![La liste des pays adéquats pour les transferts RGPD [TABLEAU]](https://static.dastra.eu/content/78e07e43-ef74-4aff-a86b-7c61c0b3d7ec/christian-lue-8yw6tsb8tnc-unsplash-1000.webp)
Le transfert de données personnelles vers des pays situés en dehors de l'Espace économique européen (EEE) est par défaut interdit. Toutefois des exceptions sont prévus par le Règlement Général sur la Protection des Données (RGPD). L'un des mécanismes clés pour sécuriser ces transferts est la reconnaissance de l'adéquation du pays destinataire par la Commission européenne. Cet article vise à éclairer les Délégués à la Protection des Données (DPO) et autres professionnels de la protection des données sur la liste des pays jugés adéquats par l'Union européenne pour les transferts de données personnelles.
Le cadre juridique de l'article 45 du RGPD
L'article 45 du RGPD permet les transferts de données personnelles vers un pays tiers ou une organisation internationale lorsque la Commission européenne a décidé que ce pays tiers, ce territoire ou un ou plusieurs secteurs spécifiques au sein de ce pays tiers, ou cette organisation internationale, assure un niveau de protection adéquat. Cette décision d'adéquation implique que le pays tiers ou l'organisation internationale offre un niveau de protection des données essentiellement équivalent à celui garanti au sein de l'UE/EEE. Cette évaluation est basée sur plusieurs critères, notamment :
- Le respect de l'état de droit, des droits de l'homme et des libertés fondamentales.
- L'existence et le fonctionnement effectif d'une ou plusieurs autorités de contrôle indépendantes.
- Les engagements internationaux du pays ou de l'organisation internationale en matière de protection des données.
Liste des pays adéquats et décisions d'adéquation
Voici une description détaillée des pays actuellement reconnus comme offrant une protection adéquate des données par la Commission européenne, ainsi que les décisions d'adéquation correspondantes et une brève description de leur législation locale sur la protection des données :
| Pays | Décision d'adéquation | Loi locale | Description | URL |
|---|---|---|---|---|
| Andorre | 19 octobre 2010 | Loi 15/2003 sur la protection des données personnelles | La loi andorrane garantit la protection des données personnelles et est alignée sur les principes du RGPD. | Décision de la Commission sur Andorre |
| Argentine | 3 juin 2003 | Loi 25.326 sur la protection des données personnelles | La loi argentine établit des principes forts de protection des données, similaires à ceux du RGPD. | Décision de la Commission sur l'Argentine |
| Canada | 20 décembre 2001 | Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) | PIPEDA s'applique aux organisations commerciales et assure un niveau de protection adéquat. Seules les organisations commerciales sont couvertes par cette décision d'adéquation. Les traitements de données dans les secteurs privés comme le commerce, les services financiers, et autres organisations commerciales sont inclus. |
Décision de la Commission sur le Canada |
| Îles Féroé | 8 décembre 2010 | Loi sur la protection des données personnelles | La législation des Îles Féroé est conforme aux principes du RGPD, assurant ainsi une protection adéquate. | Décision de la Commission sur les Îles Féroé |
| Guernesey | 21 novembre 2003 | Loi sur la protection des données (Data Protection (Bailiwick of Guernsey) Law, 2017) | La loi de Guernesey est alignée sur les normes du RGPD, garantissant un niveau de protection élevé. | Décision de la Commission sur Guernesey |
| Israël | 31 janvier 2011 | Loi sur la protection de la vie privée, 1981 | La loi israélienne sur la protection des données est considérée comme offrant une protection adéquate. | Décision de la Commission sur Israël |
| Île de Man | 28 avril 2010 | Loi sur la protection des données (Data Protection Act 2002) | La législation de l'Île de Man est conforme aux exigences européennes en matière de protection des données. | Décision de la Commission sur l'Île de Man |
| Japon | 23 janvier 2019 | Loi sur la protection des informations personnelles (APPI) | Le Japon a mis en place des garanties supplémentaires pour aligner sa protection des données sur les normes de l'UE. | Décision de la Commission sur le Japon |
| Jersey | 21 novembre 2003 | Loi sur la protection des données (Data Protection (Jersey) Law 2018) | Jersey dispose de lois conformes aux principes de protection des données de l'UE. | Décision de la Commission sur Jersey |
| Nouvelle-Zélande | 19 décembre 2012 | Loi sur la protection des informations personnelles (Privacy Act 1993, amendée en 2020) | La Nouvelle-Zélande assure une protection adéquate des données avec des principes alignés sur ceux de l'UE. | Décision de la Commission sur la Nouvelle-Zélande |
