search

Quels pays sont compatible avec la législation européenne RGPD ?

1 ans depuis
commentaires: 0
Vues: 178

Tout responsable de traitement qui souhaite exporter des données à caractère personnel hors de l’Union européenne doit d’abord s’assurer que le  pays destinataire présente un niveau de protection adéquat. En effet, lorsque le pays tiers est considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert au sein de l’Union européenne.

Show

Il faudra néanmoins toujours respecter les principes généraux du RGPD (notamment, légitimité, compatibilité de la communication des données à un tiers avec le traitement d’origine, information des personnes concernées).

L'évaluation du caractère adéquat du niveau de protection des pays hors de l’Union européenne s'apprécie notamment sur la base de la législation générale et sectorielle du pays en question et des règles professionnelles.

Quels sont les pays qui sont considérés comme offrant un niveau de protection adéquat ?

La Commission européenne a reconnu le caractère adéquat du niveau de protection des pays suivants :

  • l’Andorre;
  • l’Argentine;
  • le Canada (pour les traitements soumis à la loi canadienne "Personal Information Protection and Electronic Documentation Act");
  • les îles Féroé;
  • Guernesey;
  • l’Israël;
  • l’île de Man;
  • Jersey;
  • la Nouvelle-Zélande;
  • la Suisse;
  • l’Uruguay;
  • le Japon;
  • le Royaume-Uni
  • la Corée du Sud

Vous pouvez prendre connaissance des dernières mises à jour de la liste des pays considérés comme assurant un niveau de protection adéquat sur le site Internet de la Commission européenne.

Ce que vous devez savoir sur les transferts internationaux

Dans le cadre de leurs activités quotidiennes, les institutions et organes de l’Union européenne (UE) peuvent avoir à transférer des données à caractère personnel à des destinataires situés en dehors de l’Union européenne. Ces activités peuvent inclure des contacts avec des organismes publics étrangers (dans le cadre d’enquêtes antifraude ou de concurrence, par exemple), la sous-traitance de services à des prestataires externes situés en dehors de l’UE et/ou le traitement de données en dehors de l’UE (informatique en nuage, services web, etc.) ou encore l’organisation de déplacements professionnels dans des pays tiers.

Les transferts de données à caractère personnel (ou informations à caractère personnel) à partir d’institutions et organes de l’Union européenne vers des pays non membres de l’Espace économique européen (EEE), constitué des États membres de l’UE, de la Norvège, de l’Islande et du Liechtenstein, sont régis par le Chapitre V du Règlement UE 2018/1725, similaire à bien des égards au Règlement UE 2016/679.

Conformément au Règlement UE 2018/1725, des transferts internationaux peuvent avoir lieu pour autant qu’un niveau de protection adéquat du droit fondamental des individus (les personnes concernées) à la protection des données soit assuré. Des évaluations de l’adéquation peuvent être réalisées par les personnes souhaitant transférer des données en dehors de l’EEE elles-mêmes ou par l’intermédiaire de la Commission européenne. La Commission a déterminé que plusieurs pays garantissent un niveau de protection adéquat à travers leur droit national ou les engagements internationaux qu’ils ont souscrits. Les transferts à des organisations américaines parties au régime de la «sphère de sécurité» ont été considérés comme adéquats par la décision 2000/520/CE de la Commission européenne du 26 juillet 2000. Toutefois, cette décision d’adéquation a été invalidée par la Cour de justice de l’Union européenne le 6 octobre 2015 (1) et par conséquent, les transferts vers les États-Unis ne peuvent plus avoir lieu au titre de cette décision. Le 2 février 2016, la Commission européenne et les États-Unis ont convenu d'un nouveau cadre pour les transferts transatlantiques de données: le «bouclier de protection des données UE-États-Unis», qui remplace le régime de la sphère de sécurité et a entraîné l’adoption par la Commission européenne d’une nouvelle décision d’adéquation, officiellement adoptée le 12 juillet 2016, pour les transferts aux organisations européennes qui adhèrent à ce nouveau dispositif.

En l’absence d’une décision d’adéquation, une institution de l’UE peut toujours transférer des données à caractère personnel à un pays non membre de l’EEE sous certaines conditions:

  • l’organisation souhaitant transférer des données en dehors de l’EEE peut fournir des garanties adéquates, par exemple en adoptant des clauses contractuelles types de la Commission ou d’autres garanties contraignantes autorisées par le contrôleur européen de la protection des données (CEPD); (2)
  • l’organisation souhaitant transférer des données en dehors de l’EEE peut faire valoir l’une des dérogations reprises dans le règlement, à condition que le transfert n’ait lieu qu’une seul fois, qu’il ne soit pas massif ni structurel et qu’aucun autre cadre juridique ne puisse être utilisé. Il y a par exemple dérogation lorsque la personne concernée consent au transfert de ses données et lorsque le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat ou à l’exercice des droits de la défense dans le cadre de procédures judiciaires.

(1) Arrêt de la Cour de justice de l’Union européenne du 6 octobre 2015 dans l’affaire C-362/14 (Schrems).

