Oui, des données à caractère personnel peuvent être transférées vers la Corée du Sud (appelée officiellement République de Corée), car l’Union européenne (UE) a jugé, le 17 décembre 2021, que la politique du pays relative à la protection des données propose un niveau de protection équivalent au RGPD[1].

La République de Corée ne faisant pas partie de l’Union européenne, les entreprises qui souhaitaient transférer des données à caractère personnel vers la Corée du Sud devaient apporter des garanties pour justifier que les données des européens bénéficiaient d’un niveau de sécurité adapté.

Depuis le 17 décembre 2021, ces garanties ne sont plus nécessaires, car la Commission européenne a jugé que le pays apportait un niveau de protection des données suffisamment élevé.

« la République de Corée assure un niveau de protection adéquat des données à caractère personnel transférées dans le cadre du [RGPD] de l’Union européenne vers la République de Corée »

Les entreprises européennes peuvent, par conséquent, transférer les données à caractère personnel vers un sous-traitant situé en République de Corée ou traiter ces données avec un outil en ligne édité par une entreprise sud-coréenne.

« Sur la base de cette décision, les données à caractère personnel pourront être transférées en toute sécurité de l’UE vers la République de Corée au bénéfice des citoyens et des économies des deux parties, d’autres autorisations ou des outils supplémentaires n’étant pas nécessaires »

Cette décision de l’UE, appelée « acte d’exécution », a été prise conformément au RGPD[2] et suite à une étude approfondie[3] des lois sud-coréennes. Elle est valable pour une durée de 4 ans, à compter du 17 décembre 2021, mais peut être modifiée ou abrogée si les textes coréens venaient à évoluer et n’assuraient plus un niveau de protection suffisant.

« Lorsque la Commission [de l’UE] est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission [de l’UE] en informe les autorités coréennes compétentes et peut suspendre, abroger ou modifier la présente décision. »

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD intègre un mécanisme permettant à « la Commission [de l’UE], après avoir évalué le caractère adéquat du niveau de protection, [de] décider, par voie d’actes d’exécution, qu’un pays tiers […] assure un niveau de protection » (source : RGPD, article 45-3).
  3. L’étude des textes sud-coréens relatifs à la protection des données personnelles est disponible dans le document du 17 décembre 2021 intitulé : Decision on the adequate protection of personal data by the Republic of Korea with annexes (en anglais).