Le Règlement général sur la protection des données (RGPD) prévoit la possibilité de transférer des données personnelles en dehors de l’Union européenne (UE). Mais pour cela, plusieurs garanties doivent être mises en œuvre. Explications.
Show
La possibilité de transferts de données hors UE à certaines conditionsLe RGPD autorise les responsables de traitement et sous-traitants de données personnelles de transférer les données en dehors de l’UE. Pour cela, il faut assurer une condition essentielle : un niveau de protection adéquat. Alors, plusieurs garanties ont été mises en place :
Ces garanties doivent être contraignantes et approuvées. Elles peuvent prendre la forme de clauses contractuelles types, de codes de conduite ou encore de méthodes de certification. Les clauses contractuelles types sont adoptées par une autorité de contrôle nationale puis approuvées par la Commission européenne ou alors directement adoptées par cette dernière. Le transfert de données vers les États-Unis : le Privacy ShieldLe Privacy Shield est un mécanisme d’auto-certification pour les entreprises américaines et qui a été acceptée par la Commission européenne. Cette auto-certification est accordée lorsque le niveau de protection des données est adéquat. Il s’agit donc d’une garantie juridique. Le Privacy Shield concerne toutes les données personnelles transférées d’une entité située dans l’UE vers les États-Unis. Concrètement, avant de transférer les données vers les États-Unis, il faut s’assurer que l’entreprise américaine est certifiée conforme au Privacy Shield et que le type de données soit compris dans la certification (par exemple les données de santé, les données relatives aux ressources humaines etc.). Par ailleurs, il est possible que l’entreprise ne soit pas ou ne soit plus certifiée par le Privacy Shield. Il faut donc prévoir d’autres garanties afin d’assurer les transferts de données de l’UE vers les États-Unis. Parmi ces garanties, on peut citer les clauses contractuelles type ou les règles d’entreprise contraignantes. Ainsi, lorsqu’une entreprise européenne transfère des données à un sous-traitant basé aux États-Unis, le transfert doit être autorisé. Il faudra également prévoir un contrat de sous-traitance de données. Dans ce contrat, l’entreprise sous-traitant située aux États-Unis s’engage à traiter les données selon les instructions données par le responsable de traitement. De plus, des mesures doivent être prises pour garantir la sécurité des données et le sous-traitant doit rester à la disposition du responsable de traitement pour garantir le bon exercice des droits des personnes sur leurs données. Des exceptions à l’interdiction de transferts de donnéesLorsqu’un État non-membre de l’UE n’offre pas un niveau de protection adéquat, il est, en principe, interdit d’opérer un transfert de données. Toutefois, des exceptions ont été prévues par l’article 49 du RGPD. Il est possible de faire exception à cette interdiction si le transfert de données entre dans l’une des situations suivantes :
Toutefois, un tel transfert ne doit pas être répétitif, ne doit pas concerner un grand nombre de personnes, et doit être nécessaire aux fins des intérêts poursuivis par le responsable de traitement. RÉFÉRENCES :
Deshoulières Avocats vous accompagne à toutes les étapes de votre mise en conformité au RGPD.DEMANDER UN DEVIS GRATUIT RECOMMANDÉ POUR VOUS :
Qu'estLa CNIL le définit comme tout transfert de données, effectué par tout moyen de communication, copie ou déplacement de données par l'intermédiaire d'un réseau ou d'un support, quel que soit le type de support, depuis le territoire européen vers un pays situé en dehors de l'Union européenne.
PuisOr, le transfert de données hors de l'Union européenne (UE) et de l'Espace Economique Européen (EEE) est possible, à condition d'assurer un niveau de protection des données suffisant et approprié. Ces transferts doivent être encadrés en utilisant différents outils juridiques.
Quelle loi européenne encadré l'utilisation des données personnelles sur Internet ?Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Quels pays ont la même RGPD que l'Europe ?C'est-à-dire comme disposant d'un niveau de protection suffisant grâce à leur réglementation en matière de protection des données. Ces pays sont la Suisse, l'Argentine, Guernesey, l'Île de Man, la Nouvelle-Zélande, Jersey, les îles Féroé, Andorre, Israël, l'Uruguay et le Japon.
|