Vous êtes ici : Accueil > En pratique > Flux transfrontières

Flux transfrontières

Vos données à caractère personnel peuvent circuler librement au sein de l'Union européenne, tant que la loi vie privée belge est respectée. Grâce à la Directive européenne 95/46/CE, les États membres appliquent en effet le même niveau de protection lors du traitement de données à caractère personnel. Un transfert au sein de l’Union européenne est par conséquent régi de la même manière qu’un transfert en Belgique (respect notamment des principes de légitimité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).

En principe, les transferts ne sont autorisés que dans les pays offrant un niveau de protection adéquat

En dehors de l’Union européenne et de façon plus générale de l’Espace économique européen, on ne peut transférer des données personnelles que vers des pays qui assurent une protection des données correspondante à celle assurée sur le territoire de l’Union européenne. En l’absence d’une telle règle, la forte protection garantie à l’intérieur de l’Union européenne serait rapidement vide de sens étant donné la facilité de circulation des données grâce aux nouvelles technologies

Tout responsable de traitement qui souhaite exporter des données personnelles hors de l’Union européenne doit d’abord se renseigner sur le niveau de protection adéquat du pays destinataire. En effet, lorsque le pays tiers est considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert entre deux responsables en Belgique, ou vers un autre pays de l’Union européenne. Il faudra néanmoins toujours respecter les principes généraux de la loi (notamment, légitimité, compatibilité de la communication des données à un tiers avec le traitement d’origine, information des personnes concernées).

Le caractère adéquat du niveau de protection des pays hors de l’Union européenne est déterminé par la Commission européenne, notamment sur la base de la législation générale et sectorielle du pays en question et des règles professionnelles. La Commission européenne a déjà reconnu le caractère adéquat du niveau de protection des pays suivants : la Suisse, le Canada, l’Argentine, les Etats-Unis (si le destinataire des données aux Etats-Unis a adhéré aux " principes de la sphère de sécurité", ou "Safe Harbor principles"), Guernesey et l’île de Man. Pour toute information supplémentaire ou pour prendre connaissance des dernières mises à jour de la liste des pays considérés comme assurant un niveau de protection adéquat, il est vivement conseillé de consulter le site Internet de la Commission européenne.

Possibilités de transferts dans les pays n’offrant pas de protection adéquate

Garanties suffisante par la voie contractuelle

Lorsque le pays où l’on souhaite transmettre des données n’est pas repris dans la liste de la Commission européenne, cela ne veut pas nécessairement dire que tout transfert sera impossible. En effet, le responsable du traitement peut également offrir lui-même, par la voie contractuelle, une protection appropriée. La protection peut ainsi être assurée au moyen d’un contrat liant celui qui envoie les données et celui qui les reçoit et contenant des garanties suffisantes au regard de la protection des données. En Belgique, ce type de contrat doit être autorisé par un Arrêté royal après avis de la Commission de la protection de la vie privée. Afin d’aider les responsables de traitement, la Commission européenne met à leur disposition des modèles de contrats-type qui sont automatiquement considérés comme offrant des garanti es suffisantes au regard de la protection des données. En pratique, en Belgique, les contrats qui reprennent le modèle de la Commission européenne ne doivent pas être "confirmés" par Arrêté royal. Ils ne doivent pas non plus faire l’objet d’une autorisation de la Commission. Une copie du contrat devra néanmoins être communiquée à la Commission afin qu’elle puisse s’assurer de sa concordance avec les modèles de la Commission européenne. En outre, ces traitements devront en principe être déclarés au registre public de la Commission, sauf exemption en fonction des règles en vigueur en matière de déclarations. Voici les modèles de contrat qui sont disponibles :

• clauses pour le transfert depuis un responsable de traitement vers un responsable de traitement (premier modèle : 2001/497/CE) ;
• clauses pour le transfert depuis un responsable de traitement vers un responsable de traitement (deuxième modèle : 2004/915/CE) ;
• clauses pour le transfert depuis un responsable de traitement vers un sous-traitant (2002/16/CE).

Pour les multinationales, garanties par des règles d’entreprise

Les sociétés multinationales qui désirent réaliser des flux intra-groupe et dont certains membres sont établis en dehors de l’Espace économique européen peuvent également offrir des garanties suffisantes de protection des données grâce à des règles d’entreprises contraignantes (Binding Coporate Rules). Ces règles doivent être validées par les différentes autorités nationales de protection des données concernées par le flux (en Belgique, un Arrêté royal doit être adopté, après avis de la Commission de la protection de la vie privée). Une procédure e uropéenne coordonnée a été mise e n place et elle permet à la société multinationale d’introduire sa demande auprès d’une autorité nationale qui prendra contact avec les autres autorités concernées dans l’Union européenne, pour permettre un examen concerté du projet de règles, et pour favoriser des décisions cohérentes des différentes autorités de protection des données. Un formulaire harmonisé d’introduction des demandes d’autorisation WP 133 (en anglais) est également disponible. Pour plus d’information sur les exigences requises pour l’approbation des règles d’entreprise contraignante, veuillez consulter les documents de travail adoptés par le Groupe de travail Article 29 (notamment les documents WP 74, WP 107, WP 108, WP 153, WP 154 et WP 155).

Les exceptions

En l’absence de contrat, il existe encore certaines "exceptions" qui permettent le flux de données vers des pays tiers. C’est notamment le cas lorsque les personnes concernées donnent leur consentement indubitable au transfert de leurs données vers un tel pays, ou lorsque le transfert est nécessaire pour exécuter un contrat avec la personne concernée, ou lorsque les données proviennent d’un registre public destiné à l’information du public (annuaire téléphonique, registre du commerce, par exemple). Ces exceptions doivent être interprétées de manière restrictive et ne peuvent constituer un cadre normal de flux de données, notamment lorsque ceux-ci sont massifs ou répétitifs. Il convient de trouver rapidement une solution contractuelle, ce qui permet d’offrir des garanties nettement supérieures pour la protection des données des citoyens.

Lire également nos FAQ : flux transfrontières

Lire également dans le lexique: l’Espace économique européen - Safe Harbor principles - modèles de contrats-type - Binding Coporate Rules - Groupe de travail Article 29