Adéquation
Les transferts de données à caractère personnel vers un pays tiers à l’Espace Economique Européen ou à une organisation internationale ne peut avoir lieu que si les conditions définies dans le RGPD sont respectées par l’exportateur et l’importateur des données.
Le RGPD autorise de tels transferts de données à condition d’assurer un niveau de protection des données suffisant et approprié. Ils doivent être encadrés en utilisant différents outils juridiques, et notamment :
- Une décision d’adéquation de la Commission européenne ;
- Des clauses contractuelles types ;
- Des règles internes d’entreprises ;
- Un code de conduite approuvé ;
- Un mécanisme de certification.
La décision d’adéquation constitue le premier outil juridique d’encadrement des transferts, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un Etat, de ses autorités de contrôle et des engagements internationaux qu’il a souscrits, par la Commission européenne.
Elle permet aux responsables du traitement et aux sous-traitants de permettre le transfert des données sans exigences supplémentaires depuis l’Espace Economique Européen vers l’Etat concerné.
Les Etats tiers suivants disposent à ce jour d’une décision d’adéquation rendue par la Commission européenne :
- Andorre ;
- Argentine ;
- Canada ;
Guernsey ; - Ile de Man ;
- Iles Féroé ;
- Israel ;
- Japon ;
- Jersey ;
- Nouvelle Zélande ;
- Royaume-Uni ;
- Suisse ;
- Uruguay.
La Commission suit les évolutions dans les Etats tiers disposant d’une décision d’adéquation afin de s’assurer que ce dernier continue à assurer un niveau de protection adéquat au sens du RGPD. Si nécessaire la Commission peut abroger, modifier ou suspendre une décision d’adéquation.
La Cour de justice de l’Union européenne (CJUE) peut également invalider les décisions d’adéquation de la Commission européenne si elle considère que l’Etat tiers n’assure pas un niveau de protection adéquat au sens du RGPD.
Il est indispensable pour tout importateur et exportateur de données de bien s’assurer que les transferts de données à caractère personnel mis en œuvre sont conformes au RGPD.
Point RGPD
« Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique ».
Point jurisprudence
La Cour de justice de l’Union européenne (CJUE) a examiné la validité de la décision d’adéquation 2016/1250 sur le caractère adéquat de la protection assurée par le bouclier de protection de la vie privée entre l’UE et les États-Unis (Privacy Shield) et estimé que les exigences du droit américain, et en particulier certains programmes permettant l’accès des autorités publiques américaines aux données personnelles transférées de l’UE vers les États-Unis à des fins de sécurité nationale (en particulier le FISA 702 et l’Executive Order 12333), entraînent des limitations de la protection des données personnelles qui ne sont pas circonscrites de manière à satisfaire à des exigences essentiellement équivalentes à celles requises par le droit de l’UE, et que cette législation n’accorde pas aux personnes concernées des droits de recours devant les juridictions contre les autorités américaines. La décision d’adéquation de la Commission a alors été invalidée.
Cour de justice de l’Union européenne, 16 juillet 2020, N° C-311/18
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.