Transfert des données à caractère personnel hors UE : les principes fondamentaux ne changent pas


Si le RGPD, dont les dispositions seront applicables à compter du 25 mai 2018, modifie l’approche que les entreprises devront accorder aux traitements des données à caractère personnel, certains domaines ne seront pas bouleversés par ces nouvelles dispositions.

 

Il en est ainsi du transfert des données à caractère personnel hors de l’UE.

 

Le principe demeure le même : interdiction de transférer des données à caractère personnel hors du territoire de l’UE (y compris l’Islande, le Liechtenstein et la Norvège), à moins que le pays ou le destinataire n’assure un niveau de protection suffisant[1]. 

 

Cela étant, ce principe connaît des exceptions et des aménagements salvateurs. Il eût été, en effet, peu concevable,  anti-économique et contre le cours de l’histoire d’établir une prohibition absolue de circulation de certaines données à travers le monde.

 

L’article 69 de la Loi Informatique et Libertés énumère la liste des exceptions :

 

  • La personne concernée par ledit traitement doit avoir consenti expressément au transfert de ses données à caractère personnel, ou
  • ledit transfère s’avère nécessaire soit :
    • à la sauvegarde de la vie de cette personne ;
    • à la sauvegarde de l’intérêt public ;
    • au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
    • […]
    • à l’exécution d’un contrat entre le responsable de traitement (i.e. celui qui détermine la finalité de traitement des données à caractère personnel) et la personne concernée ou de mesures précontractuelles prises à la demande de celui-ci ;
    • à la conclusion ou l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.

 

La CNIL précise que, non seulement, ces exceptions ne s’appliquent que dans le cadre d’une relation directe entre le responsable de traitement et la personne concernée et elles s’interprètent strictement.

A titre d’exemple, dans le cadre d’une relation de travail, l’employeur qui souhaiterait externaliser/transférer la gestion de la paye des salariés vers une de ses filiales ou sa société mère située hors de l’UE ne pourra pas se contenter du consentement de son salarié, celui-ci étant considéré comme non éclairé en raison du lien de subordination liant les parties.

 

S’agissant des aménagements, deux outils ont été mis en place :

  • les Règles Internes d’Entreprise ou Binding Corporate Rules (BCR), définies comme un code de conduite interne définissant la politique d’un groupe (plus précisément une multinationale) en matière de transfert de données à caractère personnel, et
  • les Clauses Contractuelles Types (les « CCT ») élaborées par la Commission européenne, soit entre responsables de traitements, soit entre responsable de traitement et sous-traitant : il s’agit de modèles de clauses contractuelles adoptées par la Commission européenne qui permettent d'encadrer les transferts de données personnelles hors de l'Union européenne.

 

Dans la majorité des cas, nous préconisons aux entreprises, par souci de pragmatisme, d’encadrer leur transfert des données à caractère personnel hors UE par les CCT. En effet, si vous signez avec votre partenaire situé hors de l’UE les CCT élaborées par la Commission européenne sans les modifier, vous n’aurez qu’à les tenir à disposition de la CNIL, en cas de contrôle, pour que votre transfert soit valablement encadré juridiquement, à charge cependant pour vous de vous assurer que votre partenaire respecte bien les stipulations desdites CCT.

 

Enfin, si vous souhaitez transférer des données à caractère personnel vers les Etats-Unis, vous pouvez également vérifier si l’entité destinataire desdites données à adhérer au « Privacy Shield » (qui a remplacé le « Safe Harbor », tombé sous la jurisprudence de la CJUE et du fameux arrêt « Schrems » du 6 octobre 2015), mécanisme d’auto-certification pour les entreprises établies aux États-Unis qui a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers  des entreprises établies aux États-Unis[2]… à moins qu’un nouveau Monsieur Maximillian Schrems ne vienne remettre en cause ce mécanisme.

 

En tout état de cause, il convient pour chaque entreprise souhaitant transférer des données hors de l’UE de choisir et utiliser la base légale qui encadrera valablement ledit transfert.

 

Pour ce faire, une analyse juridique de la situation peut s’avérer nécessaire.

 


[1]Liste des pays assurant à ce jour un niveau de protection adéquat : Andorre, Argentine, Canada, Iles Féroé, Ile de Man, de Guernesey, de Jersey, Israël, Uruguay et Suisse.


Derniers articles

Pourquoi désigner un DPO lorsqu'on est une commune ?

Qu’apporte de nouveau le guide de sécurité des données personnelles de la CNIL dans sa version 2024 ?

Être ou recourir à un Hébergeur de Données de Santé ? : telle est la question

META : Vers une nouvelle sanction pour violation du RGPD ?

Les sujets de contrôle de la CNIL en 2024 et leurs implications pratiques

RGPD : Un an après…le jour d’après

De quoi l’amende de 50 millions d’euros sanctionnant Google est-elle le nom ?

RGPD : L’analyse d’impact : En pratique, cela correspond à quoi ?

RGPD : Du juridique au soutien de la technique (et inversement)

RGPD : Mise en conformité : Pour quoi faire ?

RGPD : mise en conformité : Les jours d’après le 25 mai 2018

Mise en conformité RGPD : Combien ça coûte ?

Création et référencement du site par Créer un site internet d'avocat

Connexion