Le transfert de données personnelles à l’étranger peut se faire pour diverses raisons comme notamment :
- dans le cadre de la gestion du groupe : envoi vers des filiales situées en dehors de l’UE ;
- dans le cadre de l’exécution d’un contrat : contrat avec des sous-traitants localisés hors de l’UE ;
- pour l’hébergement de ces données sur des serveurs situés à l’étranger :
- etc...
Dans le but de sécuriser les transferts de données personnelles, l'entreprise responsable de traitement doit :
- répertorier tous les transferts opérés pour la mise en œuvre des traitements dans un pays tiers à l’UE ;
- vérifier que le transfert est possible dans le pays tiers à l’UE.
Pour cela, l'entreprise va procéder par étapes :
- vérifier si le pays vers lequel sont transférées les données personnelles est couvert par une décision d’adéquation adoptée par la Commission européenne.
Cette décision signifie que le pays tiers, par l'intermédiaire de sa législation interne ou de ses engagements internationaux, offre un niveau de protection des données à caractère personnel comparable à celui garanti dans l’UE. Les transferts de données personnelles sont donc libres
Info : A ce jour, la Commission a adopté des décisions d'adéquation concernant les pays et territoires suivants : Japon, Andorre, Argentine, Canada, Îles Féroé, Guernesey, Israël, Île de Man, Jersey, Nouvelle-Zélande, Suisse, Uruguay.
- si le pays vers lequel sont transférées les données personnelles n’est pas couvert par une décision d’adéquation, mettre en place des outils juridiques spécifiques destinés à la protection des données transférées du territoire européen vers des Etats tiers que sont :
- des garanties appropriées spécifiquement énumérées par le règlement général sur la protection des données (RGPD)
- en l’absence de garanties appropriées applicables, le RT vérifie si le transfert répond aux exceptions spécifiquement énumérées par le RGPD à l’article 49.
L’entreprise doit indiquer dans ces mentions d’informations aux personnes concernées, que le traitement fait l’objet d’un transfert et l’encadrement mise en œuvre afin d’en garantir la sécurité.
L’entreprise doit élaborer et conserver la documentation nécessaire pour démontrer la conformité du transfert à la réglementation et inscrire dans le registre de traitement les éléments et garanties qui ont permis d’encadrer le transfert des données personnelles.