À la suite de l'expansion du commerce et de la collaboration internationaux en raison de la mondialisation, une quantité croissante de données personnelles est transférée vers et depuis des pays en dehors de l'UE et des organisations internationales.
Cela a soulevé des défis et des préoccupations quant à la protection de ces données pendant et après le transfert.
Pour maintenir le niveau de protection des données assuré par le RGPD pour les résidents de l'UE, cette réglementation inclut des conditions strictes pour le transfert de données personnelles en dehors de l'UE ou de l'Espace économique européen (EEE).
Exigences de transfert de données
Dans les cas où des données personnelles sont transférées en dehors de l'UE ou de l'EEE, le RGPD exige que les organisations concernées (c'est-à-dire les organisations importatrices et exportatrices de données) adoptent des mesures de protection des données appropriées qui incluent des mesures techniques et organisationnelles.
Les transferts de données sont autorisés si la Commission européenne (CE) a rendu une décision d'adéquation concernant le pays où est basé le destinataire. Cela signifie que la CE a examiné les lois et réglementations de l'État non-UE et a constaté qu'elles assuraient un niveau adéquat de protection des données personnelles.
En l'absence de décision d'adéquation, les transferts de données sont autorisés vers des États non-UE dans les cas suivants :
- Le transfert est couvert par les garanties appropriées énumérées à l'article 46 du RGPD
- Vous avez informé la personne concernée des risques possibles et vous avez son consentement explicite
- Le transfert de données est nécessaire pour remplir des obligations contractuelles avec la personne concernée
- Le transfert de données est dans l'intérêt public ou protégera les intérêts vitaux d'un individu
- Le transfert de données est nécessaire pour établir ou défendre une réclamation légale
- Le transfert est effectué à partir d'un registre public
- C'est un transfert ponctuel qui est dans votre intérêt légitime
Exemple
Si des données protégées par le RGPD sont transférées vers des pays en dehors de l'UE et/ou y sont stockées, les règles protégeant ces données continuent de s'appliquer. C'est une des raisons pour lesquelles cette législation peut avoir un impact sur les entreprises du monde entier, malgré le fait que son champ d'application soit limité aux données personnelles des résidents de l'UE.
Examinons un exemple d'entreprise qui doit se conformer aux exigences de transfert de données du RGPD ci-dessous. Ceci est basé sur un exemple publié par la CE.
Une entreprise basée en France envisage d'étendre ses services en Argentine, en Uruguay et au Brésil. L'Argentine et l'Uruguay ont été déclarés adéquats par la CE. Le Brésil n'a pas fait l'objet d'une décision d'adéquation. Comment l'entreprise française peut-elle transférer des données vers les trois pays tout en se conformant aux exigences de transfert de données du RGPD ?
L'entreprise française pourrait transférer des données personnelles vers l'Argentine et l'Uruguay sans garanties supplémentaires car ils ont été déclarés adéquats. Cependant, pour transférer des données vers le Brésil, l'entreprise devrait fournir des garanties appropriées, telles que des règles d'entreprise contraignantes ou des accords contenant des clauses contractuelles assurant des garanties organisationnelles et techniques.
FAQ
Qu'est-ce qui constitue un transfert de données en vertu du RGPD ?
En vertu du RGPD, un traitement de données personnelles constitue un transfert de données vers un pays tiers (c'est-à-dire un pays hors de l'EEE) ou une organisation internationale s'il répond aux trois critères suivants :
- Le responsable du traitement ou le sous-traitant (ou « exportateur de données ») est soumis au RGPD pour le traitement en question.
- L'« exportateur de données » transmet ou rend autrement les données personnelles disponibles à un « importateur de données ».
- L'« importateur » se trouve dans un pays tiers en dehors de l'EEE, ou est une organisation internationale.
Que signifie la décision d'adéquation ?
Une décision d'adéquation signifie qu'un pays tiers a été déclaré par la Commission européenne comme offrant un niveau de protection des données personnelles équivalent à celui de l'UE, de sorte qu'un exportateur de données peut transférer des données à une entreprise dans ce pays sans avoir à adopter des mesures de protection des données supplémentaires ou à se conformer à des conditions supplémentaires.
Pouvez-vous transférer des données en dehors de l'UE selon le RGPD ?
Oui, mais seulement si la CE a rendu une décision d'adéquation concernant le pays où se trouve le destinataire ou s'il correspond à l'un des cas ci-dessous :
- Le transfert est couvert par les garanties appropriées énumérées à l'article 46 du RGPD
- Vous avez informé la personne concernée des risques possibles et vous avez son consentement explicite
- Le transfert de données est nécessaire pour remplir les obligations contractuelles avec la personne concernée
- Le transfert de données est dans l'intérêt public ou protégera les intérêts vitaux d'un individu
- Le transfert de données est requis pour établir ou défendre une demande légale
- Le transfert est effectué à partir d'un registre public
- Il s'agit d'un transfert unique qui est dans votre intérêt légitime