Décision d'adéquation RGPD : Quels pays sont concernés ?

Accueil Blog RGPD Décision d’adéquation RGPD : Quels pays sont concernés ?

Crédits photo : Freepik, pressfoto

Récapitulatif sur les transferts de données hors UE

Le Règlement Général sur la Protection des Données est un texte d’envergure européenne, qui a pour objectif de favoriser la libre circulation des données au sein de l’Union. En effet, en imposant à tous les pays de l’Union européenne les mêmes règles en matière de protection des données à caractère personnel, tous les organismes situés sur le territoire protègent, par principe, les données de la même manière. Grâce à ces règles communes, et à une protection égale, les données personnelles des citoyens peuvent être partagées librement entre les organismes situés au sein chaque état membre de l’UE (sous couvert du bon respect des principes du RGPD, tels que l’information des personnes, la licéité et finalités du traitement des données, le respect des droits et libertés des personnes physiques ou encore la mise en place de mesures de sécurité appropriées).

Des questions se posent alors, lorsqu’un organisme souhaite transférer des données à un tiers situé en dehors de l’Union européenne. Le transfert de données personnelles sera possible à condition qu’un niveau de protection suffisant et approprié soit assuré par le Responsable du Traitement. Le RGPD liste à son chapitre V ¹, les différents outils juridiques auxquels les organismes et leurs Data Protection Officer peuvent avoir recours pour effectuer des transferts vers un pays tier. Par exemple :

La présence d’une décision d’adéquation
La fourniture de garanties appropriées, comme par exemple des clauses contractuelles types (CCT) de la Commission européenne, des règles internes d’entreprises ² (BCR, ou règles d’entreprise contraignantes) ou encore un code de conduite
Des dérogations

Nous vous proposons dans cet article, de faire un zoom sur la décision d’adéquation afin d’en comprendre les tenants et les aboutissants.

RGPD décision d’adéquation : Qu’est-ce que c’est ?

La décision d’adéquation est considérée comme le premier outil juridique d’encadrement. Elle consiste en une évaluation effectuée par la Commission européenne pour déterminer si un pays tiers assure un niveau de protection des données personnelles des personnes concernées équivalant à celui de l’Union européenne.

Lors de son évaluation, la Commission va prendre en compte plusieurs éléments afin de réaliser un audit global du paysage de la protection des données personnelles du pays en question, en allant des mesures de protection applicables aux données aux mécanismes de surveillance et de recours existants. Si elle estime que le pays garantit un niveau de protection adéquat, elle émettra alors une décision d’adéquation. Cela signifie que les organismes situés au sein de l’Union pourront transférer des données personnelles vers le pays tiers sans nécessiter la mise en place d’instrument juridique supplémentaire. En d’autres termes, le transfert de données hors UE sera considéré comme sûr, car le pays tiers offre un niveau de protection équivalent à celui de l’Union européenne.

Il faut cependant noter qu’une décision d’adéquation n’est pas permanente. La Commission européenne peut la réévaluer à tout moment, notamment en cas de changements dans les lois ou les pratiques du pays tiers pouvant compromettre la protection des données personnelles. Les responsables de traitements doivent dès lors être prudent en cas de recours à un sous-traitant impliquant des transferts hors UE, la collaboration avec ledit sous-traitant pouvant être remise en question à tout moment, comme se fût par exemple le cas pour de nombreuses entreprises avec l’invalidation du Privacy Shield ³ Américain.

En l’absence d’une décision d’adéquation, l’organisme souhaitant transférer des données devra se tourner vers des garanties appropriées ou identifier si son transfert entre dans le cadre d’une des dérogations du RGPD.

Quels sont les pays considérés comme adéquats ?

A ce jour, nous comptons 15 pays considérés comme adéquats par la Commission européenne :

Partiellement adéquat : Andorre, Argentine, Canada
Partiellement adéquat : Corée du Sud, Etats-Unis
Totalement adéquat : Guernesey, Île de Man, Îles Féroé, Israël, Japon, Jersey, Nouvelle-Zélande, Royaume Uni, Suisse et Uruguay

Si vous souhaitez étudier plus en détail quel pays est adéquat, partiellement adéquat, ou non adéquat, la Commission Nationale de l’Informatique et des Libertés (l’autorité de contrôle Française de protection des données) met à disposition une carte interactive ⁴ indiquant le niveau de protection des données de chaque pays.