(2) Parmi les garanties supplémentaires figurent les règles d’entreprise contraignantes (BCR), un mécanisme de transfert développé par les autorités nationales chargées de la protection des données auquel les organisations privées peuvent recourir dans le cadre de leurs échanges de données à caractère personnel entre entités faisant partie de la même organisation. Il s’agit en quelque sorte d'un code de conduite interne auquel les entités d’une même organisation doivent adhérer. Les règles d’entreprise contraignantes ne peuvent être utilisés par les entités publiques telles que les institutions et les organes de l’UE, pour leurs propres transferts, et le CEPD ne peut dès lors les autoriser. Toutefois, les institutions et organes de l’UE peuvent valablement choisir un prestataire de services privé ayant adhéré à des règles d’entreprise contraignantes afin de garantir les transferts au sein de son groupe d’entités.

Quelles sont les principaux enjeux en matière de protection des données?

Licéité - La collecte, le stockage et l’utilisation (le traitement) de données à caractère personnel par toute organisation doivent être conformes à la législation en matière de protection des données (à savoir le règlement ou la directive). En outre, tout transfert de données à caractère personnel doit également reposer sur une base juridique adéquate (pour les institutions de l’UE, il s'agit du Règlement UE 2018/1725) et être compatible avec la finalité initiale du traitement.

Qualité des données - Les organisations souhaitant transférer des données en dehors de l’EEE doivent respecter les principes de limitation de la finalité (les données doivent être transférées dans un but spécifique et n’être utilisées ultérieurement que dans la mesure où cela n’est pas incompatible avec la finalité du transfert) et de limitation des données et garantir l’exactitude des données transférées et les délais de conservation des données.

Droit à l’information - Toute personne (personne concernée) doit être informée de ses droits et de la finalité du traitement de ses données tant avant le transfert (lors de la première collecte des données) que pendant celui-ci.

Droit d’accès et de rectification - Tout personne a le droit d’accéder à ses données à caractère personnel faisant l’objet du traitement et de rectifier toute information inexacte ou incomplète. Des exceptions peuvent s’appliquer, par exemple en cas d’enquête portant sur une infraction pénale. Le report de l’information doit être décidé au cas par cas et toute restriction doit être justifiée. Les personnes doivent également être informées de la façon dont elles peuvent exercer leurs droits.

Traitement de catégories particulières de données à caractère personnel - Le traitement de catégories particulières de données, telles que les données relatives à la santé ou révélant l’origine raciale ou ethnique, est en principe interdit en vertu de la législation relative à la protection des données, sauf dans certaines circonstances. Il est par exemple possible de traiter des données sensibles si le traitement est nécessaire aux fins de diagnostics médicaux ou s’il est assorti de garanties spécifiques en matière de droit du travail.

Garanties pour le transfert de données à caractère personnel vers des pays n’offrant pas un niveau de protection adéquat

Les garanties adéquates sont des garanties en matière de protection des données qui s’appliquent spécifiquement aux transferts de données à caractère personnel vers un destinataire situé dans un pays non membre de l’EEE considéré comme n’offrant pas un niveau de protection adéquat. Les garanties doivent être définies dans un instrument juridiquement contraignant tel qu’un contrat ou un protocole d’accord conclu entre la partie qui procède au transfert et le destinataire. Elles doivent décrire clairement les principes de protection des données à respecter, notamment les principes suivants:

  • les données doivent être traitées dans un but spécifique et n’être utilisées ou communiquées ultérieurement que dans la mesure où cela n’est pas incompatible avec la finalité du transfert;
  • qualité des données et proportionnalité;
  • information des personnes concernées;
  • mesures de sécurité;
  • possibilité pour les personnes concernées d’exercer leurs droits d’accès, de rectification et d’opposition;
  • restrictions aux transferts ultérieurs des données par le destinataire;
  • mécanismes de contrôle et d’application efficaces afin de garantir le respect des principes susmentionnés.

Par ailleurs, une description des détails du transfert, tels que le type de données, les finalités, les délais de conservation, les mesures de sécurité détaillées, les informations à fournir aux personnes concernées et la façon dont elles peuvent exercer leurs droits, doit également être fournie.

Informations complémentaires

La liste suivante, non exhaustive, est une sélection de documents à consulter pour toute information complémentaire:

Documents du CEPD:

  • Document d’orientation du CEPD sur les transferts, accompagné des consultations et des avis de contrôle préalable pertinents
  • Consultation du CEPD sur l’impact de l’arrêt relatif à la sphère de sécurité sur le transfert de données à caractère personnel effectué par la DG MARE dans le cadre du «306° Feedback leadership Circle» (dossier 2015-0924) (en anglais uniquement)
  • Décision du CEPD sur les transferts de données à caractère personnel effectués par l’OLAF par l’intermédiaire de la plateforme de consultation des données d’enquête (dossier 2012-0280) (en anglais uniquement)
  • Avis de contrôle préalable relatif au système «Safe Mission Data» du Parlement européen fournissant un soutien aux missions externes en cas d’urgences médicales (2012-0105)
  • Lettre du CEPD à l’Agence européenne de la sécurité aérienne au sujet des transferts internationaux (dossier 2010-0614)
  • Consultation du CEPD au sujet du transfert de données à caractère personnel à American Express Corporate Travel SA (AMEX) (dossier 2009-0390)

