Pays compatibles au RGPD & transfert de données

21/3/2024

L’internationalisation fait partie du quotidien des entreprises : achat d’un logiciel, commande de fournitures, sous-traitance, etc. Il est désormais devenu presque impossible de ne pas avoir recours aux services d’une entreprise étrangère.

Pour autant, les prescriptions du RGPD ne disparaissent pas en franchissant les frontières de l’Union européenne (UE) et plus largement de l’Espace Economique Européen (c’est-à-dire l’Union européenne élargie à l’Islande, la Norvège et Liechtenstein).

Si le RGPD vient à s’appliquer en dehors des frontières, il s’arrête à la frontière de certains pays non-européen (ou appelés “pays tiers”) qui ne prévoient pas une législation aussi protectrice. Et l’utilisation de données personnelles de personnes européenne par ces pays pose de sérieux problèmes juridiques. C’est tout le sujet des transferts de données hors UE.

Quels sont les pays compatibles avec le RGPD ? Quels sont ceux qui ne le sont pas et dans quel cas redoubler de vigilance ?

Avant toute chose, il faut distinguer deux questions bien distinctes : l’application du RGPD et les transferts de données.

L’application du RGPD à des organismes hors UE

Votre entreprise est immatriculée en Europe et son activité s’exerce hors UE : le RGPD s’applique

L’article 3 RGPD prévoit que le RGPD s’applique au traitement des données personnelles effectué par des organismes européens “que le traitement ait lieu ou non dans l’Union”.

Cela signifie que dès lors l’entité ou l’entreprise est immatriculée dans un des pays membre de l’UE, toutes les opérations effectuées sur des données personnelles doivent respecter le RGPD, même votre activité s’exerce en dehors des frontières de l’Union européenne concernant des données de personne non européenne.

Par exemple, si votre entreprise est immatriculée en France et que vous ne vendez votre marchandise qu’en Inde, vous êtes quand même soumis aux prescriptions du règlement européen sur la protection des données personnelle.

Votre entreprise est immatriculée hors UE et son activité concerne des personnes qui se trouvent en Europe : le RGPD s’applique

À l’inverse, si l’entité ou l’entreprise est immatriculée en dehors de tout pays membre de l’Union européenne mais qu’elle est amenée à traiter des données personnelles de personnes qui se trouvent sur le territoire de l’UE, le RGPD s’applique lorsqu’il s’agit d’activité d’offre de bien ou de service (qu’un paiement soit exigé ou non) et au suivi du comportement de ces personnes.

Par exemple, si à l’inverse, votre entreprise est immatriculée au Vietnam et que vous vendez des biens à une personne en Espagne, le RGPD s’applique aux données personnelles de cette personne.

L’hypothèse d’un suivi de comportement des personnes concerne par exemple les réseaux sociaux qui aujourd’hui mettent en œuvre des technologies qui ciblent le comportement des utilisateurs pour leur suggérer des contenus adaptés.

Cette question de l’application du RGPD est distincte des transferts hors UE. Cette question ne pose pas de difficulté : si vous êtes établi en Europe ou utilisez des données des européens, vous devez vous conformer au RGPD.

Il convient de s’interroger sur la seconde question : une fois que vous savez être obligé de respecter les exigences du RGPD, vous devez être vigilant dans la manipulation des données, notamment lorsque vous les transférez à une entreprise immatriculée en dehors de l’UE.

Transfert des données hors UE : de quoi parle-t-on ?

Cette question se pose beaucoup plus fréquemment qu’on ne peut l’imaginer. Dès lors que vous utilisez les services d’une entreprise américaine, canadienne, chinoise ou autre, vous transférez un certain nombre d’informations à cette entreprise. Et ce transfert doit s’opérer dans certaines conditions voir, est prohibé.

Qualification du transfert des données hors UE

Il n’y a pas de définition stricto sensu du transfert mais, le Comité européen de protection des données donne quelques indices.

Vous transférez des données hors UE lorsque ces trois éléments sont réunis :

  • Vous (l’exportateur) êtes soumis au RGPD (que vous ayez le statut de responsable de traitement ou de sous-traitant).
  • Vous mettez à disposition ou transmettez des données personnelles à l’importateur de données.
  • L’importateur est immatriculé dans un pays tiers, c’est à dire un pays non membre de l’Union européenne.

Si votre activité correspond à ces trois critères, vous êtes dans une situation où vous transférez des données en dehors de l’UE. Dans ce cas, il faut se poser une troisième question : à quel pays.

RGPD et transfert des données hors UE : les règles applicables

Par principe, il est interdit de transférer des données en dehors de l’UE. Fort heureusement des exceptions sont prévues pour les pays disposant d’une législation aussi protectrice des données. Reste à avoir quelles sont les règles pour les pays ne disposant pas d’une adéquation de législation.

