Besoin d'aide

Règlement européen : quelles formalités pour les transferts hors UE ?

Avec le RGPD, il n'y a pas d'autorisation à demander à la CNIL pour transférer de données en dehors de l'Union Européenne dès lors que l'une des garanties appropriées suivantes est applicable :
  1. Le destinataire des données est établi dans un pays hors Union Européenne qui dispose d'un niveau de protection des données équivalent à celui existant au sein de l'UE, reconnu par la Commission Européenne.
  2. Un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics.
  3. Le destinataire des données fait partie d'un groupe disposant de règles d'entreprise contraignantes (Binding Corporate Rules - BCR) approuvées par le Comité européen des autorités de protection des données (EDPB).
  4. Le contrat conclu entre l'exportateur et le destinataire des données contient les clauses contractuelles types de protection des données adoptées ou approuvées par la Commission européenne.
  5. Le destinataire des données applique un code de conduite adopté par des organisations professionnelles en Europe et approuvé par l'autorité européenne de protection des données compétente.
  6. Une certification, assortie de l'engagement contraignant et exécutoire pris par le responsable du fichier ou son sous-traitant dans le pays hors UE d'appliquer les garanties appropriées. 
En revanche, il faut demander une autorisation spécifique à la CNIL pour tous les transferts faisant l'objet des garanties appropriées prévues par un des deux mécanismes suivants, avec application du mécanisme européen de contrôle de la cohérence prévu par l'article 63 du Règlement :
  1. Des clauses contractuelles spécifiques entre le responsable d'un fichier ou un sous-traitant et un autre responsable de fichier, un sous-traitant ou un destinataire des données dans le pays tiers ou l'organisation internationale.
  2. Des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées. 
A savoir : Les autorisations accordées par un État membre ou une autorité de protection des données avant le 25 mai 2018 restent valables jusqu'à leur modification, leur remplacement ou leur abrogation.

En savoir plus : Transferts de données hors UE,le cadre général prévu par le RGPD

Cette réponse vous convient-elle ?


Vous n'avez pas trouvé de réponse ?