Transferts de données hors UE avec un prestataire ou un partenaire. Ai-je le droit ?

La Commission Européenne a mis en place différentes règles pour garantir un niveau de protection élevé pour les transferts de données personnelles vers des pays tiers.

Transferts de données hors UE

Le Règlement général sur la protection des données (RGPD) est entré en vigueur en mai 2018. Selon ce règlement, les transferts de données hors de l’UE ne sont autorisés que si certaines conditions sont remplies.

Les articles 44 et suivants du RGPD encadrent le transfert de données à caractère personnel de l’UE vers un pays tiers qui peut être réalisé dans le cadre de l’activité d’une entreprise (ex : utilisation d’un prestataire situé aux États-Unis).

En revanche, ces règles sont applicables seulement si le transfert de données est de l’UE vers un pays tiers comme le Canada. Ces règles ne s’appliquent pas si les données sont transférées depuis un pays tiers comme les États-Unis vers l’UE.

Par principe, on pourrait dire que tout transfert effectué vers un pays tiers est interdit ! Mais il y a des exceptions.

Transferts de données hors de l’UE - Les règles à respecter

Toutefois, il existe 3 principales exceptions à cette interdiction. Vous pouvez transférer des données à caractère personnel hors de l’Union Européenne (UE) avec un prestataire ou un partenaire, mais il est nécessaire de s’assurer que les données transférées soient protégées à un niveau adéquat.

La Commission Européenne a adopté différentes règles pour garantir un niveau de protection élevé pour les transferts de données personnelles vers des pays tiers. Ces règles sont :

1/ Décisions d'adéquation :

Un pays destinataire qui fait l’objet d’une décision d’adéquation de la part de la Commission européenne est considéré comme proposant un niveau de protection adéquat ou équivalent à l’UE. Dans ce cas, vous pouvez transférer des données sans contrainte, comme si ce pays était un membre de l’UE (ex : Canada).

La liste exhaustive des pays faisant l’objet d’une décision d’adéquation est accessible ici.

2/ Clauses contractuelles types (CCT) :

Le pays destinataire n’a pas fait l’objet d’une décision d’adéquation et  vous êtes une entreprise individuelle ou non internationale, vous pouvez utiliser des clauses contractuelles types, rédigées par la Commission européenne, pour encadrer les données transférées entre deux entités. Les clauses contractuelles types sont très souvent intégrées au Data Processing Agreement de vos partenaires / prestataires techniques.

Le modèle de clauses contractuelles types est accessible ici.

3/ Codes de conduite et règles d'entreprise contraignantes (binding corporate rules, BCR) :

Par contre, si le pays destinataire n’a pas fait l’objet d’une décision d’adéquation et vous êtes une entreprise internationale avec de nombreuses filiales localisées dans des pays tiers, alors vous pouvez conclure des binding corporate rules (BCR) pour encadrer les transferts hors UE. Ce sont des mécanismes qui permettent aux entreprises de s’engager à respecter des normes élevées de protection des données personnelles lors de transferts vers des pays tiers.

Attention, les BCR impliquent de respecter une procédure d’agrément auprès des autorités de contrôle qui peut durer près de 12 mois !

Transferts de données hors UE avec un prestataire ou un partenaire - Ai-je le droit ? - Dipeeo : votre DPO externalisé

Les responsables de traitement et ceux qui traitent les données à caractère personnel  doivent également mettre en place des mesures pour assurer le respect de ces règles. La Cour de justice de l’Union Européenne a également précisé les critères pour déterminer si les pays tiers, comme les Etats-Unis, garantissent un niveau de protection suffisant pour les données transférées.

Consultez un délégué à la protection des données (DPO)

Si aucune de ces conditions ne peut être remplie, il est nécessaire d’obtenir le consentement explicite des personnes concernées pour le transfert de leurs données personnelles hors de l’UE. Consultez un délégué à la protection des données (DPO) pour vous assurer que vous respectez les exigences légales en matière de transfert de données personnelles.

L’équipe juridique de Dipeeo contrôle les transferts de données hors UE lors du contrôle de vos prestataires techniques en vérifiant notamment si le contrat est constitué de clauses contractuelles types en vigueur.

Lire la vidéo sur DPO et RGPD : Définition, missions, rôle - Dipeeo

Dipeeo : c'est un DPO externalisé qui traite tous les sujets RGPD pour vous

Icone dpo_externe
Icone dpo_externe
Icone dpo_externe
Icone dpo_externe

DPO externalisé à vos côtés

Conformité RGPD globale

Simple et rapide

Le label "RGPD Conforme" délivré

Vous êtes à la recherche d’un DPO externe ? 

Nous sommes là pour vous aider. 

Tous nos DPO sont certifiés par l'AFNOR et justifient d'une
expérience significative

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien
Jade MASSOT

Ou appelez nous directement au 01 59 06 81 85

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.

Envie de découvrir
Dipeeo ?
Demander une démo !

Nous sommes disponibles pour échanger sur vos besoins
et vous présenter le service de DPO externalisé Dipeeo
 
Votre DPO externalisé réalise votre mise en conformité et traite
tous les sujets RGPD au quotidien
Jade MASSOT

Ou appelez nous directement au 01 59 06 81 85

Pour vous contacter, nous devons traiter vos données.
Pour plus d’infos, consultez notre Politique de confidentialité.