Autres:

  • Document de travail du groupe de travail «Article 29» relatif à une interprétation commune des dispositions de l’article 26, paragraphe 1, de la directive 95/46/CE concernant les dérogations
  • Page web de la Commission (DG JUST) sur les transferts:
    http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm

Au sujet de la sphère de sécurité et du bouclier de protection des données UE-États-Unis:

  • Arrêt de la Cour de justice de l’Union européenne du 6 octobre 2015 dans l’affaire C-362/14 (Schrems)
  • Communication de la Commission concernant le transfert transatlantique de données à caractère personnel conformément à la directive 95/46/CE faisant suite à l’arrêt de la Cour de justice dans l’affaire C-362/14 (Schrems)
  • Déclaration du groupe de travail «Article 29» sur les conséquences de l’arrêt Schrems (en anglais uniquement)
  • Bouclier de protection des données UE-États-Unis (site web de la DG JUST) (en anglais uniquement)
  • Avis 01-2016 du groupe de travail «Article 29» sur le bouclier de protection des données UE-États-Unis (en anglais uniquement)
  • Avis concernant le «Bouclier vie privée UE-États-Unis» (Privacy Shield) Projet de décision d’adéquation
Arbre de décision

Étape nº 1:

Quels pays sont compatible avec la législation européenne RGPD ?

Étape nº 2:

Quels pays sont compatible avec la législation européenne RGPD ?

Quel pays est compatible avec la RGPD ?

C'est-à-dire comme disposant d'un niveau de protection suffisant grâce à leur réglementation en matière de protection des données. Ces pays sont la Suisse, l'Argentine, Guernesey, l'Île de Man, la Nouvelle-Zélande, Jersey, les îles Féroé, Andorre, Israël, l'Uruguay et le Japon.

Qui n'est pas concerné par le RGPD ?

Les traitements non concernés par le RGPD Les traitements sur des données à caractère personnel d'individus ne résidant pas dans l'union européenne ou n'ayant pas la citoyenneté européenne ne sont pas concernés par le RGPD.

Qu'est

Une «décision d'adéquation» est une décision adoptée par la Commission européenne sur la base de l'article 45 du RGPD, qui établit qu'un pays tiers (c'est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données à caractère personnel.

Est

Le RGPD est applicable car la société suisse offre des biens à des personnes dans l'Union.

Quest Est RGPD Mali

Articles Similaires

Quest ce quun modèle climatique
Quest ce quun modèle climatique

Quelle est la méthode daccès utilisée et décrire son fonctionnement ?
Quelle est la méthode daccès utilisée et décrire son fonctionnement ?

Quelles sont les règles fondamentales dans le traitement de données ?
Quelles sont les règles fondamentales dans le traitement de données ?

Lors de l’envoi d’un message par un utilisateur, quel est le rôle du routeur ?
Lors de l’envoi d’un message par un utilisateur, quel est le rôle du routeur ?

Le niveau moyen des océans a augmenté depuis 1993 ceci s explique par
Le niveau moyen des océans a augmenté depuis 1993 ceci s explique par

Quels sont les causes et les aspects de la recomposition des espaces industriels français ?
Quels sont les causes et les aspects de la recomposition des espaces industriels français ?

Comment la croissance économique se heurte à des limites écologiques ?
Comment la croissance économique se heurte à des limites écologiques ?

La métropolisation un processus mondial différencié Assistance scolaire
La métropolisation un processus mondial différencié Assistance scolaire

La métropolisation : un processus mondial différencié Fiche de révision
La métropolisation : un processus mondial différencié Fiche de révision

Quel était le principal facteur de localisation des industries autrefois
Quel était le principal facteur de localisation des industries autrefois

Publicité

DERNIÈRES NOUVELLES

Cout d une batterie iphone 6
1 ans depuis . par TurningSimulation
Iphone 11 pro ou pro max avis
1 ans depuis . par TallWomanhood
Combien de go a mon iphone
1 ans depuis . par CulturalCynicism
Quest ce quune signature virale
1 ans depuis . par CorporateDistributor
Comment manger le jaune dœuf ?
1 ans depuis . par DespondentNetworking
Couche liaison de données cours
1 ans depuis . par SteamyGrandeur
Fichier pdf souvre avec chrome
1 ans depuis . par Self-destructiveTicker
Quand est on payé en interim
1 ans depuis . par ThyroidLoathing
Air force one femme pas cher
1 ans depuis . par RemarkableBrunch
Stress post-traumatique enfance
1 ans depuis . par CherishedInfiltration

Publicité

Populer

Publicité

À propos de

Juridique

Aider

Sociale

homeendefrkoptzhitthtr
droits d'auteur © 2024 ihoctot Inc.