Transferts en dehors de l'UE - niveau de protection adéquat

Tout responsable de traitement qui souhaite exporter des données à caractère personnel hors de l’Union européenne doit d’abord se renseigner sur le niveau de protection adéquat du pays destinataire. En effet, lorsque le pays tiers est considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert au sein de l’Union européenne.

Il faudra néanmoins toujours respecter les principes généraux de la Loi vie privée (notamment, légitimité, compatibilité de la communication des données à un tiers avec le traitement d’origine, information des personnes concernées). Plus d'information à ce sujet est disponible dans la rubrique "Thèmes de vie privée".

L'évaluation du caractère adéquat du niveau de protection des pays hors de l’Union européenne s'apprécie notamment sur la base de la législation générale et sectorielle du pays en question et des règles professionnelles.

En vertu de l’article 21, § 2 de la Loi vie privée, il appartient au Roi de déterminer pour quelles catégories de traitement de données à caractère personnel et dans quelles circonstances la transmission de données vers des pays tiers n’est pas autorisée. Le Roi n’a pas fait usage de cette faculté. Il découle toutefois de l’évolution de la pratique décisionnelle de la Commission européenne et des Etats membres que ce ne sont pas les pays tiers ou certains traitements qui n’offrent pas un niveau de protection adéquat qui sont identifiés comme tels ("liste noire") mais bien ceux qui sont reconnus comme offrant un tel niveau de protection adéquat ("liste blanche").

Quels sont les pays qui sont considérés comme offrant un niveau de protection adéquat ?

La Commission européenne a déjà reconnu le caractère adéquat du niveau de protection des pays suivants : la Suisse, le Canada (pour les traitements soumis à la loi canadienne "Personal Information Protection and Electronic Documentation Act"), Andore, l’Argentine, les Etats-Unis (pour les sociétés certifiées par le bouclier EU-US relatif à la protection des données ou "Privacy Shield'), Guernesey, l’île de Man, les îles Féroé, Jersey, Israël, la Nouvelle-Zélande et l'Uruguay. L'UE a également signé des accords bilatéraux internationaux pour lenvoi des données relatives aux passagers aériens (PNR) avec l'Australie, le Canada et les Etats-Unis. Un accord EU-US a également été conclu pour l'utilisation des données financières de la société SWIFT à des fins de lutte contre le terrorisme (Data and Terrorist Finance Tracking Programme - TFTP).

Pour ce qui concerne en particulier l'envoi de données à des fins commerciales aux Etats-Unis, la Commission européenne avait émis une décision d’adéquation le 26 juillet 2000 concernant les principes de la sphère de sécurité (Safe Harbor principles). Cette décision a été toutefois invalidée le mardi 6 octobre 2015, par la Cour de Justice de l’Union européenne dans l'arrêt "Schrems".  Les entreprises ne peuvent donc se référer à cette seule décision pour encadrer juridiquement leurs transferts de données vers les Etats-Unis. La décision a toutefois été remplacée par une nouvelle décision d'adéquation relative au "Privacy Shield". Le "Privacy Shield" est opérationnel depuis le 1er août 2016.

En savoir plus sur le Privacy Shield

Pour toute information supplémentaire ou pour prendre connaissance des dernières mises à jour de la liste des pays considérés comme assurant un niveau de protection adéquat, il est vivement conseillé de consulter le site Internet de la Commission européenne.