Les transferts internationaux de données personnelles

2. Transferts vers un pays en dehors de l’Espace économique européen disposant d’un niveau de protection adéquat

Tout responsable de traitement qui souhaite exporter des données à caractère personnel hors de l’Espace économique européen doit d’abord se renseigner sur le niveau de protection adéquat du pays destinataire. En effet, lorsque le pays tiers est considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert au sein de l’Espace économique européen.

ll faudra néanmoins toujours respecter les principes généraux du RGPD (respect notamment du principe de licéité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).

C’est à la Commission européenne qu’il revient de constater par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat.

La Commission européenne a reconnu le caractère adéquat du niveau de protection des pays suivants : 

  • l’Andorre;
  • l’Argentine;
  • le Canada (pour les traitements soumis à la loi canadienne « Personal Information Protection and Electronic Documentation Act »);
  • les îles Féroé;
  • Guernesey;
  • l’Israël;
  • l’île de Man;
  • Japon;
  • Jersey;
  • la Nouvelle-Zélande;
  • la Suisse;
  • l’Uruguay; et
  • les Etats-Unis d’Amérique (pour les sociétés certifiées par le « EU-U.S. Privacy Shield Framework »).

Des discussions sont en cours concernant une potentielle décision d’adéquation de la Corée du Sud.

Dernière mise à jour