Les transferts de données vers des pays tiers
Article 44Fondamental
« Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis. »
Le transfert fondé sur une décision d'adéquationFondamental
Ce transfert repose sur le principe que la Commission a constaté par voie de décision que le pays tiers, l'organisation internationale, le territoire, assure un niveau de protection adéquat. Ce constat se base sur les paramètres suivants :
L'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation en matière de sécurité publique, de défense et droit pénal. Les éléments de législation applicables en matière de traitement de données à caractère personnel, ce qui est notamment prévu en matière de transfert de données vers un pays tiers.
S'il existe une ou plusieurs autorités de contrôle indépendantes, ces dernières étant chargées notamment de veiller au respect des règles en matière de protection de données,
Les engagements internationaux existants pris par le pays tiers.
Tous ces éléments de contexte évalués, la Commission peut décider, par voie d'actes d'exécution, que le pays tiers, l'organisation internationale, le territoire, assure un niveau de protection adéquat. Des mécanismes de contrôles et de révision sont actés - examen périodique tous les 4 ans afin de prendre en compte toutes les évolutions du pays tiers en matière de législation notamment.
En cas de manquement constaté, lors de l'examen périodique, le pays ne garantissant plus le niveau de protection adéquat, la Commission peut abroger, modifier, suspendre la décision prise par voie d'exécution, avec application immédiate.
La Commission publie au Journal Officiel de l'Union Européenne la liste des pays des pays qui assurent un niveau de protection adéquat et ceux qui ne remplissent pas ou qui ne remplissent plus les conditions requises.
Le transfert moyennant des garanties appropriéesFondamental
En dehors du cadre des actes par voie d'exécution pris par la Commission, un responsable de traitement ou un sous-traitant peut réaliser un transfert de données vers un pays tiers que si il a prévu des garanties appropriées et que si les personnes concernées par le traitement disposent des droits opposables et des voies de droit effectives. L'autorisation préalable de l'autorité de contrôle n'est pas nécessaire.
Les garanties appropriées doivent faire état :
D'un processus juridique contraignant et exécutoire,
Des règles d'entreprise contraignantes notamment pour régler le cas du groupe constitué de plusieurs entités ou du groupe d'entreprises engagées dans une activité économique commune - article 47,
De clauses types et références légales adoptées par la Commission,
Prévoir le code de conduite approuvé par l'autorité de contrôle auquel s'ajoute un engagement contraignant et exécutoire pris par le responsable du traitement,
Une certification approuvée par le responsable du traitement du pays tiers auquel s'ajoute un engagement contraignant et exécutoire,
Ces garanties appropriées peuvent sous réserve de l'autorisation de l'autorité de contrôle faire l'objet d'une ou plusieurs clauses contractuelles intégrées dans le contrat de prestataire signé entre les acteurs.
Les dérogations pour des situations particulières - article 49Fondamental
La personne a donné, son consentement explicite pour que le transfert puisse être envisagé.
Le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement.
Le transfert est nécessaire a la conclusion d'un contrat dans l'intérêt de la personne entre le responsable du traitement et une autre personne physique ou morale.
Le transfert est nécessaire pour des motifs importants d'intérêt public.
Le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice.
Le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée - attention cette dernière doit être dans l'incapacité d'exprimer son consentement.