Le Règlement général sur la protection des données (RGPD) est entré en vigueur en mai 2018. Selon ce règlement, les transferts de données hors de l’UE ne sont autorisés que si certaines conditions sont remplies.
Les articles 44 et suivants du RGPD encadrent le transfert de données à caractère personnel de l’UE vers un pays tiers qui peut être réalisé dans le cadre de l’activité d’une entreprise (ex : utilisation d’un prestataire situé aux États-Unis).
En revanche, ces règles sont applicables seulement si le transfert de données est de l’UE vers un pays tiers comme le Canada. Ces règles ne s’appliquent pas si les données sont transférées depuis un pays tiers comme les États-Unis vers l’UE.
Par principe, on pourrait dire que tout transfert effectué vers un pays tiers est interdit ! Mais il y a des exceptions.
Toutefois, il existe 3 principales exceptions à cette interdiction. Vous pouvez transférer des données à caractère personnel hors de l’Union Européenne (UE) avec un prestataire ou un partenaire, mais il est nécessaire de s’assurer que les données transférées soient protégées à un niveau adéquat.
La Commission Européenne a adopté différentes règles pour garantir un niveau de protection élevé pour les transferts de données personnelles vers des pays tiers. Ces règles sont :
Un pays destinataire qui fait l’objet d’une décision d’adéquation de la part de la Commission européenne est considéré comme proposant un niveau de protection adéquat ou équivalent à l’UE. Dans ce cas, vous pouvez transférer des données sans contrainte, comme si ce pays était un membre de l’UE (ex : Canada).
La liste exhaustive des pays faisant l’objet d’une décision d’adéquation est accessible ici.
Le pays destinataire n’a pas fait l’objet d’une décision d’adéquation et vous êtes une entreprise individuelle ou non internationale, vous pouvez utiliser des clauses contractuelles types, rédigées par la Commission européenne, pour encadrer les données transférées entre deux entités. Les clauses contractuelles types sont très souvent intégrées au Data Processing Agreement de vos partenaires / prestataires techniques.
Le modèle de clauses contractuelles types est accessible ici.
Par contre, si le pays destinataire n’a pas fait l’objet d’une décision d’adéquation et vous êtes une entreprise internationale avec de nombreuses filiales localisées dans des pays tiers, alors vous pouvez conclure des binding corporate rules (BCR) pour encadrer les transferts hors UE. Ce sont des mécanismes qui permettent aux entreprises de s’engager à respecter des normes élevées de protection des données personnelles lors de transferts vers des pays tiers.
Attention, les BCR impliquent de respecter une procédure d’agrément auprès des autorités de contrôle qui peut durer près de 12 mois !
Les responsables de traitement et ceux qui traitent les données à caractère personnel doivent également mettre en place des mesures pour assurer le respect de ces règles. La Cour de justice de l’Union Européenne a également précisé les critères pour déterminer si les pays tiers, comme les Etats-Unis, garantissent un niveau de protection suffisant pour les données transférées.
Si aucune de ces conditions ne peut être remplie, il est nécessaire d’obtenir le consentement explicite des personnes concernées pour le transfert de leurs données personnelles hors de l’UE. Consultez un délégué à la protection des données (DPO) pour vous assurer que vous respectez les exigences légales en matière de transfert de données personnelles.
L’équipe juridique de Dipeeo contrôle les transferts de données hors UE lors du contrôle de vos prestataires techniques en vérifiant notamment si le contrat est constitué de clauses contractuelles types en vigueur.
Ou appelez nous directement au 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.
Ou appelez nous directement au 01 59 06 81 85
Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.