Par principe le transfert des données personnelles hors de l’UE est interdit mais il existe des exceptions ainsi que des dérogations que nous allons voir.
On peut relever quatre grands ensembles d’exceptions :
- Pays adéquats
- Garanties appropriées (art 46) :
- BCR (art 47) ;
- Codes de conduite ;
- Clauses contractuelles types (adoptées par commission européenne ou d’une AC approuvées par la commission).
- Autres :
- le consentement explicite de la PC (art 49) ;
- l’exécution d’un contrat à la demande d’une PC ou dans son intérêt ;
- l’intérêt public,
- la sauvegarde des intérêts vitaux,… ;
- une décision d’adéquation pour les instances internationales ou décision bilatérale entre états
- Transferts non répétitifs touchant un nombre limité de personnes, nécessaires aux fins d’intérêts légitimes impérieux accompagnés de garanties appropriées (la CNIL doit être informée).
Concernant les pays adéquats autorisés il y a les pays tiers assurant un niveau de protection adéquat et dans ce cas ils n’y a pas besoin d’autorisation spécifique.
Sur quels critères est évaluée l’adéquation d’un pays ?
– l’état général et droit du pays, y compris les droits des personnes concernées à propos de leurs DCP ;
– l’existence et le fonctionnement d’une autorité de contrôle indépendante ;
– les engagements internationaux.
La CNIL met à disposition une carte interactive pour savoir quels pays sont adéquats : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde.
Il y a ensuite les BCR, soit la politique intragroupe en matière de transferts des DCP hors UE. Les BCR (Binding Corporate Rules – Règles d’entreprise contraignantes) concernent les multinationales exportant des données depuis leurs entités dans l’UE vers des pays tiers n’assurant pas un niveau de protection équivalent à celui de l’UE. Elles offrent une protection adéquate aux données transférées depuis l’UE vers des pays tiers, au sein d’une même organisation ou d’un groupe. Et elles doivent être contraignantes et respectées par toutes les entités du groupe, quel que soit leur pays d’implantation.
Il y a également les CCT (Clauses Contractuelles Type dans le transfert de données), qui sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne. Les modèles de CCT sont toujours d’actualité et peuvent être utilisées dans l’attente d’une prochaine mise à jour (les CCT téléchargeables sur le site de la CNIL sont la dernière version publiée en 2004). Il existe deux modèles de CCT :
- Les CCT encadrant les transferts de DCP entre deux Responsables de traitement
- Les CCT encadrant les transferts de DCP entre un Responsable et un Sous-traitant de données personnelels
La méthodologie pour réaliser un transfert de données sous le régime de CCT est simple : il faut d’abord identifier les parties (deux RT ou RT/ST). Ensuite il faut compléter les CCT (notamment les annexes sur la description des transferts).
Si vous n’avez pas modifier le texte des CCT vous n’avez aucun démrache supplémentaire à faire auprès de la CNIL
Pour terminer il existe des dérogations, elles ne sont pas nombreuses et elles concernent :
- Les institutions internationales telles que : Onu, Unesco, Sita,…
- Le transfert vers les USA, à condition que l’entité destinataire des DCP ait adhéré à Privacy-shield.
