Transferts en dehors de l'UE - avec protection adéquate
Tout responsable de traitement qui souhaite exporter des données à caractère personnel hors de l’Union européenne doit d’abord s’assurer que le pays destinataire présente un niveau de protection adéquat. En effet, lorsque le pays tiers est considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert au sein de l’Union européenne.
Il faudra néanmoins toujours respecter les principes généraux du RGPD (notamment, légitimité, compatibilité de la communication des données à un tiers avec le traitement d’origine, information des personnes concernées).
L'évaluation du caractère adéquat du niveau de protection des pays hors de l’Union européenne s'apprécie notamment sur la base de la législation générale et sectorielle du pays en question et des règles professionnelles.
Quels sont les pays qui sont considérés comme offrant un niveau de protection adéquat ?
La Commission européenne a reconnu le caractère adéquat du niveau de protection des pays suivants :
- l’Andorre;
- l’Argentine;
- le Canada (pour les traitements soumis à la loi canadienne "Personal Information Protection and Electronic Documentation Act");
- les îles Féroé;
- Guernesey;
- l’Israël;
- l’île de Man;
- Jersey;
- la Nouvelle-Zélande;
- la Suisse;
- l’Uruguay;
- le Japon;
- le Royaume-Uni;
- la Corée du Sud;
- les Etats-Unis (voir page « EU-U.S. Data Privacy Framework ») : uniquement pour des transferts vers des organisations qui figurent dans la « Data Privacy Framework list »).
Vous pouvez prendre connaissance des dernières mises à jour de la liste des pays considérés comme assurant un niveau de protection adéquat sur le site Internet de la Commission européenne.