Comité de Protection des Personnes (en recherche biomédicale) CPP Tours Ouest-1
CNIL : Transferts de données à caractère personnel vers des pays non membres de l’Union Européenne
Un responsable de traitement ne peut transférer des données à caractère personnel vers un "pays tiers" que si cet État assure aux personnes concernées par ces données un niveau de protection adéquat de la vie privée et des libertés. Dans quelles conditions peut-on envisager de tels transferts ? Quelles précautions faut-il prendre ? Quelles sont les obligations ? Toute l'information sous forme de questions-réponses sur les transferts de données hors UE.
La notion de transfert n'est définie ni par la directive 95/46 ni par la loi du 6 janvier 1978 mais doit s’entendre au sens large.
Constitue ainsi un transfert de données vers un pays tiers toute communication, copie ou déplacement de données par l'intermédiaire d'un réseau, ou toute communication, copie ou déplacement de ces données d'un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire.
- Le traitement doit avoir régulièrement fait l’objet des formalités préalables requises par la loi : la CNIL ne saurait autoriser un transfert de données dès lors que le traitement original dont les données sont issues n’aurait pas été déclaré ou autorisé.
- Tout transfert de données vers l’étranger doit avoir une finalité déterminée, explicite et légitime : le responsable de traitement établi en France doit pouvoir expliquer pourquoi le transfert a lieu et s’être assuré que ces raisons sont compatibles avec les exigences de la loi française.
- Les données transférées ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité : le responsable de traitement doit pouvoir établir que la raison pour laquelle les données sont transférées est compatible avec les raisons pour lesquelles les données ont été initialement collectées.
- Les données transférées doivent être adéquates, pertinentes et non excessives au regard de la ou des finalités pour lesquelles elles sont transférées.
Les transferts hors de l'Union Européenne sont interdits sauf :
- Si le transfert a lieu vers un pays reconnu comme "adéquat" par la Commission européenne. C'est le cas du Canada, de la Suisse, de l'Argentine, des territoires de Guernesey, de Jersey et de l'Isle de Man ou,
- Si des Clauses Contractuelles Types, approuvées par la Commission européenne, sont signées entre deux entreprises ou,
- Si des Règles internes d'entreprises (BCR) sont adoptées au sein d'un groupe ou,
- Si dans le cas d'un transfert vers les États-Unis, l'entreprise destinataire a adhéré au Safe Harbor ou,
- Si l'une des exceptions prévues par l’article 69 de la loi Informatique et Libertés est invoquée
Voir le dossier sur le site de la CNIL : http://www.cnil.fr/vos-responsabilites/le-transfert-de-donnees-a-letranger/
Titre : | CNIL : Transferts de données à caractère personnel vers des pays non membres de l’Union Européenne |
---|---|
Catégories : | |
Rédacteur : | Utilisateur:Pb |
Date importante : | Non |
Headline: | Oui |
Page liée: | Oui |
Réf:CPP Ouest-1:NOD0121