Javascript is required
logo-dastralogo-dastra

Transfert de données à caractère personnel

Antoine Bidault
Antoine Bidault
15 janvier 2021

Définition :

On parle de transfert de données personnelles lorsque les données personnelles sont transférées depuis le territoire européen vers un ou des pays situés hors de l'Union européenne. Le transfert peut s’effectuer, par copie, par déplacement de données, par l’intermédiaire d’un réseau ou d’un support à un autre (exemple d’un disque dur d’ordinateur à un serveur).

Trois critères cumulatifs sont nécessaires pour déterminer s'il s'agit d'un transfert de données personnelles vers un pays tiers. Cela signifie que si un traitement répond à ces trois critères, il constituera un transfert au sens du chapitre V du RGPD.

Les trois critères sont les suivants :

  1. Un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement donné.
  2. Ce responsable du traitement ou ce sous-traitant ("exportateur") divulgue par transmission ou met autrement à la disposition d'un autre responsable du traitement, d'un responsable conjoint du traitement ou d'un sous-traitant ("importateur") des données à caractère personnel faisant l'objet de ce traitement.
  3. L'importateur se trouve dans un pays tiers ou est une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement donné conformément à l'article 3.
    En revanche, si un traitement ne répond pas à ces trois critères, il ne constituera pas un transfert au sens du chapitre V du RGPD.

Exemple 1 - Une entreprise souhaite sous-traiter la gestion des relances téléphoniques de ses clients à une société située dans un pays situé hors de l’Union européenne.

Exemple 2 - Les données des salariés d’une multinationale sont centralisées par la maison mère située aux Etats-Unis. Les données personnelles des salariés français font donc l’objet d’un transfert vers les Etats-Unis.

Les transferts de données hors de l’Union européenne sont par principe interdits.

Les articles 44 à 49 du RGPD prévoient des exceptions à cette interdiction. Ils prévoient l’utilisation d’outils permettant d’encadrer ce transfert :

  • une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat ;
  • des clauses contractuelles types (CCT) de la Commission européenne ;
  • des règles internes d’entreprises (BCR) ;
  • des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne) ;
  • des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
  • un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
  • un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
  • un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).

Des dérogations sont prévues à l’article 49 du RGPD. Si une dérogation justifie le transfert, il faut indiquer la nature de celle-ci et le cas échéant, détailler l’évaluation des circonstances du transfert et des garanties appropriées.

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.