Nous contacter.
02 52 35 24 54
Transfert de données hors UE : qu’est-ce que c’est ? Quelles sont les bonnes pratiques ? On vous explique.
Qu’est-ce qu’un transfert de données personnelles ?
Le transfert de données à caractère personnel est défini par la CNIL de la façon suivante : “Toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne.” Vous l’aurez compris, cette définition ne prend pas en compte le partage de données à l’intérieur de l’UE.
Transfert de données hors UE quel cadre est prévu par le RGPD ?
Le chapitre V du RGPD prévoit que les responsables de traitement et les sous-traitants peuvent effectuer un transfert de données hors UE si un niveau suffisant et approprié de protection des données est mis en place. Toutefois, les données à caractère personnel doivent, au maximum, rester dans l’Union Européenne.
Voilà les situations où un transfert de données hors UE est possible :
• Le pays de destination du transfert est un pays que la Commission européenne juge ayant un niveau de protection des données suffisant. C’est le cas de la Suisse, l’Uruguay, l’Argentine, l’Île de Man, Jersey, les îles Féroé, la Nouvelle-Zélande, Israël, Guernesey, Andorre et le Japon.
• L’entreprise qui effectue le transfert de données hors UE applique les règles d’entreprise contraignantes (BCR). Cela signifie que la politique interne de l’entreprise en matière de protection des données est stricte. Le respect de ces règles assure un niveau suffisant de protection des données au regard de la Commission européenne.
• Une clause contractuelle type (CCT) a été établie entre deux entreprises. Ces clauses sont fournies par la Commission européenne, peuvent être complétées et permettent d’encadrer le transfert de données hors de l’UE.
Quelles sont les exceptions à l’interdiction de transfert de données ?
L’article 49 du RGPD liste des cas spécifiques pour lesquels le transfert de données est possible dans des pays non-membres de l’UE et n’offrant pas de garanties adéquates.
Des exceptions sont possibles notamment :
• lorsque la personne a consenti expressément au transfert de ses données à caractère personnel, après avoir préalablement été mise au courant des risques encourus,
• lorsqu’il y a nécessité de sauvegarde de l’intérêt public,
• lorsqu’il y a nécessité de sauvegarde des intérêts vitaux de la personne,
• pour assurer la constatation, l’exercice ou la défense d’un droit en justice,
• pour la conclusion ou l’exécution d’un contrat.
Il est nécessaire de compléter ces situations par des mesures de sécurités organisationnelles et techniques qui préservent la confidentialité et la sécurité des données.
La responsabilité des entreprises dans le transfert de données hors de l’UE
Selon le principe de légitimité, il convient à chaque entreprise transférant de la donnée personnelle, d’apprécier le niveau de sécurisation des données dans le pays du transfert.
Vous avez encore des doutes sur votre politique de transfert de données hors UE ? Besoin d’informations ou de conseils complémentaires sur le RGPD ? Contactez votre consultant RGPD, AP3R Consulting !