8ème thème :  

Le transfert à l’étranger de données à caractère personnel  

 

Le transfert à l’étranger de données à caractère personnel

Condition

Nécessité d’une protection suffisante dans le pays d’établissement du destinataire

Exceptions

Un transfert vers un pays tiers n’assurant pas un niveau de protection adéquat peut être effectué : - si autorisé par la CNIL sur la base d’un contrat ou de règles internes

- à condition que la personne est consenti à ce transfert

- si le transfert est nécessaire : - à la sauvegarde de la vie de cette personne

- à la sauvegarde de l’intérêt public

- au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice

- à la consultation d’un registre public

- à l’exécution d’un contrat entre le responsable du traitement et la personne concernée

- à la conclusion ou à l’exécution d’un contrat entre le responsable du traitement et un tiers, dans l’intérêt de la personne concernée

Le transfert à l’étranger de données à caractère personnel

Qu’est-ce qu’un transfert de données à caractère personnel à l’étranger?

= toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, copie ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire.

Exemples positifs :

- Centralisation intra-groupe de la base de données de gestion des commandes et de la comptabilité clients

-Transfert vers un prestataire aux fins de saisie informatique de dossiers manuels

Exemples négatifs :

- La personne a elle-même communiqué ses données à l’entité établie à l’étranger

- Voir décision Lindqvist

Le transfert à l’étranger de données à caractère personnel

Le fait que les données soient transférées vers un pays hors UE ne doit pas diminuer la protection des personnes dont les données sont collectées :

- respect des formalités préalables auprès de la CNIL

- le transfert doit avoir une finalité déterminée, explicite et légitime

- les données transférées ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité

- les données transférées doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont transférées

- obligation d’informer la personne dont les données sont transférées

Le transfert à l’étranger de données à caractère personnel

Qu’est-ce qu’un pays assurant un niveau de protection adéquat?

Pas de définition

Pays de l’UE non concernés

Cas des pays de l’EEE (Espace Économique Européen) : Islande; Liechtenstein et Norvège.

Reconnaissance de protection par la Commission européenne :

- Argentine

- Canada

- Guernesey

- L’Ile de Man

- La Suisse

- Le cas du Safe Harbor

Pour les autres pays : clauses contractuelles ou règles internes

Le transfert à l’étranger de données à caractère personnel

Le Safe Harbor

= démarche volontaire d’entreprises US qui certifient offrir une protection adéquate

Elles disent adhérer à une série de principes tels que :

- information des personnes

- possibilité pour la personne de s’opposer à un transfert à des tiers ou à une utilisation des données pour une finalité différente

- consentement explicite pour les données sensibles

- droit d’accès

- sécurité

- etc.