Étape 6 du GDPR : transfert international de données à caractère personnel
À l'étape 5, nous avons indiqué qu'il existe trois formes de transfert de données à caractère personnel.
Au sein de l'Union européenne s'applique le principe de la libre circulation des données à caractère personnel de sorte qu'aucune mesure spécifique ne doit être prise en ce qui concerne la circulation transfrontalière de données (pour autant que ce soit au sein de l'UE !). Ceci n'enlève rien au fait que l'étape 5 (PREVOIR LIEN) est toujours d'application.
Un responsable de traitement établi au sein de l'Union européenne peut transmettre des données à caractère personnel à un autre responsable de traitement ou sous-traitant établi dans un " pays tiers " (à savoir en dehors de l'Espace Économique Européen). Avant que ce transfert ne puisse être effectué, le responsable de traitement devra cependant prendre les mesures nécessaires pour garantir que les données à caractère personnel à transférer bénéficient d'une protection suffisante dans ce pays tiers. Il existe différents mécanismes pour assurer la confidentialité et l'intégrité des données.
Décision d'adéquation
La première possibilité – et également la plus intelligible et la plus simple à utiliser – est la décision d'adéquation. Une décision d'adéquation implique que la Commission européenne a décidé, après analyse de la législation dans ce pays tiers, que ce dernier garantit un niveau de protection adéquat. Si tel est le cas, les données peuvent y être envoyées librement. La Commission européenne a publié une liste de ces pays.
Privacy Shield
Le deuxième mécanisme est le Privacy Shield. Il s'agit d'un mécanisme de certification conclu avec les États-Unis d'Amérique étant donné que la législation américaine sur la protection des données n'offre pas de garanties suffisantes pour protéger les données à caractère personnel de ressortissants européens. Le Privacy Shield diffère de la décision d'adéquation en ce sens que ce ne sont pas les États-Unis qui offrent un niveau de protection adéquat, mais uniquement les entreprises qui sont certifiées selon ce mécanisme. Sur le site suivant, vous pouvez vérifier si l'organisation vers laquelle vous avez l'intention de transférer des données à caractère personnel est certifiée selon le Privacy Shield (et donc si vous pouvez transférer les données concernées vers cette entreprise) : https://www.privacyshield.gov/list
Au sein d'un groupe d'entreprises, il peut être envisagé d'établir des règles d'entreprise contraignantes (Binding Corporate Rules ou BCR). Il s'agit d'une sorte de code de conduite auquel les différentes sociétés d'un groupe qui exercent une activité économique commune doivent souscrire pour qu'un transfert libre de données soit possible au sein des entreprises qui y adhèrent. Ces règles d'entreprise contraignantes doivent être approuvées en suivant une procédure formelle auprès de l'Autorité de protection des données.
De plus, l'exportateur et l'importateur des données à caractère personnel peuvent également adopter des clauses contractuelles types (Standard Contractual Clauses of SCC). Il s'agit de contrats qui ont été rédigés par la Commission européenne et dont les clauses ne peuvent être modifiées, sauf dans les rubriques prévues (essentiellement les annexes à ces clauses contractuelles types).
Il est aussi possible d'établir un propre contrat ou de déroger aux clauses contractuelles types. Toutefois, dès que des modifications sont apportées à ces clauses, il s'agit de dispositions contractuelles ad hoc qui doivent être préalablement soumises à l'autorité de surveillance compétente.
Enfin - s'il ne peut être fait appel à un des mécanismes susvisés - il est possible d'invoquer une des dérogations de l'article 49 du GDPR. Toutefois, ceci ne sera plutôt possible que dans des cas exceptionnels. C'est pourquoi, nous n'énumérons ci-dessous que quelques exemples plus pertinents (pour un aperçu complet, consulter l'art. 49 du GDPR) :
- Consentement de la personne concernée ;
- Transfert nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en oeuvre de mesures précontractuelles prises à la demande de la personne concernée ;
- Transfert nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale (comme la commande d'un billet d'avion auprès d'une compagnie aérienne étrangère) ;
- Transfert nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.
Points d'action
- Analyser s'il est accédé aux données à caractère personnel à partir de pays tiers
- Sans faire de différence entre un transfert au sein d'un groupe d'entreprises ou un transfert vers un autre responsable de traitement ou sous-traitant ;
- Déterminer quelles garanties (décision d'adéquation, Privacy Shield, clauses contractuelles types,...) conviennent le mieux pour garantir un transfert en toute sécurité ;
Services
Conseil - Vie privée et protection des données
Avez-vous besoin d'un responsable de la protection des données ? Pouvez-vous faire appel à une personne externe ? Votre politique en matière de protection de la vie privée est-elle suffisamment claire ? Nos experts sont prêts à vous guider à travers la protection des données et le GDPR.
