Réponse

À l’ère de la mondialisation, de grandes quantités de données à caractère personnel franchissent les frontières et sont parfois conservées sur des serveurs dans différents pays. La protection offerte par le règlement général sur la protection des données (RGPD) accompagne les données, ce qui signifie que les règles visant à protéger les données à caractère personnel continuent de s’appliquer indépendamment de l’endroit où sont transférées les données. Ce point s’applique également lorsque les données sont transférées vers un pays non membre de l’UE (ci-après «pays tiers»).

Le RGPD fournit différents outils pour encadrer les transferts de données d’un pays de l’UE vers un pays tiers:

  • Parfois, un pays tiers peut être considéré comme offrant un niveau de protection approprié par le biais d’une décision de la Commission européenne («décision d’adéquation»). En d’autres termes, des données peuvent être transférées vers une autre entreprise établie dans un pays tiers sans que l’exportateur des données ne doive fournir d’autres garanties ou être soumis à d’autres conditions. Autrement dit, les transferts vers un pays tiers «adéquat» seront assimilés à un transfert de données au sein de l’UE.
  • En l’absence de décision d’adéquation, un transfert peut avoir lieu grâce à la mise en place de garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Ces garanties appropriées comprennent:
  • dans le cas d’un groupe d’entreprises ou de groupes de sociétés engagées dans une activité économique conjointe, la permission pour les entreprises de transférer des données à caractère personnel en se fondant sur des règles d’entreprise contraignantes;
  • des dispositions contractuelles avec le destinataire des données à caractère personnel, en utilisant, par exemple, des clauses contractuelles types approuvées par la Commission européenne;
  • l’application d’un code de conduite ou d’un mécanisme de certification tout en obtenant un engagement contraignant et doté de force obligatoire de la part du destinataire afin d’appliquer les garanties appropriées pour protéger les données transférées.
  • Enfin, si un transfert de données à caractère personnel est envisagé vers un pays tiers qui n’est pas soumis à une décision d’adéquation et en cas d’absence de garanties appropriées, il peut être effectué en se fondant sur un certain nombre de dérogations pour des situations particulières, par exemple lorsqu’une personne a donné son consentement explicite au transfert proposé après avoir reçu toutes les informations nécessaires sur les risques liés à ce transfert.

Exemple

Vous êtes une entreprise française, qui envisage d’étendre ses services à l’Amérique du Sud, notamment en Argentine, en Uruguay et au Brésil. La première étape consisterait à vérifier si ces pays tiers sont soumis à une décision d’adéquation. Dans ce cas, l’Argentine et l’Uruguay ont été déclarés adéquats. Vous pourriez transférer des données à caractère personnel vers ces deux pays tiers sans garanties supplémentaires, tandis que, pour les transferts vers le Brésil, qui n'est pas soumis à une décision d’adéquation, vous devrez les encadrer en fournissant des garanties appropriées.

Références

  • Chapitre V, articles 44 à 50 et  considérants 101) à 116) du RGPD
  • Groupe de travail «Article 29», derniers documents de travail sur les transferts internationaux:
    • Document de travail sur le référentiel d’adéquation (mise à jour du premier chapitre  du WP 12) (WP 254)
    • Document de travail établissant un tableau reprenant les éléments et principes des règles d’entreprise contraignantes (WP 256)
    • Document de travail établissant un tableau reprenant les éléments et principes des règles d’entreprise contraignantes pour les sous-traitants (WP 257)
  • Voir également pour référence la communication de la Commission européenne intitulée Échange et protection de données à caractère personnel à l’ère de la mondialisation1, 10 janvier 2017

1 COM(2017)7 final