Links

Data transfers outside the EU

Make an inventory of the data flowing outside the EU.
The transfer can be defined as any communication, copy or movement of personal data intended to be processed in a country outside the European Union.
Les transferts de données hors de l’Union européenne sont par principe interdits.
Les articles 44 à 49 du RGPD prévoient des exceptions à cette interdiction. Ils prévoient l’utilisation d’outils permettant d’encadrer ce transfert :
  • une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat ;
  • des clauses contractuelles types (CCT) de la Commission européenne ;
  • des règles internes d’entreprises (BCR) ;
  • des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne) ;
  • des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
  • un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
  • un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
  • un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).
Des dérogations sont prévues à l’article 49 du RGPD. Si une dérogation justifie le transfert, il faut indiquer la nature de celle-ci et le cas échéant, détailler l’évaluation des circonstances du transfert et des garanties appropriées.