8ème thème : Le transfert à létranger de données à caractère personnel.
-
Upload
christine-le-floch -
Category
Documents
-
view
108 -
download
2
Transcript of 8ème thème : Le transfert à létranger de données à caractère personnel.
8ème thème :
Le transfert à l’étranger de données à caractère personnel
Le transfert à l’étranger de données à caractère personnel
Condition
Nécessité d’une protection suffisante dans le pays d’établissement du destinataire
Exceptions
Un transfert vers un pays tiers n’assurant pas un niveau de protection adéquat peut être effectué : - si autorisé par la CNIL sur la base d’un contrat ou de règles internes
- à condition que la personne est consenti à ce transfert
- si le transfert est nécessaire : - à la sauvegarde de la vie de cette personne
- à la sauvegarde de l’intérêt public
- au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice
- à la consultation d’un registre public
- à l’exécution d’un contrat entre le responsable du traitement et la personne concernée
- à la conclusion ou à l’exécution d’un contrat entre le responsable du traitement et un tiers, dans l’intérêt de la personne concernée
Le transfert à l’étranger de données à caractère personnel
Qu’est-ce qu’un transfert de données à caractère personnel à l’étranger?
= toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, copie ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire.
Exemples positifs :
- Centralisation intra-groupe de la base de données de gestion des commandes et de la comptabilité clients
-Transfert vers un prestataire aux fins de saisie informatique de dossiers manuels
Exemples négatifs :
- La personne a elle-même communiqué ses données à l’entité établie à l’étranger
- Voir décision Lindqvist
Le transfert à l’étranger de données à caractère personnel
Le fait que les données soient transférées vers un pays hors UE ne doit pas diminuer la protection des personnes dont les données sont collectées :
- respect des formalités préalables auprès de la CNIL
- le transfert doit avoir une finalité déterminée, explicite et légitime
- les données transférées ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité
- les données transférées doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont transférées
- obligation d’informer la personne dont les données sont transférées
Le transfert à l’étranger de données à caractère personnel
Qu’est-ce qu’un pays assurant un niveau de protection adéquat?
Pas de définition
Pays de l’UE non concernés
Cas des pays de l’EEE (Espace Économique Européen) : Islande; Liechtenstein et Norvège.
Reconnaissance de protection par la Commission européenne :
- Argentine
- Canada
- Guernesey
- L’Ile de Man
- La Suisse
- Le cas du Safe Harbor
Pour les autres pays : clauses contractuelles ou règles internes
Le transfert à l’étranger de données à caractère personnel
Le Safe Harbor
= démarche volontaire d’entreprises US qui certifient offrir une protection adéquate
Elles disent adhérer à une série de principes tels que :
- information des personnes
- possibilité pour la personne de s’opposer à un transfert à des tiers ou à une utilisation des données pour une finalité différente
- consentement explicite pour les données sensibles
- droit d’accès
- sécurité
- etc.