Le transfert de données à caractère personnel en dehors de l'Union européenne
À l’ère de la mondialisation, de grandes quantités de données à caractère personnel franchissent les frontières. Ces flux sont nécessaires au développement du commerce international. Depuis le 24 mai 2018, un nouveau Règlement général pour la protection des données (ou RGPD) met en place au sein de l’Union européenne de nouveaux critères destinés à assurer l’intégrité des données personnelles. Lorsque des données à caractère personnel sont transférées de l'Union européenne vers des destinataires situés dans des pays tiers, le niveau de protection voulu par l’Union européenne ne peut pas être compromis. Le règlement contient donc des obligations à charge des entreprises vouées à maintenir un degré suffisant de protection.
Dans quels cas des données sont-elles transférées au niveau international ?
Cette situation peut par exemple se rencontrer en cas d’hébergement ou d’exploitation de serveurs informatiques à l’étranger, de recours à des sous-traitants ou des fournisseurs établis en dehors de l’Union européenne lorsque les missions confiées impliquent une saisie informatique de données personnelles, de recours à des centres d’appels situés à l’étranger, ou encore d’utilisation de systèmes internationaux de maintenance informatique.
La philosophie du Règlement général pour la protection des données est qu’un niveau égal de protection des données doit être assuré, y compris lorsque les données sont une nouvelle fois transférées depuis un pays tiers ou une organisation internationale.
Comment maintenir l’équivalence de la protection ?
Il se peut tout d’abord que le pays de destination des données ait adopté un régime de protection similaire à celui applicable au sein de l’Union européenne. C’est notamment le cas de l’Argentine, du Canada, de la Suisse, de la Nouvelle-Zélande ou encore d’Israël. La liste des pays dont le régime de protection des données se trouve en adéquation avec le droit de l’Union européenne est établie par la Commission européenne.
En l’absence d’équivalence, l’entreprise doit mettre en place un système de normes contraignantes à charge des destinataires basés en dehors de l’Union européenne. Selon les cas, ces normes peuvent prendre la forme d’une politique interne à un groupe de sociétés, de codes de conduite, de mécanismes de certification, ou encore de clauses contractuelles détaillées.
Enfin, dans des cas exceptionnels, des dérogations ponctuelles peuvent être invoquées.
Le RGPD encadre strictement le transfert de données à caractère personnel en dehors de l’Union européenne et il convient donc pour chaque entreprise qui transfère des données à caractère personnel dans un pays tiers de veiller à respecter ces règles. Des sanctions administratives pouvant s’élever jusqu’à 20.000.000 EUR ou 4% du chiffre d’affaires annuel mondial de l’entreprise (le montant le plus élevé étant retenu) sont en effet prévues par le règlement.
Gautier MATRAY et Antoine NOKERMAN, avocats - MATRAY, MATRAY & HALLET, société civile d'avocats, Liège, Bruxelles, Anvers, Cologne, et Paris. 18/9/2018