Le Règlement général sur la protection des données (RGPD) prévoit la possibilité de transférer des données personnelles en dehors de l’Union européenne (UE). Mais pour cela, plusieurs garanties doivent être mises en œuvre. Explications.
La possibilité de transferts de données hors UE à certaines conditions
Le RGPD autorise les responsables de traitement et sous-traitants de données personnelles de transférer les données en dehors de l’UE. Pour cela, il faut assurer une condition essentielle : un niveau de protection adéquat. Alors, plusieurs garanties ont été mises en place :
- Les règles d’entreprise contraignantes (Binding corporate rules, BCR). Il s’agit de règles internes prévues par de grandes entreprises ou des groupes implantés dans plusieurs pays européens et qui effectuent des transferts de données vers des pays non-membres de l’UE et qui n’assurent pas un niveau de protection équivalent.
- Les décisions d’adéquation de la Commission européenne. Dans ce cas, la Commission européenne évalue certains États et décident, en fonction de plusieurs critères, de considérer l’État comme garantissant un niveau de protection adéquat.
- Des garanties appropriées. Lorsqu’il n’y a pas de décision d’adéquation, il est possible de prévoir un transfert de données hors UE si et seulement si le responsable de traitement a prévu des garanties appropriées. Ces garanties sont par exemple un niveau de sécurité élevé des données et la garantie des droits des personnes concernées.
Ces garanties doivent être contraignantes et approuvées. Elles peuvent prendre la forme de clauses contractuelles types, de codes de conduite ou encore de méthodes de certification. Les clauses contractuelles types sont adoptées par une autorité de contrôle nationale puis approuvées par la Commission européenne ou alors directement adoptées par cette dernière.
Le transfert de données vers les États-Unis : le Privacy Shield
Le Privacy Shield est un mécanisme d’auto-certification pour les entreprises américaines et qui a été acceptée par la Commission européenne. Cette auto-certification est accordée lorsque le niveau de protection des données est adéquat. Il s’agit donc d’une garantie juridique. Le Privacy Shield concerne toutes les données personnelles transférées d’une entité située dans l’UE vers les États-Unis.
Concrètement, avant de transférer les données vers les États-Unis, il faut s’assurer que l’entreprise américaine est certifiée conforme au Privacy Shield et que le type de données soit compris dans la certification (par exemple les données de santé, les données relatives aux ressources humaines etc.).
Par ailleurs, il est possible que l’entreprise ne soit pas ou ne soit plus certifiée par le Privacy Shield. Il faut donc prévoir d’autres garanties afin d’assurer les transferts de données de l’UE vers les États-Unis. Parmi ces garanties, on peut citer les clauses contractuelles type ou les règles d’entreprise contraignantes.
Ainsi, lorsqu’une entreprise européenne transfère des données à un sous-traitant basé aux États-Unis, le transfert doit être autorisé. Il faudra également prévoir un contrat de sous-traitance de données. Dans ce contrat, l’entreprise sous-traitant située aux États-Unis s’engage à traiter les données selon les instructions données par le responsable de traitement. De plus, des mesures doivent être prises pour garantir la sécurité des données et le sous-traitant doit rester à la disposition du responsable de traitement pour garantir le bon exercice des droits des personnes sur leurs données.
Des exceptions à l’interdiction de transferts de données
Lorsqu’un État non-membre de l’UE n’offre pas un niveau de protection adéquat, il est, en principe, interdit d’opérer un transfert de données. Toutefois, des exceptions ont été prévues par l’article 49 du RGPD.
Il est possible de faire exception à cette interdiction si le transfert de données entre dans l’une des situations suivantes :
- La personne consent explicitement, après avoir été informée des risques du transfert, au transfert de ses données ;
- Le transfert est nécessaire pour conclure ou exécuter un contrat ;
- Il est également nécessaire pour l’exercice de droits en justice ;
- Il est nécessaire pour la sauvegarde des intérêts vitaux de la personne concernée ou pour des motifs importants d’intérêt public ;
- Le transfert est opéré sur la base d’un registre destiné à fournir des informations au public ou à toute personne justifiant d’un intérêt légitime.
Toutefois, un tel transfert ne doit pas être répétitif, ne doit pas concerner un grand nombre de personnes, et doit être nécessaire aux fins des intérêts poursuivis par le responsable de traitement.
RÉFÉRENCES :
- Consultez directement les articles 45, 46 et 47 du RGPD
- Les cas exceptionnels prévus par l’article 49 du RGPD
- Pour retrouver la liste des entreprises certifiées par le Privacy Shield