actualisé suite au RGPD

Transferts en dehors de l'UE - niveau de protection adéquat

Tout responsable de traitement qui souhaite exporter des données à caractère personnel hors de l’Union européenne doit d’abord se renseigner sur le niveau de protection adéquat du pays destinataire. En effet, lorsque le pays tiers est considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert au sein de l’Union européenne.

Il faudra néanmoins toujours respecter les principes généraux du RGPD (notamment, légitimité, compatibilité de la communication des données à un tiers avec le traitement d’origine, information des personnes concernées).

L'évaluation du caractère adéquat du niveau de protection des pays hors de l’Union européenne s'apprécie notamment sur la base de la législation générale et sectorielle du pays en question et des règles professionnelles.

Quels sont les pays qui sont considérés comme offrant un niveau de protection adéquat ?

La Commission européenne a reconnu le caractère adéquat du niveau de protection des pays suivants :
- l’Andorre;
- l’Argentine;
- le Canada (pour les traitements soumis à la loi canadienne "Personal Information Protection and Electronic Documentation Act");
- les îles Féroé;
- Guernesey;
- l’Israël;
- l’île de Man;
- Jersey;
- la Nouvelle-Zélande;
- la Suisse;
- l’Uruguay; et
-  les Etats-Unis (pour les sociétés certifiées par le bouclier EU-US "Privacy Shield'),

Vous pouvez prendre connaissance des dernières mises à jour de la liste des pays considérés comme assurant un niveau de protection adéquat sur le site Internet de la Commission européenne.

Pour ce qui concerne en particulier l'envoi de données à des fins commerciales aux Etats-Unis, la Commission européenne avait émis une décision d’adéquation le 26 juillet 2000 concernant les principes de la sphère de sécurité (Safe Harbor principles). Cette décision a été toutefois invalidée le mardi 6 octobre 2015, par la Cour de Justice de l’Union européenne dans l'arrêt "Schrems".  Les entreprises ne peuvent donc se référer à cette seule décision pour encadrer juridiquement leurs transferts de données vers les Etats-Unis. La décision a toutefois été remplacée par une nouvelle décision d'adéquation relative au "Privacy Shield". Le "Privacy Shield" est opérationnel depuis le 1er août 2016.

En savoir plus sur le Privacy Shield