de minimisation s’applique aussi aux habilitations.
Confondre résidence hors UE et montage artificiel
Un freelance réellement établi hors UE, qui travaille à distance depuis son pays de résidence, n’est pas comparable à une structure étrangère artificielle utilisée pour facturer une activité exercée en France.
La première configuration peut être saine si elle est documentée. La seconde doit être écartée.
Checklist ESN avant de signer avec un freelance hors UE
Avant de lancer la mission, vérifiez au minimum :
- Le pays réel de résidence et d’exécution de la prestation est identifié.
- La mission est décrite en prestation, avec objectifs et livrables.
- Les données personnelles accessibles sont cartographiées.
- Le besoin d’accès à la production est justifié.
- Les données sensibles éventuelles sont identifiées.
- Le contrat client final autorise la sous-traitance concernée.
- Le freelance est déclaré comme sous-traitant ultérieur si nécessaire.
- Un DPA ou des clauses RGPD adaptées sont prévus.
- Les clauses contractuelles types sont envisagées si transfert hors UE.
- Les mesures de sécurité sont documentées.
- Les accès sont limités et révocables.
- La confidentialité est contractualisée.
- La procédure d’incident est prévue.
- Les engagements sont alignés en dos-à-dos avec le contrat client.
- La facturation et la chaîne fournisseur sont acceptables pour les achats.
Cette checklist ne remplace pas une analyse complète, mais elle permet de détecter rapidement les points bloquants.
Pourquoi le sujet doit être traité avant le closing commercial
Pour une ESN, le mauvais scénario est connu : le client final valide le profil, l’équipe projet veut démarrer, mais le juridique bloque la contractualisation.
Le risque augmente lorsque le freelance est hors UE, car plusieurs sujets se cumulent :
- conformité RGPD ;
- transfert hors UE ;
- sous-traitance ultérieure ;
- achats fournisseur ;
- facturation internationale ;
- responsabilité contractuelle ;
- sécurité des accès ;
- cohérence avec le contrat client.
Traiter ces points en amont permet d’éviter une négociation sous pression.
Cela permet aussi de présenter au client final un dispositif clair : qui réalise la prestation, sous quel cadre, avec quels accès, et quelles garanties.
Dans les environnements grands comptes, cette clarté peut faire la différence entre une mission acceptée et une mission bloquée.
Ce qu’une ESN doit attendre d’un dispositif conforme
Un dispositif sérieux ne promet pas l’absence totale de risque.
Il doit plutôt viser à réduire les zones grises.
Pour une mission avec freelance hors UE, l’ESN doit chercher :
- un fournisseur identifiable et contractuellement responsable ;
- un contrat de prestation clair ;
- une chaîne de sous-traitance documentée ;
- un encadrement RGPD cohérent ;
- un mécanisme de transfert hors UE adapté ;
- des accès limités et justifiés ;
- une facturation exploitable ;
- une documentation présentable aux parties prenantes internes et externes.
C’est cette logique que StelarWork défend : permettre à une ESN de travailler avec un freelance tech hors UE lorsque le profil est pertinent, sans traiter la conformité comme un détail de fin de parcours.
FAQ — RGPD et freelance hors UE
Un freelance basé hors UE peut-il travailler pour une ESN française ?
Oui, c’est possible. Le point clé est de structurer la mission correctement : contrat, facturation, sous-traitance, accès aux données, sécurité et transfert hors UE si des données personnelles sont concernées.
La résidence hors UE du freelance n’est pas interdite en soi. Elle doit simplement être cohérente avec la réalité de la prestation et compatible avec les engagements de l’ESN envers son client final.
Un accès distant depuis Dubaï ou Bali est-il un transfert hors UE ?
Il peut l’être si le freelance accède à des données personnelles depuis un pays situé hors Espace économique européen.
Même si les serveurs sont en Europe, l’accès distant à des données personnelles depuis un pays tiers doit être analysé comme un possible transfert hors UE.
Les clauses contractuelles types suffisent-elles ?
Pas toujours.
Les clauses contractuelles types sont un outil important, mais elles doivent être adaptées aux rôles des parties, aux données traitées, au pays concerné, aux mesures de sécurité et au contrat principal.
Elles doivent s’inscrire dans un dispositif plus large : DPA, confidentialité, sécurité, limitation des accès et documentation.
Faut-il informer le client final ?
Souvent, oui.
Si l’ESN agit comme sous-traitant du client final, le contrat principal peut imposer une autorisation préalable ou une information sur les sous-traitants ultérieurs.
Il faut vérifier le contrat client final avant le démarrage de la mission.
Peut-on éviter le transfert hors UE ?
Parfois.
Si le freelance travaille uniquement sur un environnement sans données personnelles, avec données anonymisées ou sans accès aux systèmes contenant des données personnelles, le transfert peut être évité ou réduit.
Cette analyse dépend de la réalité technique de la mission.
StelarWork remplace-t-elle le DPO ou le conseil juridique de l’ESN ?
Non.
StelarWork structure la chaîne contractuelle et opérationnelle côté fournisseur, mais ne remplace pas les conseils juridiques, fiscaux ou DPO de l’ESN.
L’objectif est de fournir un cadre plus propre et plus exploitable pour travailler avec un freelance tech hors UE.
StelarWork signe-t-elle au nom du freelance ?
Non.
StelarWork contracte en son nom propre avec l’ESN. Le freelance hors UE contractualise séparément avec StelarWork pour la réalisation de la prestation.
Cette structure évite la confusion entre représentation du freelance et relation fournisseur B2B.
StelarWork est-elle une solution de portage salarial ?
Non.
StelarWork n’emploie pas le freelance, ne verse pas de salaire et ne met pas en place de contrat de travail. Le modèle repose sur une relation B2B de prestation, avec un fournisseur français contractant avec l’ESN.
Conclusion
Le sujet “RGPD et freelance hors UE” ne doit pas être traité comme une formalité administrative.
Pour une ESN, il touche directement à la capacité de signer, facturer, livrer et défendre la conformité de la mission auprès du client final.
Le bon réflexe consiste à cadrer tôt : accès réels, données personnelles, sous-traitance, transfert hors UE, clauses contractuelles types, sécurité, livrables et chaîne fournisseur.
StelarWork s’insère dans cette logique : permettre à l’ESN de contractualiser avec un fournisseur français, tout en structurant la relation avec le freelance hors UE et les obligations associées.
Vous conservez l’accès au talent. Vous réduisez les frictions de conformité. Vous présentez un cadre plus lisible à vos achats, à votre juridique et à vos clients finaux.