Puis-je traiter des données en dehors de l’EEE en vertu du GDPR ?
Le GDPR autorise le transfert de données vers des pays situés en dehors de l’Espace économique européen (appelés « pays tiers ») afin d’assurer le commerce et la coopération au niveau international.
En vertu du GDPR, le transfert de données à caractère personnel vers des pays tiers peut avoir lieu si certaines conditions sont remplies. Vous pouvez transférer des données vers des pays tiers qui assurent un niveau de protection adéquat, tel que reconnu par la Commission européenne, tels que (à la date de mise à jour de l’article) : Andorre, Argentine, Canada (uniquement les organisations commerciales), Corée du Sud, Îles Féroé, Guernesey, Israël, Île de Man, Jersey, Nouvelle-Zélande, Suisse, Uruguay, Japon, Royaume-Uni et États-Unis (si le destinataire adhère au cadre UE-États-Unis de protection des données). Dans ces pays, les réglementations nationales offrent un niveau de protection des données à caractère personnel comparable à celui de la législation européenne. Les données peuvent donc être transférées vers ces pays tiers sans qu’il soit nécessaire d’appliquer des garanties supplémentaires ou de remplir d’autres conditions.
Pour transférer des données vers un pays tiers qui n’assure pas un niveau de protection adéquat, et qui n’a donc pas fait l’objet d’une décision d’adéquation de la Commission européenne, vous devez vous assurer que les données à caractère personnel seront protégées de manière adéquate par le destinataire, et que les personnes concernées disposent de droits exécutoires et de voies de recours efficaces.
Des garanties appropriées peuvent être fournies, entre autres, par l’utilisation de clauses contractuelles types approuvées par la Commission européenne et, pour les transferts de données au sein d’un groupe d’entreprises, par des règles d’entreprise dites contraignantes ou par l’engagement de se conformer à des codes de conduite, qui ont été déclarés d’application générale par la Commission européenne.
Il existe également plusieurs exceptions qui autorisent le transfert de données vers un pays tiers qui n’est pas couvert par une décision établissant un niveau de protection adéquat et qui ne dispose pas de garanties appropriées. L’une de ces exceptions est l’obtention du consentement, c’est-à-dire, dans le cas présent, le consentement de la personne concernée, après l’avoir informée des risques liés à un tel transfert.
Ce contenu est fourni à des fins éducatives uniquement. Le GDPR est spécifique aux faits et la manière dont il s’applique à votre organisation peut différer de ce qui est discuté dans cet article. Ne le considérez pas comme un substitut à un avis juridique professionnel. Consultez toujours votre avocat ou d’autres professionnels responsables de la protection des données au sein de votre organisation. GetResponse ne peut être tenu responsable des dommages indirects, spéciaux, accessoires ou consécutifs résultant de l’utilisation ou de la confiance accordée à tout contenu ou matériel inclus ici.