Aller au contenu principal
Logo de la Commission européenne
frfr

Quelles règles s’appliquent si mon organisation transfère des données en dehors de l’UE?

Réponse

À l’ère de la mondialisation, de grandes quantités de données à caractère personnel franchissent les frontières et sont parfois conservées sur des serveurs dans différents pays. La protection offerte par le règlement général sur la protection des données (RGPD) accompagne les données, ce qui signifie que les règles visant à protéger les données à caractère personnel continuent de s’appliquer indépendamment de l’endroit où sont transférées les données. Ce point s’applique également lorsque les données sont transférées vers un pays non membre de l’UE (ci-après «pays tiers»).

Le RGPD fournit différents outils pour encadrer les transferts de données d’un pays de l’UE vers un pays tiers:

  • Parfois, un pays tiers peut être considéré comme offrant un niveau de protection approprié par le biais d’une décision de la Commission européenne («décision d’adéquation»). En d’autres termes, des données peuvent être transférées vers une autre entreprise établie dans un pays tiers sans que l’exportateur des données ne doive fournir d’autres garanties ou être soumis à d’autres conditions. Autrement dit, les transferts vers un pays tiers «adéquat» seront assimilés à un transfert de données au sein de l’UE.
  • En l’absence de décision d’adéquation, un transfert peut avoir lieu grâce à la mise en place de garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Ces garanties appropriées comprennent:
  • dans le cas d’un groupe d’entreprises ou de groupes de sociétés engagées dans une activité économique conjointe, la permission pour les entreprises de transférer des données à caractère personnel en se fondant sur des règles d’entreprise contraignantes;
  • des dispositions contractuelles avec le destinataire des données à caractère personnel, en utilisant, par exemple, des clauses contractuelles types approuvées par la Commission européenne;
  • l’application d’un code de conduite ou d’un mécanisme de certification tout en obtenant un engagement contraignant et doté de force obligatoire de la part du destinataire afin d’appliquer les garanties appropriées pour protéger les données transférées.
  • Enfin, si un transfert de données à caractère personnel est envisagé vers un pays tiers qui n’est pas soumis à une décision d’adéquation et en cas d’absence de garanties appropriées, il peut être effectué en se fondant sur un certain nombre de dérogations pour des situations particulières, par exemple lorsqu’une personne a donné son consentement explicite au transfert proposé après avoir reçu toutes les informations nécessaires sur les risques liés à ce transfert.

Exemple

Vous êtes une entreprise française, qui envisage d’étendre ses services à l’Amérique du Sud, notamment en Argentine, en Uruguay et au Brésil. La première étape consisterait à vérifier si ces pays tiers sont soumis à une décision d’adéquation. Dans ce cas, l’Argentine et l’Uruguay ont été déclarés adéquats. Vous pourriez transférer des données à caractère personnel vers ces deux pays tiers sans garanties supplémentaires, tandis que, pour les transferts vers le Brésil, qui n'est pas soumis à une décision d’adéquation, vous devrez les encadrer en fournissant des garanties appropriées.

Références

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.

References

1 COM(2017)7 final