Les outils de transfert des données hors UE

Conformément aux dispositions du chapitre V du RGPD, les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) à condition d’assurer un niveau de protection des données suffisant et approprié. Pour cela:

• soit la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat, et dans ce cas un tel transfert ne nécessite pas d’autorisation spécifique;
• soit, en l’absence de décision de la Commission, le responsable du traitement ou le sous-traitant peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

Pour mettre en place ces garanties appropriées, l’article 46 du RGPD mentionne les possibilités suivantes:

• un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;
• des règles d’entreprise contraignantes conformément à l’article 47;
• des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2 ou par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;
• un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
• un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

Vous pourrez retrouver plus d’informations directement ici.

Parmi ces outils, les plus utilisés sont les règles d’entreprise contraignantes et les clauses contractuelles types.

Les règles d’entreprises contraignantes (ou Binding Corporate Rules (BCR) en anglais) désignent une politique de protection des données intra-groupe concernant les traitements effectués par l’organisme ou plus particulièrement les données transférées en dehors de l’Union européenne; elles concernent principalement des entreprises privées de type multinationale, implantées dans plusieurs pays d’Europe et hors Union européenne. Pour plus d’informations:

• Les règles d’entreprise contraignantes (BCR)
• Pourquoi mettre en place des BCR ?
• Comment préparer un dossier de BCR ?
• Quand et comment soumettre son projet de BCR aux autorités de protection des données ?
• Binding Corporate Rules (en anglais) – Europa.eu

Les clauses contractuelles types (CCT) sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne, et ont notamment été mis à jour par la Commission européenne le 4 juin 2021. La Cour de justice de l’Union européenne (CJUE), dans son arrêt du 16 juillet 2020, a indiqué qu’en règle générale, les clauses contractuelles types peuvent toujours être utilisées pour transférer des données vers un pays tiers en soulignant qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT. Pour plus d’informations:

• Les clauses contractuelles types (CCT)
• Les Clauses Contractuelles Type en pratique
• Les clauses contractuelles types de la Commission européenne (juin 2021)
• Transférer des données en dehors de l’Union européenne
• Invalidation du Privacy shield : les suites de l’arrêt de la CJUE

Quelques pistes de lecture sur ces sujets:

• Anne-Laure Villedieu, « Binding corporates rules : le transfert de données personnelles simplifié au sein du groupe », Option Finance, n°1324, 29 juin 2015, p.25.
• Nathalie Laneret, Solène Hamon, « Quel avenir pour les transferts internationaux ? », IP/IT, Dalloz, n°1, janvier 2018, pp. 31-39.
• Thibault Douville, « Données personnelles (transfert en dehors de l’UE) : clauses contractuelles types », Recueil Dalloz Sirey, n°1, janvier 2020, p. 13.
• Maxime Lassalle, « La responsabilisation des acteurs du numérique dans le transfert de données personnelles vers des États tiers », Lamy droit de l’informatique, Revue Lamy droit de l’immatériel, n°173, août 2020, pp. 9-13.
• Florence D’Ath, « Arrêt « Schrems II » : sur la légalité des transferts de données personnelles fondés sur une décision d’adéquation ou moyennant des garanties appropriées (Cour de Justice de l’Union Européenne, 16 juillet 2020, affaire numéro C-311/18) », Journal de droit européen, n°274, décembre 2020, pp. 442-445.