Les news RGPD & cyber

Les transferts de données hors de l’Union Européenne

La notion de « transfert » de données

La Commission Nationale Informatique et Libertés (CNIL) définit le terme « transfert » comme « toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union Européenne »¹.

Ces transferts sont susceptibles d’être effectués dans un pays tiers de l’Union Européenne ou par une organisation internationale, voire par tout organisme de droit public international. Au sujet des pays tiers de l’UE, la Norvège, le Lichtenstein et l’Islande ne sont pas considérés comme des pays tiers. Ainsi, dans ces Etats, le RGPD s’applique.

Pour transférer les données en dehors de l’Union Européenne, le responsable de traitement doit choisir le mécanisme le plus approprié.

Le mécanisme de transfert de données par la règle d’adéquation

Un transfert de données peut se fonder sur une décision d’adéquation qui permet la libre circulation des données à partir de l’UE. Le critère d’adéquation garantit qu’aucune autorisation spécifique n’est à demander (Art. 45§1).

Il appartient à la Commission Européenne d’analyser certains critères puis de déterminer si un pays dispose des mécanismes adéquats permettant la protection des données personnelles.

La CNIL, sur son site, dévoile par sa carte interactive les pays où les transferts sont fondés sur une décision adéquation ².

Toute entité économique devrait s’assurer que le pays où elle envisage de transférer des données personnelles soit présent sur la carte de la CNIL et par conséquent ne nécessite pas d’avoir recours à d’autres mécanismes de protection de données personnelles.

Les Autres mécanismes de protection

A) Les clauses contractuelles types

Les clauses contractuelles types sont adoptées soit par la Commission Européenne, soit par une autorité de contrôle. Puis, elles sont approuvées par la Commission Européenne. Elles permettent aux entreprises d'avoir un niveau de protection adéquat en matière de transfert de données vers un pays tiers.

Il existe des clauses d’une part pour les transferts entre deux responsables de traitement et d’autre part pour les transferts entre un responsable de traitement et un sous-traitant.

B) Les règles d’entreprises contraignantes (BCR)

Il s’agit de règles internes d’un groupe d’entreprises sur les transferts de données vers un pays tiers de l’Union Européenne. Dans ce document est définie la politique en matière de transfert de données pour chacune des entités du groupe.

Les règles d’entreprises peuvent être utilisées par un ensemble d’entreprises qui participent à une activité économique conjointe.

Sur son site internet, la CNIL énonce les actions à effectuer pour mettre en œuvre ces règles.

C) Les nouveaux instruments et les dérogations issues du RGPD

Le Règlement Européen propose de nouveaux instruments à utiliser pour encadrer le transfert de données. Parmi ces outils, on retrouve des codes de conduite, des labels ou marques de protection de vie privée mais encore des accords internationaux pour les transferts de données entre autorités ou entre les organismes publics.

Enfin, le texte européen prévoit en cas d’absence de décision d’adéquation ou des autres mécanismes auparavant énumérés, différents cas ou le transfert serait possible (Art. 49§1). Il s’agit des dérogations qui ne peuvent être utilisées dans des situations particulières. Ces dérogations sont soumises à des conditions. L’Article 49 du RGPD fait l’objet d’une interprétation stricte afin que les dérogations qu’il énumère relèvent bien d’un cas d’exception.

---

¹ https://www.cnil.fr/fr/definition/transfert-de-donnees
² https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
Illustration par ijeab freepik