Oui, des données à caractère personnel peuvent être transférées vers des pays étrangers ou des entreprises domiciliées dans des pays étrangers, à condition d’apporter des garanties permettant de justifier un niveau de protection équivalent au RGPD1.

Lorsque des données personnelles sont transférées dans un pays tiers ou une entreprise internationale, le RGPD demande que des garanties doivent être apportées pour assurer un niveau de protection adéquat.

« le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. »

— RPGD, article 46-1, transferts moyennant des garanties appropriées

Le RGPD s’appliquant dans tous les pays de l’UE, il n’est pas nécessaire de fournir des garanties spécifiques pour transférer des données personnelles.

Pour les pays hors de l’UE, les garanties peuvent être :

  • une décision de la Commission de l’UE avec le pays, comme il en existe une avec le Royaume-Uni2 ;
  • des mesures contraignantes prises par les autorités ou les organismes publics du pays ;
  • des mesures contraignantes prises par l’entreprise étrangère.

Dans tous les cas, ces garanties doivent justifier un niveau de protection élevé, équivalent3 au RGPD :

« Toutes les dispositions du présent chapitre [, c’est-à-dire sur le transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales,] sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le [RGPD] ne soit pas compromis. »

— RPGD, article 44, principe général applicable aux transferts

En l’absence de décision de la Commission de l’UE avec le pays concerné et en l’absence de mesures prises par le pays, des mesures doivent donc être prises par l’entreprise étrangère. Ces mesures doivent être justifiées dans un document réalisé par l’entreprise.

Deux mécanismes sont proposés pour réaliser un tel document :

  • des règles d’entreprise contraignantes (BCR)4. Il s’agit d’une politique interne à l’entreprise, principalement destinée aux multi-nationales où les données peuvent transiter entre les filiales des différents pays, pour justifier que toutes les entités du groupe respectent des règles communes de protection des données ;
  • des Clauses Contractuelles Types (CCT)5. Il s’agit d’un rapport détaillé réalisé par l’entreprise pour justifier que les mesures prises et que la législation du pays garantissent un niveau de protection des données.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. La Commission de l’UE autorise le transfert de données à caractère personnel vers le Royaume Uni. Voir « Peut-on transférer des données à caractère personnel vers le Royaume-Uni ? ».
  3. Les garanties apportées doivent apporter un niveau de protection équivalente au RGPD : « Les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers […] bénéficient d’un niveau de protection substantiellement équivalent [au RGPD] » (source : CJUE, arrêt du 16 juillet 2020, §105).
  4. Les mesures contraignantes prises l’entreprise peuvent faire partie d’un BCR (Binding Corporate Rules). Son contenu et son application sont détaillées dans l’article 47 du RGPD.
  5. Les Clauses Contractuelles Types ont été définies dans la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021.