Transférer des données hors de l’Union européenne ne s’improvise pas et répond à un certain nombre de conditions. Le RGPD prévoit en effet de nombreux cas de figure, en fonction du pays concerné et des engagements pris par les organismes concernés.

Dans les entreprises, les responsables de traitement (et leurs sous-traitants) peuvent transférer des données hors de l’Union européenne à condition d’assurer un niveau de protection des données suffisant et approprié. Ils doivent pour cela encadrer ces opérations en utilisant les différents outils juridiques définis au chapitre V du RGPD.

Afin d’assurer un haut niveau de protection des données transférées du territoire européen à des États tiers, les organismes souhaitant transférer des données peuvent recourir aux outils suivants :

La décision d’adéquation (art. 45 du RGPD), qui constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un État, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet État
En l’absence d’une telle décision, des « garanties appropriées » (art. 46 du RGPD), constituées pour la majorité de décisions des autorités de contrôle et qui sont prises à la lumière des engagements des organismes concernés

Article 45 du RGPD : des transferts fondés sur une décision d’adéquation

Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission européenne a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique.

À ce jour, la Commission européenne a reconnu le caractère adéquat du niveau de protection des pays suivants : Andorre, Argentine, Canada (pour les traitements soumis à la loi canadienne « Personal Information Protection and Electronic Documentation Act »), Corée du Sud, île de Man, îles Féroé, Israël, Japon, Jersey, Guernesey, Nouvelle-Zélande, Royaume-Uni, Suisse et Uruguay.

Concernant les États-Unis, la Commission européenne a adopté une nouvelle décision d’adéquation le 10 juillet 2023. Par cette décision, la Commission décide que les modifications apportées par les États-Unis à leur législation nationale permettent désormais d’assurer un niveau de protection adéquat des données personnelles transférées de l’UE vers les organisations situées aux États-Unis lorsqu’ils font la démarche de respecter ce nouveau « cadre de protection des données ». La liste de ces organismes est gérée et publiée par le ministère américain du commerce.

Les transferts de données personnelles depuis l’Union européenne vers les organismes figurant sur cette liste peuvent donc s’effectuer librement, sans encadrement spécifique par des « clauses contractuelles types » ou un autre instrument de transfert. Cette décision fait suite à l’invalidation par la Cour de justice de l’Union européenne de la précédente décision d’adéquation (Privacy Shield).

Article 46 du RGPD : les garanties appropriées à l’honneur

En l’absence de décision d’adéquation en vertu de l’article 45 du RGPD, le responsable du traitement ou le sous-traitant ne peuvent transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’ils ont prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

Les garanties appropriées peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par :

un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics
des règles d’entreprise contraignantes
des clauses types de protection des données adoptées par la Commission
des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission
un code de conduite approuvé, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées
un mécanisme de certification approuvé, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées

Depuis mai 2018, un allégement important des formalités auprès de la CNIL

Depuis le 25 mai 2018, il n’est pas nécessaire d’obtenir une autorisation de la CNIL si le transfert est fondé sur :

des clauses contractuelles types de protection des données adoptées par la Commission européenne ou par une autorité de contrôle avec approbation de la Commission européenne
des règles internes d’entreprise dites BCR (Bindings Corporates Rules)
un code de conduite approuvé par une autorité de contrôle
un mécanisme de certification par une autorité de contrôle ou par un organisme de certification agréé par une autorité de contrôle ou un organisme national d’accréditation
des instruments juridiques contraignants entre autorités publiques (telle une convention internationale)

En revanche, une autorisation de la CNIL est nécessaire si le transfert est fondé sur :

des clauses contractuelles spécifiques entre le responsable d’un fichier ou un sous-traitant et un autre responsable de fichier, un sous-traitant ou un destinataire des données dans le pays tiers ou l’organisation internationale
des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées

Il est à noter que le CEPD (Comité européen de la protection des données) a mis à jour plusieurs documents adoptés par le G29 pour tenir compte du RGPD et des arrêts intervenus depuis. Les travaux ont essentiellement porté sur :

les BCR responsables de traitement
les BCR sous-traitants
le référentiel d’adoption des décisions d’adéquation
les recommandations du CEPD en matière de mesures supplémentaires pour les transferts au moyen de garanties appropriées.

Pour aller plus loin, découvrez comment notre solution logicielle deepeo peut vous aider grâce à ses fonctionnalités

Suppression des données

Supprimez toutes les données relatives à la personne concernée que vous n’avez plus de raison commerciale ou juridique de conserver, conformément aux règles sur les données personnelles..

Anonymiseur de Données

Rendre anonymes les données d’une personne concernée au lieu de les supprimer.

Restez en veille, faites un pas de plus vers la gestion de données en vous inscrivant à notre newsletter!

RGPD et transferts internationaux de données : ce qu’il faut savoir

Transférer des données hors de l’Union européenne ne s’improvise pas et répond à un certain nombre de conditions. Le RGPD prévoit en effet de nombreux cas de figure, en fonction du pays concerné et des engagements pris par les organismes concernés.

Pour aller plus loin, découvrez comment notre solution logicielle deepeo peut vous aider grâce à ses fonctionnalités

Restez en veille, faites un pas de plus vers la gestion de données en vous inscrivant à notre newsletter!

deepeo; une marque d’Infotel

Informations légales

Gestion de cookies

Contacter par mail

© 2024. All Rights Reserved