| Suisse | 26 juillet 2000 | Loi fédérale sur la protection des données (LPD) | La législation suisse est harmonisée avec celle de l'UE, garantissant une protection adéquate. | Décision de la Commission sur la Suisse |
| Uruguay | 21 août 2012 | Loi sur la protection des données personnelles et d'Habeas Data (Loi n° 18.331) | L'Uruguay a mis en place une législation rigoureuse sur la protection des données personnelles. | Décision de la Commission sur l'Uruguay |
| Royaume-Uni | 28 juin 2021 | Data Protection Act 2018 | Suite au Brexit, le Royaume-Uni a obtenu une décision d'adéquation, confirmant que ses lois de protection des données offrent une protection équivalente à celle du RGPD. | Décision de la Commission sur le Royaume-Uni |
| République de Corée | 17 décembre 2021 | Loi sur la protection des informations personnelles (PIPA) | La République de Corée a mis en place des mesures pour aligner sa législation sur la protection des données avec les exigences du RGPD. | Décision de la Commission sur la Corée du Sud |
Adéquation des États-Unis : le Data Privacy Framework
Après les invalidations successives des cadres Safe Harbor et Privacy Shield, l'Union européenne et les États-Unis ont négocié un nouveau cadre de transfert de données. La Commission européenne a adopté une décision d'adéquation pour les États-Unis le 10 juillet 2023.
- Décision d'adéquation : 10 juillet 2023
- Loi locale : Data Privacy Framework (DPF)
- Description : Le Data Privacy Framework (DPF) a été mis en place pour répondre aux préoccupations soulevées par la CJUE concernant la surveillance gouvernementale et les recours pour les personnes concernées. Il inclut des engagements contraignants de la part des autorités américaines pour limiter l'accès des agences de renseignement aux données de l'UE et offrir des recours efficaces aux citoyens européens. Le DPF repose également sur un mécanisme d'autocertification où les entreprises américaines doivent s'engager à respecter les principes de protection des données définis par le cadre et à renouveler cette certification chaque année.
- URL : Décision de la Commission sur les États-Unis
Processus de révision et révocation
Les décisions d'adéquation ne sont pas permanentes. La Commission européenne surveille en permanence l'évolution des lois et des pratiques de protection des données dans les pays tiers et peut révoquer ou suspendre une décision d'adéquation si elle estime que le niveau de protection adéquat n'est plus assuré.
Conséquences pratiques pour les organisations
La décision d'adéquation simplifie grandement les transferts de données vers ces pays en supprimant la nécessité de recourir à des garanties supplémentaires telles que les clauses contractuelles types, les règles d'entreprise contraignantes ou les codes de conduite. Pour les DPO, cela signifie une charge administrative réduite et une plus grande sécurité juridique lors de la planification des transferts de données.
Pour les organisations opérant au sein de l'UE/EEE, il est essentiel de rester informées sur l'état des décisions d'adéquation, car tout changement peut affecter leurs stratégies de transfert de données. Voici quelques bonnes pratiques :
- Vérification régulière : Consultez régulièrement la liste des pays adéquats sur le site de la Commission européenne pour rester à jour.
- Clauses Contractuelles Types : Ayez des mécanismes alternatifs prêts, tels que des clauses contractuelles types, pour les transferts vers des pays qui pourraient perdre leur statut d'adéquation.
- Évaluation continue : Évaluez régulièrement les risques liés aux transferts de données vers des pays tiers, même ceux reconnus comme adéquats.
Rapport de la Commission sur les décisions d'adéquation d'avril 2024
Pour plus d'informations sur les décisions d'adéquation et les mécanismes de transfert de données, consultez le rapport de la Commission européenne publié en 2024. Ce rapport offre une analyse détaillée des cadres de transfert de données et des décisions d'adéquation en vigueur. Elle renouvelle les décisions pour 11 pays.
- Lien vers le rapport : Rapport de la Commission (2024)
- Communiqué de presse associé : Communiqué de presse de la Commission européenne
Comment Dastra vous aide ?
Nous incluons par défaut dans notre plateforme la liste des pays reconnus adéquats par la Commission européenne et les maintenons à jour. De plus, nous maintenons une veille nécessaire en cas de changement sur ces décisions d'adéquation. Grâce à notre carte du monde interactive, vous pouvez visualiser tous les transferts pour les traitements de données et vérifier rapidement la conformité de ceux ci.