Les responsables de traitements et les sous-traitants peuvent transférer des données personnelles hors de l’Union Européenne et de l’Espace Économique Européen à condition d’assurer un niveau de protection des données suffisant et approprié.
Quels outils juridiques permettent le transfert hors UE ?
- Des règles internes d’entreprises (Binding Corporate Rules) assurant un niveau de protection adéquat.
Les BCR concernent les multinationales implantées dans plusieurs pays européens, et effectuant de nombreux transferts de données depuis leurs entités ou entre celles-ci, vers des pays n’assurant pas un niveau de protection équivalent à celui de l’Union européenne.
- Une décision d’adéquation de la Commission européenne (article 45 du RGPD)
Cela concerne certains pays assurant un niveau de protection adéquat ainsi évaluée par la commission au vu de critères comme l’état de droit, le respect des droits de l’homme et des libertés fondamentales, l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes ou les engagements internationaux. Voir la carte des différents niveaux de protection des pays.
A défaut de décision d’adéquation, le règlement prévoit des dérogations pour des situations particulières comme le consentement éclairé de la personne concernées ou la nécessité dans le cadre de l’exécution d’un contrat (article 49 du RGPD)
- Des garanties appropriées (article 46 du RGPD), dont Privacy Shield*
En l’absence de décision d’adéquation, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel hors UE que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
Ces garanties doivent être contraignantes et approuvées, comme des instruments juridiques, des règles d’entreprise des clauses types de protection ou un mécanisme de certification.
Le RGPD a, dans ce cadre, défini de nouveaux outils juridiques :
- Les clauses contractuelles types : Ces clauses doivent être adoptées par une autorité de contrôle (exemple du CNIL en France) et approuvées par la Commission européenne ou des clauses contractuelles directement adoptées par la commission (en vertu de la directive 95/46/CE du Parlement européen et du Conseil) ;
- Un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées) ;
- Un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées) ;
- Des instruments juridiques contraignants entre autorités publiques (ex. convention internationale).
A défaut de respecter les conditions de transfert et d’utiliser ces nombreux outils, il convient de demander à la CNIL une autorisation de transfert.
*Le cas particulier des Etats-Unis : le Privacy Shield
Le Bouclier de Protection des Données, « Privacy Shield », est un mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne. Avant de transférer des données à caractère personnel à toute organisation américaine, il convient de vérifier si l’entreprise rentre dans la liste du département du commerce américain. A noté que le site répertorie aussi les sociétés ne faisant plus partie du dispositif et par conséquent plus autorisées à recevoir des données de l’UE.
Afin de pouvoir s’auto-certifier au Privacy Shield, une entreprise établie aux États-Unis doit être soumise aux pouvoirs de contrôle et d’exécution de la Commission Fédérale du Commerce (« FTC ») ou du Département des Transports américain (« DoT »). Plus d’informations pourront être trouvées sur le guide édité par la commission européenne :