Besoin d'aide

Transférer des données personnelles hors de l'Union Européenne, c'est possible ?

Oui, sous condition de respecter l'une des garanties suivantes :

• Si le pays de destination a une législation reconnue par la Commission Européenne comme offrant une protection des données personnelles équivalente à celle existante en Europe ;
• Si les organismes expéditeur et destinataire des données ont signé entre eux des clauses contractuelles types, sur la base des modèles de la Commission Européenne ;
• Si le transfert a lieu entre des entités d'un groupe ayant adopté des "règles internes d'entreprise" ("Binding corporate rules" ou BCR). Ces règles internes constituent un code de conduite propre à l'entreprise, qui encadre la sécurité des transferts de données ;
• Le destinataire des données applique un code de conduite adopté par des organisations professionnelles en Europe et approuvé par l'autorité européenne de protection des données compétente ;
• Une certification, assortie de l'engagement contraignant et exécutoire pris par le responsable du fichier ou son sous-traitant dans le pays hors UE d'appliquer les garanties appropriées ;
• Dans certains cas particuliers prévus par le Règlement général sur la protection des données (par exemple, la sauvegarde de la vie d'une personne) ;
• Une autorisation préalable de la CNIL, en cas de clauses contractuelles propres différentes des clauses types ou en cas de dispositions intégrées dans les arrangements entre autorités et organismes publics.

A savoir : s'il ne respecte pas ces conditions, le responsable de traitement qui transfère les données risque des sanctions.

En savoir plus : Transferts de données hors UE, ce qui change avec le RGPD