Comment puis-je légalement transférer des données personnelles hors UE ?

Un transfert hors UE de données correspond à toute communication, copie ou déplacement de données personnelles qui ont vocation à être traitées dans un pays tiers à l’Union européenne. Dès lors qu’un tel transfert de données a lieu, il est nécessaire de s’assurer qu’il est encadré par un outil juridique. Premièrement, il faut vérifier si le pays vers lequel les données sont transférées bénéficie d’une décision d’adéquation de la Commission Européenne, ce qui est le cas pour les pays de l’EEE par exemple. Dans cette hypothèse, le transfert peut être effectué sans démarche particulière. Si ce n’est pas le cas, il faudra au contraire prendre certaines mesures comme :

# la signature de clauses contractuelles types de la Commission Européenne (CE)
# les règles internes d’entreprises approuvées (Binding Corporate Rules – BCR) élaborées par le responsable de traitement
# un code de conduite approuvé
# un mécanisme de certification approuvé
# un arrangement administratif ou un texte juridiquement contraignant

Lorsqu’une approbation est nécessaire, elle va l’être soit par l’Autorité nationale, soit par le Comité Européen de la protection des données. A défaut, le transfert ne devra pas être effectué.

Il faut aussi être vigilant car dans certains cas, une seule de ces mesures peut ne pas suffire ; par exemple les Clauses contractuelles types avaient été jugées insuffisantes pour le transfert de données vers les USA (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311) avant que la décision d’adéquation de la législation américaine de la CE ne soit rendue le 10 juillet 2023.

Les équipes MIIP – MADE IN IP sont à votre disposition pour vous accompagner dans vos relations au-delà des frontières de l’Europe.

Aurore BOIBESSOT / Juriste en Propriété Industrielle