Le Règlement Général sur la Protection des Données concerne toutes les entreprises qui collectent, stockent et/ou traitent des données personnelles.
Maitriser le transfert de données personnelles hors de l’Union européenne : Généralités
Fiche pratique
INFOREG
Le transfert de données personnelles vers des pays tiers à l’Union européenne (UE) s’accroît avec l’intensification toujours croissante des échanges et l’utilisation des nouvelles technologies. Maîtriser les outils encadrant ces transferts est un gage de protection des données et de sérieux envers les clients de l’entreprise.
Dans quels cas transférer des données personnelles à l’étranger ?
Le transfert de données personnelles à l’étranger peut se faire pour diverses raisons comme notamment :
- dans le cadre de la gestion du groupe : envoi vers des filiales situées en dehors de l’UE ;
- dans le cadre de l’exécution d’un contrat : contrat avec des sous-traitants localisés hors de l’UE ;
- pour l’hébergement de ces données sur des serveurs situés à l’étranger :
- etc...
Comment transférer des données personnelles à l’étranger en toute sécurité ?
Dans le but de sécuriser les transferts de données personnelles, l'entreprise responsable de traitement doit :
- répertorier tous les transferts opérés pour la mise en œuvre des traitements dans un pays tiers à l’UE ;
- vérifier que le transfert est possible dans le pays tiers à l’UE.
Pour cela, l'entreprise va procéder par étapes :
- vérifier si le pays vers lequel sont transférées les données personnelles est couvert par une décision d’adéquation adoptée par la Commission européenne.
Cette décision signifie que le pays tiers, par l'intermédiaire de sa législation interne ou de ses engagements internationaux, offre un niveau de protection des données à caractère personnel comparable à celui garanti dans l’UE. Les transferts de données personnelles sont donc libres
Info : A ce jour, la Commission a adopté des décisions d'adéquation concernant les pays et territoires suivants : Japon, Andorre, Argentine, Canada, Îles Féroé, Guernesey, Israël, Île de Man, Jersey, Nouvelle-Zélande, Suisse, Uruguay.
- si le pays vers lequel sont transférées les données personnelles n’est pas couvert par une décision d’adéquation, mettre en place des outils juridiques spécifiques destinés à la protection des données transférées du territoire européen vers des Etats tiers que sont :
- des garanties appropriées spécifiquement énumérées par le règlement général sur la protection des données (RGPD)
- en l’absence de garanties appropriées applicables, le RT vérifie si le transfert répond aux exceptions spécifiquement énumérées par le RGPD à l’article 49.
L’entreprise doit indiquer dans ces mentions d’informations aux personnes concernées, que le traitement fait l’objet d’un transfert et l’encadrement mise en œuvre afin d’en garantir la sécurité.
L’entreprise doit élaborer et conserver la documentation nécessaire pour démontrer la conformité du transfert à la réglementation et inscrire dans le registre de traitement les éléments et garanties qui ont permis d’encadrer le transfert des données personnelles.
Pour aller plus loin
Document rédigé par les juristes du réseau EEN (Enterprise Europe Network)
Mis à jour le 09/11/2023