Accueil //Blog //RGPD //RGPD hors UE : Les dérogations pour les transferts de données
Crédits photo : Naulicreative, Freepik

RGPD Hors UE : Quelles sont les dérogations applicables en matière de transfert des données ?

Le Règlement Général sur la Protection des Données introduit des normes strictes pour le traitement des données personnelles, notamment en ce qui concerne les transferts de données. Tout transfert de données personnelles en dehors de l’Union européenne (UE) est soumis à des règles rigoureuses, d’autant plus s’il s’agit de données sensibles. L’objectif est de garantir un niveau de protection des données à caractère personnel équivalent à celui imposé par les exigences européennes.

Ainsi, tout organisme souhaitant faire appel à un prestataire ou un sous-traitant situé en dehors de l’Union, ou dont les services impliquent un transfert de données en dehors de l’Union, doit vérifier au préalable certains points pour s’assurer que ce transfert se fera en toute sécurité et en conformité avec les règles applicables.

Visionnez le replay

Quelles règles encadrent les transferts de données ?

Alors que la transmission de données au sein de l’UE ne nécessitent le recours à aucune mesure supplémentaire, des précautions strictes doivent être prises par le Responsable de traitement et son Délégué à la Protection des Données lorsqu’il s’agit de pays situés en dehors de l’UE1.

Pour les pays tiers, on distingue ceux considérés comme présentant un niveau de protection des données collectées et traitées équivalent à celui de l’UE et les autres pays, jugés non adéquats. Pour qu’un pays soit présenté comme présentant un niveau de protection adéquat, la Commission européenne prend en compte divers facteurs lors de son évaluation, tels que la législation locale en matière de protection des données, l’existence d’une autorité de contrôle, les engagements internationaux du pays, et les mécanismes de recours disponibles pour les personnes physiques.

Des décisions d’adéquation ont déjà été prises pour certains pays tiers, dont la Corée du Sud, le Japon, et le Royaume-Uni. Ces décisions reconnaissent un niveau de protection des données équivalent à celui de l’UE, permettant ainsi des transferts libres de données vers ces pays.

En l’absence d’une décision d’adéquation, des garanties appropriées doivent être mises en place par le responsable du traitement et son Data Protection Officer pour assurer un niveau de protection équivalent à celui de l’UE, conformément à l’article 46 du RGPD2. Parmi ces garanties figurent les clauses contractuelles types3 (CCT), les règles d’entreprise contraignantes (BCR), ou encore l’adoption d’un code de conduite approuvé. Ainsi, lorsque des transferts de données internationaux sont envisagés, la première étape consiste à vérifier si le pays tiers en question est reconnu comme étant adéquat par la Commission européenne. Cette vérification détermine la nécessité ou non de mettre en place des garanties supplémentaires, comme c’est le cas avec les Etats-Unis depuis l’invalidation du Privacy Shield.

Certaines dérogations existent toutefois, bien qu’elles soient limitées à des situations particulières.

Découvrir

Quelles exceptions permettent les transferts de données hors UE ?

Bien que le transfert des données vers un pays tiers non reconnu comme adéquat doit reposer sur l’une des garanties de l’article 46 du RGPD, des dérogations sont tout de même prévues. Celles-ci sont introduites à l’article 49 du RGPD3, mais elles ne peuvent être utilisées que dans des circonstances spécifiques, pour correspondre à des finalités spécifiques du traitement.

Elles sont au nombre de 7 :

  • Consentement explicite de la personne concernée, après avoir été informée des risques du transfert.
  • Exécution de mesures précontractuelles ou d’un contrat liant la personne concernée et le responsable de traitement.
  • Conclusion ou exécution d’un contrat conclu dans l’intérêt de la personne concernée.
  • Existence d’un motif important d’intérêt public rendant le transfert nécessaire.
  • Constatation, exercice ou défense de droits en justice rendant la réalisation du transfert indispensable.
  • Sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, dans le cas où la personne concernée se trouve dans l’incapacité de donner son consentement.
  • Transfert ayant lieu au départ d’un registre destiné légalement à fournir des informations au public.

Ces dérogations sont interprétées de manière stricte par les autorités de protection des données pour éviter que l’exception ne prévale sur la règle. Il faut ainsi veiller à ce que le recours à l’une de ces dérogations n’engendre la violation d’un droit fondamental.

Sources

1 Encadrement des transferts de données entre les Etats-Unis et l’Union Européenne, Article de Data Legal Drive

2 RGPD article 46, site de la CNIL (Commission Nationale de l’Informatique et Libertés)

3 2021, l’année des clauses contractuelles types pour les DPO, Article de Data Legal Drive

4 RGPD article 49, site de la CNIL

À lire aussi