Comment transférer des données en dehors de l'EEE conformément au RGPD ?

Elif Kaya

Legal assistant

Avant de procéder à un transfert international de données, les organisations doivent vérifier le RGPD très attentivement, car les transferts internationaux doivent être conformes non seulement au chapitre 5, mais également à toutes les autres exigences du RGPD (article 44). En outre, pour transférer des données à caractère personnel hors de l'UE, les organisations doivent suivre l'approche par étapes du Comité européen de la protection des données.

Selon cette approche, les organisations doivent vérifier s’il existe une décision d’adéquation pour le pays tiers. En l'absence d'une décision d'adéquation, ils doivent vérifier s'il existe des garanties appropriées et, en l'absence de ces dernières, ils doivent également vérifier si des dérogations s'appliquent dans des situations spécifiques (consultez notre article précédent pour un aperçu général à ce sujet). Dans cet article, nous discuterons des types de garanties appropriées de l'article 46.

Garanties appropriées

L'article 46 (2) énumère divers mécanismes pouvant être utilisés par les organisations :

  • un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics (paragraphe a) ;
  • des règles d'entreprise contraignantes (paragraphe b) ;
  • des clauses types de protection des données adoptées par la Commission (paragraphe c) ;
  • des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission (paragraphe d) ;
  • un code de conduite approuvé et un mécanisme de certification approuvé (paragraphes e et f).

Un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics

S'il y a un contrat ou un autre instrument juridiquement contraignant et exécutoire entre les autorités ou des organismes publics, le transfert de données peut être effectué entre les deux entités. Cela ne s'applique qu'aux entités publiques ayant le pouvoir de conclure des accords juridiquement contraignants.

Règles d'entreprise contraignantes

Les règles d'entreprise contraignantes (REC) sont utiles pour les entreprises multinationales car elles permettent le transfert international de données à caractère personnel entre entreprises appartenant au même groupe. Les REC sont des normes internes que les multinationales créent et respectent. Ils doivent être conformes au RGPD et refléter la culture de protection des données des entreprises.

Les organisations qui envisagent d’adopter des REC doivent suivre les directives du CEPD et choisir une autorité de contrôle conformément aux critères du Comité. Si l'autorité de contrôle est satisfaite de l'ébauche des REC, elle dirigera le processus d'autorisation et validera les REC proposées. Les organisations doivent garder à l'esprit qu'il s'agit d'un processus long et coûteux.

Clauses types de protection des données adoptées par la Commission

La Commission européenne a adopté une série de clauses contractuelles types offrant des garanties suffisantes pour les transferts internationaux de données vers les pays qui ne disposent pas d’une décision d'adéquation. Ces clauses offrent des mesures de sécurité techniques et organisationnelles à appliquer par les sous-traitants du traitement établis dans un pays tiers. En outre, ils servent de contrat type et légitimèrent les transferts internationaux de données. Par conséquent, votre organisation peut implémenter ces clauses dans son schéma de conformité RGPD.*

Clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission

Les autorités de contrôle peuvent également adopter leurs propres clauses contractuelles types qui doivent être approuvées par la Commission européenne, conformément à la procédure d'examen visée à l'article 93, paragraphe 2. Les organisations peuvent se conformer aux clauses contractuelles de leur propre autorité de contrôle (le cas échéant). En outre, s’ils disposent de l’autorisation de l’autorité de contrôle, les organisations ont la possibilité d’adopter leurs propres clauses contractuelles types.

Un code de conduite approuvé et un mécanisme de certification approuvé

Parmi les nombreux autres mécanismes de transfert international de données, des codes de conduite et des mécanismes de certification peuvent être appliqués par des secteurs spécifiques. Le considérant 77 fait référence aux codes de conduite et aux certifications approuvés en tant qu'outil permettant au responsable du traitement ou au sous-traitant de prouver sa conformité. Les syndicats ou les organisations similaires représentant un secteur peuvent créer un code de conduite conforme au RGPD.

En souscrivant volontairement à un code de conduite, les organisations et les entreprises peuvent démontrer que leurs activités de traitement sont conformes aux principes du RGPD (loyauté, transparence, licéité). Les codes doivent être approuvés par l'autorité de contrôle de l'État membre d'origine du transfert international de données. Si l'activité de traitement comprend plusieurs États membres, le CEPD doit exprimer un avis sur ce code.

L'une des nouveautés introduites par le RGPD, qui peut également être utilisé pour démontrer la conformité, est le mécanisme de certification. Le CEPD a donné des directives sur l’accréditation des organismes de certification dans le cadre du RGPD et a expliqué le rôle de l’organisme national d’accréditation et de l’autorité de contrôle. Les certifications sont préparées par des organismes de certification ou par les autorités de contrôle compétentes.**

Conclusion

Comme nous l'avons vu, des garanties appropriées constituent une base légitime pour les transferts internationaux dans le cadre du RGPD. Quelle est la meilleure alternative pour votre organisation ? Cela dépendra de vos besoins spécifiques. Il est donc probablement préférable de disposer de conseils juridiques spécialisés internes ou externes sur la manière de les utiliser.

Elif Kaya

PrivacyPerfect

rgpd gratuit guide

 

Remarques :

*Vous trouverez les clauses types de protection des données ici :

Pour un responsable de l'UE à un responsable non-européen :

Décision 2001/497/CE

Décision 2004/915/CE

Pour un responsable de l'UE à un sous-traitant non-européen :

Décision 2010/87/UE

**Pour plus de détails, voir le fichier.