Le transfert de données hors UE

Le transfert de données à caractère personnelle en dehors de l’Union européenne est aujourd’hui essentiel au bon développement et à l’expansion du commerce et de la coopération internationale.

Le RGPD traite du transfert de données personnelles dans le chapitre V, articles 44 à 50.

Dans les grande lignes, une société ne peut réaliser un transfert de données à caractère personnel, vers l’extérieur de l’Union ou à destination d’une organisation internationale, que si certaines garanties concernant les droits et libertés des personnes concernées sont données.

Ces garanties sont les suivantes:

  1. Une décision d’adéquation de la Commission européenne (art. 45 RGPD): le transfert de données à caractère personnel peut en premier lieu avoir lieu si la Commission européenne a constaté par voie de décision que le pays tiers ou l’organisation internationale en question assure un niveau de protection adéquat. Cet examen du niveau de protection se fonde notamment sur la base de l’examen global de la législation en vigueur du pays en question ainsi que sur l’existence au sein de ce pays d’autorités de contrôle indépendantes. Dès lors que la Commission européenne a pris une telle décision d’adéquation, les transferts vers les pays concernés ne nécessitent pas d’autorisation spécifique préalables. Le traitement doit toutefois respecter toutes les autres dispositions et principes du RGPD.

  2. En l’absence d’une décision d’adéquation, le pays tiers où le transfert est effectué, doit être couvert par la fourniture de «garanties appropriées» (art. 46 RGPD). Ces garanties peuvent prendre plusieurs formes:
    1. des clauses types de protection des données adoptées ou approuvées par la Commission européenne;
    2. un code de conduite ou une certification;
    3. des clauses contractuelles adaptées entre le responsable du traitement/sous-traitant et le destinataire des données à caractère personnel dans le pays tiers, ce sous réserve d’une autorisation par leur autorité de contrôle nationale;
    4. des règles d’entreprise contraignantes (par exemple les Binding Corporate Rule).

À ce titre, la Commission européenne a adopté des «Clauses contractuelles types» ayant pour but d'encadrer les transferts de données personnelles hors de l'Union européenne, facilitant ainsi la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert;

En attendant leur mise à jour prochaine, les «Clauses contractuelles types» de 2004 couvrant le transfert entre deux responsables de traitement, ainsi que celles de 2010 couvrant le transfert entre un responsable de traitement et un sous-traitant peuvent toujours être utilisées.

Ces clauses sont disponibles sur le site de la CNIL:
https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne