Comment transférer des données à caractère personnel hors Union Européenne?

Réponse apportée par le Leem

Le transfert de données à caractère personnel vers des Etats situés en dehors de l'Union Européenne n'est en principe possible que si ces Etats assurent un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

Plus concrètement, il est possible de transférer des données à caractère personnel vers un pays hors UE si :

  • la Commission européenne a reconnu au pays vers lequel les données seraient transférées un niveau adéquat de protection de données à caractère personnel. Il est ici rappelé que depuis l'arrêt du 6 octobre 2015 rendu par la Cour de Justice Européenne qui a invalidé le Safe Harbor (affaire C-362/14), les transferts de données à caractère personnel à destination des Etats-Unis ne peuvent plus être opérés par ce biais;
  • des clauses contractuelles types adoptées par la Commission européenne sont signés entre le responsable de traitement et le destinataire des données;
  • s'agissant des transferts intra-groupes de données à caractère personnel, des règles internes d'entreprises validées par les autorités européennes de protection des données ont été signées entre les sociétés du groupe.

Vous pourrez retrouver plus d'information sur le site de la CNIL en cliquant sur les liens suivants :