A quelles conditions puis-je effectuer un flux de données en dehors de l'Union européenne ou de l'Espace économique européen ?

1. Envoi vers un pays offrant un niveau de protection adéquat

Lorsque les données sont exportées vers un pays tiers offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert entre deux responsables en Belgique, ou vers un autre pays de l’Union européenne. Il faudra néanmoins toujours respecter les principes généraux de la loi (notamment de légitimité, compatibilité de la communication des données à un tiers avec le traitement d’origine, information des personnes concernées).

L'évaluation du caractère adéquat du niveau de protection des pays hors de l’Union européenne s'apprécie notamment sur la base de la législation générale et sectorielle du pays en question et des règles professionnelles. Pour toute information relative à la liste des pays considérés comme assurant un niveau de protection adéquat, il est conseillé de consulter le site Internet de la Commission européenne.

2. Solutions contractuelles

Lorsque le pays où l’on souhaite transmettre des données n’est pas repris dans la liste de la Commission européenne des pays offrant un niveau de protection adéquat, le responsable du traitement peut également offrir lui-même, par la voie contractuelle, une protection appropriée. La protection peut ainsi être assurée au moyen d’un contrat liant celui qui envoie les données et celui qui les reçoit et contenant des garanties suffisantes au regard de la protection des données. En Belgique, ce type de contrat doit être en principe autorisé par un Arrêté Royal après avis de la Commission de la protection de la vie privée.

Il existe également des modèles de contrats-type mis à disposition par la Commission européenne qui sont automatiquement considérés comme offrant des garanties suffisantes au regard de la protection des données. Il est intéressant d'utiliser ces modèles car ceux-ci ne doivent pas être autorisés par Arrêté Royal. Une copie du contrat devra néanmoins être communiquée à la Commission afin qu’elle puisse s’assurer de sa concordance avec les modèles de la Commission européenne.

Les sociétés multinationales qui désirent réaliser des flux intra-groupe et dont certains membres sont établis en dehors de l’Espace économique européen dans un pays qui n'a pas été reconnu comme "offrant un niveau de protection adéquat" peuvent également offrir des garanties suffisantes de protection des données grâce à des règles d’entreprise contraignantes (Binding Corporate Rules - BCR). Ces règles doivent être validées par les différentes autorités nationales de protection des données concernées par le flux (en Belgique, un Arrêté Royal doit être adopté, après avis de la Commission de la protection de la vie privée). Il existe également une section dédiée aux BCR (en anglais) sur le site web de la Commission européenne.

3. Les exceptions

En l’absence de contrat, il existe encore certaines «exceptions» qui permettent le flux de données vers des pays tiers. C’est notamment le cas lorsque les personnes concernées donnent leur consentement indubitable au transfert de leurs données vers un tel pays, ou lorsque le transfert est nécessaire pour exécuter un contrat avec la personne concernée, ou lorsque les données proviennent d’un registre public destiné à l’information du public (annuaire téléphonique, registre du commerce, par exemple). Ces exceptions doivent être interprétées de manière restrictive et ne peuvent constituer un cadre normal de flux de données, notamment lorsque ceux-ci sont massifs ou répétitifs. Il convient de trouver rapidement une solution contractuelle, ce qui permet d’offrir des garanties nettement supérieures pour la protection des données des citoyens.

back