Vous êtes ici : Accueil > Nouveau > Pleins feux sur > Le transfert de données à l'étranger

Le transfert de données à l'étranger

Puis-je envoyer les données d'une personne à l'étranger sans me poser de questions ?

Étant donné que les critères d'envoi ne sont pas clairs pour tout le monde, la Commission souhaite faire le point sur ce qui est permis lorsqu'il est question de transférer des données à caractère personnel depuis la Belgique vers l'étranger.

Les données à caractère personnel peuvent circuler librement au sein de l'Union européenne, tant que la loi vie privée belge est respectée. Cette loi s'inspire d'une directive européenne qui a également été transposée en droit national par les autres États membres de l'Union européenne. Les États membres disposent en d'autres termes d'un niveau de protection similaire à celui de la Belgique en matière de traitement de données à caractère personnel.

En dehors de l'Union européenne, et plus particulièrement en dehors de l'Espace économique européen (c'est-à-dire l'Union européenne ainsi que l'Islande, la Norvège et le Liechtenstein), le critère décisif est de savoir si le pays offre ou non un "niveau de protection adéquat". Ce niveau est apprécié par la Commission européenne.

La Commission européenne a ainsi établi une liste de pays offrant un niveau de protection adéquat. Elle concerne par exemple le Canada, l'Argentine et la Suisse. En ce qui concerne les États-Unis, le destinataire dans ce pays doit avoir accepté lesdits "principes de Safe Harbor" avant de pouvoir parler d'un "niveau de protection adéquat".

Si le pays vers lequel on souhaite transférer des données n'est pas repris sur la liste de la Commission européenne, cela ne signifie pas nécessairement que tout envoi est impossible. Des garanties suffisantes en matière de protection des données peuvent être offertes au moyen d'un contrat contraignant pour la personne qui envoie les données et pour celle qui les reçoit. En principe, ces contrats doivent être ratifiés en Belgique par un Arrêté Royal (SPF Justice), après avis de la Commission. La Commission européenne dispose toutefois de contrats types qui offrent automatiquement (donc la ratification par arrêté royal n'est pas requise) des garanties suffisantes en matière de protection des données, pour autant que ceux-ci soient repris intégralement. Différents types de contrats sont actuellement disponibles. Une copie du contrat proprement dit doit être remise à la Commission de manière à lui permettre de vérifier sa conformité avec les contrats types.

Les multinationales qui souhaitent mettre en place des flux de données au sein du groupe dont les membres se trouvent en dehors de l'Espace économique européen peuvent également offrir des garanties suffisantes en matière de protection des données par le biais de codes de conduite internes, lesdits " Binding Corporate Rules" (codes de conduite internes contraignants). De tels BCR doivent être ratifiés par un Arrêté Royal (SPF Justice), après avis de la Commission.

Enfin, à défaut de niveau de protection adéquat et de contrat tel qu'évoqué ci avant, il existe encore certaines exceptions qui permettent de transférer des données à l'étranger. C'est entre autres le cas lorsque les personnes concernées donnent leur consentement indubitable sur ce transfert, lorsque le transfert est nécessaire à l'exécution d'un contrat avec la personne concernée ou lorsque les données proviennent d'un registre public destiné à l'information du public (un registre de commerce par exemple). Ces exceptions doivent être interprétées de manière restrictive et ne peuvent pas constituer un cadre normal pour le transfert de données, certainement pas si le traitement a lieu à grande échelle ou s'il est répétitif.