Les règles prévues par le RGPD pour le transfert de données personnelles hors Union Européenne

Le RGPD pose le principe selon lequel les données à caractère personnel doivent rester, autant que possible, dans l’Union européenne. Mais il existe des dérogations à ce principe. L’essentiel est d’assurer un niveau de protection homogène tout au long du traitement, quelle que soit la localisation des données et l’acteur qui les traite.

La réponse au sondage : D’après le RGPD, les données personnelles peuvent-elles être transférées en dehors de l’UE ?

À l’occasion d’un sondage réalisé le 14 décembre dernier sur notre page LinkedIn, nous vous avons demandé si les données personnelles peuvent être transférées en dehors de l’Union Européenne.
Vous avez été fort ! Sur 317 votants, 28 % d’entre vous ont voté non et 72 % d’entre vous ont voté oui. En effet, les 2 réponses sont justes mais à nuancer.

En principe les données personnelles ne peuvent pas être transférées mais plusieurs exceptions permettent de déroger à ce principe.

Quelles sont les exceptions pour transférer les données hors de l’UE ?

Le RGPD identifie les cas de figure à l’occasion lesquels les données peuvent être transférées hors UE. Il s’agit notamment des hypothèses suivantes :

• Le pays de destination fait partie de la liste des pays considérés comme adéquats par la Commission européenne. C’est-à-dire comme disposant d’un niveau de protection suffisant grâce à leur réglementation en matière de protection des données.
  Ces pays sont la Suisse, l’Argentine, Guernesey, l’Île de Man, la Nouvelle-Zélande, Jersey, les îles Féroé, Andorre, Israël, l’Uruguay et le Japon.
  
• L’entreprise qui transfère les données a mis en place des règles d’entreprise contraignantes (ou BCR). C’est-à-dire qu’elle dispose d’une politique interne ou d’un code de conduite relatif à la protection des données lorsqu’elles sont transférées dans un pays tiers. Les BCR permettent d’offrir une protection adéquate aux données transférées depuis l’Union européenne vers des pays tiers au sein d’une même entreprise ou d’un même groupe. Cependant, il faut que les garanties prévues par les BCR et la législation du pays tiers concernant la protection des données soient d’un niveau suffisant selon la Commission européenne.
  
• Les clauses contractuelles types (ou CCT) sont signées par les deux entreprises. Les CCT sont des modèles de clauses contractuelles qui encadrent le transfert de données personnelles vers un pays tiers. Elles sont fournies par la Commission européenne. Leur but est de faciliter la tâche des responsables de traitement dans la mise en œuvre de contrats de transfert. Les CCT permettent d’assurer une relation contractuelle respectueuse des données personnelles.
  
• L’entreprise peut aussi rédiger un arrangement administratif, un texte juridiquement contraignant ou un mécanisme de certification approuvé pour garantir un niveau de protection suffisant des données des personnes concernées.

Si le pays vers lequel les données sont transférées n’est pas adéquat ou qu’aucune garantie précitée n’est mise en place, le transfert peut être possible si :

• La personne concernée a consenti expressément au transfert de ses données personnelles.
• Le transfert s’avère nécessaire à l’une des conditions suivantes :
  • La sauvegarde de la vie de la personne ;
  • La sauvegarde de l’intérêt public ;
  • Le respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
  • La consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime
  • L’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;
  • La conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.

Dans le cas des Etats-Unis, le Safe Harbor était en vigueur depuis 2000. Cet accord conclu avec l’Union Européenne visait à autoriser sous certaines conditions les transferts de données européennes vers les États-Unis. Il a été invalidé par la Cour de justice de l’Union Européenne.
Le Privacy Shield a remplacé cet accord, il a néanmoins également été invalidé par la CJUE. En attendant un nouvel accord, la CNIL recommande :

• D’évaluer la législation du pays tiers dans lequel sont transférées les données, ici les Etats-Unis
• De mettre en œuvre, des mesures supplémentaires pour que les données soient suffisamment protégées (par exemple des CCT).

Une fois que vous avez identifié si l’une des conditions précitées est applicable, le transfert peut être opéré. L’enjeu des transferts hors UE réside également dans l’information des personnes.
Vous devez effectivement être transparent sur le traitement des données, tout au long du traitement. Les personnes doivent être informées de manière claire par exemple dans votre politique externe de protection des données personnelles ou politique de confidentialité. Cette information doit être facilement accessible et compréhensible.

Mission RGPD vous guide simplement avec vos transferts hors Union Européenne

Vous n’arrivez pas à vous renseigner pour vos transferts hors de l’Union Européenne ? Vous n’avez pas le temps de vous informer ? Ou vous manquez de moyens pour être en conformité ?
Avec Mission RGPD vous êtes guidé pour documenter et répondre à toutes les questions nécessaires en matière de transfert. Notamment dans les registres de traitements et de sous-traitance.
Ne perdez plus de temps, c’est si simple !