Privacy Talk

Version pdf Archives Inscrivez-vous
Vos activités • Décembre 2021

Clarifications du CEPD sur les transferts de données vers des pays tiers

Ce que vous devez savoir.

Le transfert de données à caractère personnel de l'Espace économique européen ("EEE") vers un pays tiers n'est autorisé que si votre entreprise peut garantir que les données à caractère personnel transférées dans ce pays tiers bénéficient d'une protection équivalente à celle qui existe dans l'EEE. La manière dont cette protection peut être garantie est définie dans la section V du Règlement Général sur la Protection des Données ("RGPD") (voir ce Privacy Talk).

Il est donc important de savoir exactement quand un tel transfert vers un pays tiers existe. Ce concept n'est pas défini dans le RGPD. C'est pourquoi le Comité Européen de la Protection des Données ("CEPD") a, dans de récent lignes directrices (projet uniquement en anglais), défini trois critères cumulatifs permettant de qualifier un traitement de transfert vers un pays tiers :

  1. Tout d'abord, l'entreprise exportant les données à caractère personnel pour ce traitement (que ce soit en tant que responsable du traitement ou en tant que sous-traitant) doit relever du champ d'application territorial du RGPD. Il peut donc s'agir non seulement d'une société établie dans l'EEE, mais aussi d'une société établie en dehors de l'EEE dans la mesure où elle offre des biens et des services à des personnes se trouvant dans l'EEE ou surveille le comportement de personnes situées dans l'EEE.
     
  2. C'est cette entreprise (l'exportateur de données) qui doit transférer les données à caractère personnel. Les situations dans lesquelles la personne concernée transfère elle-même ses données à caractère personnel ne sont pas considérées comme un "transfert" régi par le chapitre V du RGPD. En outre, les données à caractère personnel doivent être transférées à un autre responsable (conjoint) du traitement ou à un autre sous-traitant.
     
  3. Cet importateur de données doit être établi dans un pays tiers. Il importe peu que l'importateur de données relève ou non du champ d'application territorial du RGPD.

Ces lignes directrices confirment donc que le transfert de données à caractère personnel vers une entreprise d'un pays tiers, relevant elle-même du champ d'application du RGPD, est également considéré comme un "transfert".

Malheureusement, les lignes directrices ne précisent pas le concept de "transfert" en tant que tel. Elles confirment que le simple accès aux données à caractère personnel doit être considéré comme un transfert, mais ne donnent pas d'autres exemples. De tels exemples pourrait notamment inclure le fait de placer des collègues ou d'autres personnes de contact en copie d'un e-mail destiné à une société située en dehors de l'EEE. Conformément à l’arrêt Lindqvist de la Cour de justice, cela ne devrait probablement pas être considéré comme un transfert, mais une confirmation claire aurait été la bienvenue.

Ce que vous devez faire.

Sur la base des trois critères ci-dessus, vous devriez déterminer si un traitement effectué par votre entreprise constitue un transfert vers un pays tiers. Ensuite, pour ces traitements, vous devriez vérifier si les données à caractère personnel bénéficient d'une protection équivalente dans ce pays tiers (voir ce Privacy Talk).

Gardez à l'esprit que les transferts au sein d'un groupe de sociétés peuvent également être qualifiés de "transfert vers un pays tiers" en vertu du RGPD. Le transfert de données à caractère personnel par une filiale au sein de l'EEE à sa société mère basée en Inde, par exemple, doit être qualifié de transfert vers un pays tiers et est donc soumis aux obligations du chapitre V du RGPD.

Lorsque le transfert de données à caractère personnel n'a pas lieu entre deux entités distinctes (chacune étant un responsable (conjoint) du traitement ou un sous-traitant), il ne s'agit pas d'un transfert. Par exemple, si un employé de votre entreprise - basée dans l'EEE - part en voyage d'affaires en dehors de l'EEE et obtient un accès à distance aux bases de données de votre entreprise via son ordinateur professionnel, cela ne constitue pas un "transfert". Votre employé n'est pas considéré comme un responsable du traitement, mais comme une partie intégrante de votre entreprise.  

Cela dit, même si un traitement de données à caractère personnel ne constitue pas un "transfert", il convient d'accorder une attention particulière à son traitement si ce dernier a lieu dans un pays tiers. Le RGPD exige que des mesures (sécurisées) techniques et organisationnelles, appropriées et adaptées aux risques que présente le traitement (article 24 et article 32 du RGPD) soient prises. Le système juridique d'un pays tiers peut comporter des risques supplémentaires (par exemple, en termes d'ingérence gouvernementale). A titre d’illustration, votre entreprise peut décider de rendre certains traitements impossibles, comme l'accès à distance à certaines bases de données depuis certains pays tiers, même s'il n'y a pas de transfert vers un pays tiers.

Pour plus de détails ou toutes questions, nous vous invitons à consulter notre site web ou à contacter notre équipe :

Consultez notre "GDPR Tookit"

GDPR toolkit

Recevez notre "Privacy Talk" directement par e-mail

Inscrivez-vous

Découvrez les éditions précédentes dans les Archives

Archives
In the Picture - Février 2025

Mieux vaut un bon guide pour respecter le droit de la concurrence
Books

Share Purchase Agreements - Belgian Law and Practice
Articles

Standpunt revisited: Kunnen notulen worden opgesteld in een andere taal dan één van de nationale talen?
More Newsletter

Connectez-vous à votre compte

Mot de passe oublié? Pas encore membre?

Mot de passe oublié?

Demandez un nouveau mot de passe en indiquant votre adresse électronique.

Connectez-vous à votre compte

Réinitialisation du mot de passe

Entrez votre mot de passe nouveau.

Enregistrement du mot de passe

Entrez un mot de passe pour protéger vos pages personnelles.

Activez votre compte

Activez votre compte en fournissant votre adresse électronique.

Merci

Vous recevrez un e-mail avec un lien pour entrer un nouveau mot de passe.

Close

Merci

Votre mot de passe nouveau a été enregistré avec succès.

Close
Close

Cookies

This website uses cookies to improve your browsing experience and to better tailor the website to your preferences. For more information about cookies and the list of cookies used on this website, see our Cookie Statement.

Below you can indicate your cookie preferences:

ON

Essential cookies are cookies that are necessary for the correct functioning of the website (e.g., to avoid overload on the website, keeping it functional and accessible). These cookies can be placed without your consent.

ON

Functional cookies are cookies that are necessary to improve your browsing experience or to provide a functionality explicitly requested by you (e.g. remembering your settings). These cookies can also be placed without your consent.

Analytical cookies are cookies that collect information about how you use the website to improve search engine hits and the functioning of the website (e.g. we see how visitors move around the website when they are using it to ensure that visitors find what they are looking for easily). These cookies are only placed if you have given your consent.

Advertising cookies are cookies that collect information about your surf and search behaviour in order to offer you personalised advertising in ad spaces on websites based on your personal interests. These cookies are only placed if you have given your consent.

Social media cookies are cookies that make it possible to share certain features from the website on social media networks (e.g. Facebook). Furthermore, these cookies collect information about your surf and search behaviour on the website in order to offer you personalised promotions and advertising about our products on these social media networks. These cookies are only placed if you have given your consent. It is possible that these social media networks also use the information they collect through these cookies for their own purposes. You can find more information about this in the privacy statements of the respective social media networks.

   

You can always change these preferences via your Cookie preferences.