Transfert des données hors UE
Le transfert de données personnelles en dehors des frontières de l’Union Européenne est un des points majeurs du RGPD.
La CNIL donne cette définition d’un traitement opérant un transfert de données personnelles : « Toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne ».
Autant la circulation des données personnelles au sein de l’UE est libre, autant celle en dehors de l’UE doit être encadrée. Selon les cas de figure, diverses solutions sont possibles pour s’assurer d’être conforme au RGPD :
1/ le pays vers lequel les données sont envoyées est un pays « en adéquation »
Cela signifie que la Commission Européenne a pris une décision d’adéquation pour ce pays tiers et que ce dernier, par l’intermédiaire de sa législation interne, offre un niveau de protection des données personnelles équivalent à celui garanti au sein de l’Union Européenne.
2/ Le pays destinataire n’est pas un pays en adéquation, mais des garanties appropriées sont prévues qui prennent la forme :
- De règles d’entreprise contraignantes ou Binding Corporate Rules
- De Clauses Contractuelles Types (CCT) : de nouvelles clauses, rédigées par la Commission Européeenne, sont entrées en vigueur le 27 juin 2021
- D’accords internationaux
3/ Et si le pays destinataire ne correspond à aucun des points précédents, alors seules des circonstances exceptionnelles peuvent permettre le transfert de données personnelles par exemple :
- La personne concernée a donné son consentement de façon explicite pour ce transfert
- Le transfert est nécessaire pour des motifs importants d’intérêt public
Les articles 45, 47 et 49 du RGPD fournissent les détails des différents points mentionnés ci-dessus.
Vers le Royaume-Uni ?
Pour le moment, malgré le Brexit, le Royaume Uni est en pays en adéquation (décision du 28 juin 2021 par la Commission Européenne). Le Royaume Uni a cependant annoncé vouloir s’écarter des règles européennes, jugées trop strictes. Sujet à suivre…
Vers les Etats-Unis ?
Les Etats-Unis ne sont plus un pays en adéquation, par suite de l’invalidation du « Privacy Shield » par la Cour de Justice Européenne le 16 juillet 2020. La mise en place de CCT avec les entreprises américaines peut ne pas être jugée suffisante pour garantir la protection des données personnelles transférées aux Etats-Unis. Pour exemple, la Commission Nationale de Protection des Données du Portugal a ordonné le 21/04/2021 à l’Institut national des statistiques de suspendre dans les 12 heures, tout transfert international de données à caractère personnel vers les États-Unis ou d’autres pays tiers n’offrant pas un niveau de protection adéquat. Les données personnelles transférées aux Etats-Unis comportaient des données sensibles liées à la religion et à l’état de santé.
Vers la Chine ?
La Chine n’est pas reconnue, pour le moment, comme un pays adéquat par la Commission Européenne.
L’Autorité Irlandaise de Protection des Données vient de lancer deux enquêtes concernant TikTok, la première sur l’utilisation des données des mineurs et la seconde sur le transfert de données vers le siège social qui se situe en Chine.
Et l’Autorité Norvégienne de Protection des Données a infligé une amende d’environ 500 000 € à la société Ferde SA pour avoir transféré illégalement des données personnelles des automobiliste à un sous-traitant en Chine.
Dans l’autre sens, pour l’utilisation de données personnelles chinoises par des sociétés étrangères, la Chine vient de se doter de plusieurs outils réglementaires : depuis le 1er septembre, une loi sur la sécurité des données et à partir du 1er novembre, une loi sur la protection des données sur le modèle du RGPD. De quoi complexifier le traitement des données hors de Chine et sur le territoire chinois par les entreprises étrangères…