Links

Transferts de données hors UE

Le transfert peut être défini comme toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne.
Les transferts de données hors de l’Union européenne sont par principe interdits.
Les articles 44 à 49 du RGPD prévoient des exceptions à cette interdiction. Ils prévoient l’utilisation d’outils permettant d’encadrer ce transfert :
  • une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat ;
  • des clauses contractuelles types (CCT) de la Commission européenne ;
  • des règles internes d’entreprises (BCR) ;
  • des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne) ;
  • des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
  • un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
  • un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
  • un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).
Des dérogations sont prévues à l’article 49 du RGPD. Si une dérogation justifie le transfert, il faut indiquer la nature de celle-ci et le cas échéant, détailler l’évaluation des circonstances du transfert et des garanties appropriées.