La décision d’adéquation : signification et pays concernés

Une décision d’adéquation est une décision prise par la Commission Européenne qui prévoit que l’Etat tiers offre un niveau de protection approprié après examen global de la législation en vigueur dans ledit Etat.

À ce jour, on compte 14 pays bénéficiant d’une décision d’adéquation ou adéquation partielle :

  • Andorre ;
  • Argentine ;
  • Canada uniquement pour autrement dit les traitements “commerciaux”.
  • les îles Féroé ;
  • Guernesey ;
  • Israël ;
  • l’île de Man ;
  • Japon
  • Jersey ;
  • Nouvelle-Zélande ;
  • Suisse ;
  • Uruguay ;
  • Corée du Sud ;
  • Royaume-Uni.

Si cette décision existe, plus de problème ! Dans ce cas de figure, les transferts vers un pays tiers « adéquat » seront assimilés à un transfert de données au sein de l’UE.

Andorre

Par une décision du 19 octobre 2010, la Commission européenne a valider l'équivalence du droit d'Andorre en matière de protection des données personnelles avec le RGPD.

Argentine

En 2000, la Ley de Ley de Protección de los Datos Personales ou loi de protection des données à caractère personnel (PDCP) est entrée en vigueur. Une partie de la règlementation a été modifiée en 2016 afin d'intégrer des évolutions qui permettent au droit argentin de s'aligner sur le RGPD.
Ainsi, le transfert de données vers l'Argentine sont couverts par une décision d'adéquation.

Canada

Dès 2001, l'Union européenne s'était déjà prononcée sur l'adéquation du droit canadien en matière de protection des données personnelles qui porte le nom de "Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)". Le RGPD a prolongé cette adéquation après son entrée en vigueur en 2018.

Iles Féroé

La loi des Iles Féroé relative à la protection des données à caractère personnel a également été validé par l'Union européenne antérieurement à l'entrée du RGPD. Ainsi, depuis 2010 le niveau de protection des données assuré par les Iles Féroé est reconnu par la Commission européenne.

Guernesey

L'ile de Guernesey, comme l'ile de Jersey, est une île qui se situe entre la France et l'Angleterre et constitue une dépendance du Royaume-Uni. À ce titre, le droit qui s'y applique est très largement repris du droit anglo-saxon qui assure une protection similaire au RGPD.

Israël

Depuis une décision de la Commission européenne en date du 31 janvier 2011, le droit israélien en matière de protection des données personnelles est reconnu comme accordant un niveau de protection adéquate. L'autorité compétence en cette matière est l'Autorité israélienne chargée du droit, de l'information et des technologies (l'ILITA).

Ile de Man

L'ile de Mans, comme l'ile de Guernesey et de Jersey, est une île qui se situe entre l'Angleterre et l'Irlande du Nord. Elle constitue une dépendance du Royaume-Uni. À ce titre, le droit qui s'y applique est très largement repris du droit anglo-saxon qui assure une protection similaire au RGPD.

Japon

La Commission européenne a adopté en 2019 une décision d'adéquation concernant le Japon qui a récemment été renouvelée le 4 avril 2023. En effet, des garanties supplémentaires seront appliquées par le Japon pour les données européennes, y compris un système de résolution des plaintes sous l'égide de l'autorité japonaise de protection des données.

Jersey

L'ile de Jersey, comme l'ile de Guernesey, est une île qui se situe entre la France et l'Angleterre et constitue une dépendance du Royaume-Uni. À ce titre, le droit qui s'y applique est très largement repris du droit anglo-saxon qui assure une protection similaire au RGPD.

Nouvelle-Zélande

Depuis une décision du 19 décembre 2012, la Commission européenne reconnait une adéquation de protection des données personnelles du droit Néo-zélandais. Cette décision s'est maintenue postérieurement à l'entrée en vigueur du RGPD en 2018. Les transferts de données vers ce pays sont entièrement protégés.

Suisse

En Suisse, la protection des données personnelles est assurée par la Loi sur la protection des données (LPD). Une nouvelle loi sur la protection des données (nLPD) doit entrée en vigueur en septembre 2023 pour continuer de s'aligner sur le niveau de protection assuré par le RGPD. Ainsi, la décision d'adéquation en vigueur depuis le 26 juillet 2000 perdure.

Uruguay

L'Uruguay a instauré une loi sur la protection des données personnelles en août 2008, renforcée par la suite par deux décrets en 2008 et 2009 ainsi qu'une loi sur l'échange d'informations en décembre 2010. La Commission européenne a validé cette législation en août 2012 par une décision d'adéquation toujours en vigueur.

Corée du Sud

Après de longues négociations, la Corée du Sud bénéficie d'une décision d'adéquation depuis juillet 2021 et sans date de validité. Cette décision permet de faciliter les échanges commerciaux entre les pays membres de l'Union européenne et la Corée du Sud.

Royaume-Uni

À l'issue du Brexit, de nombreuses questions restaient en suspend sur la sécurisation des échanges commerciaux entre l'Europe et le Royaume-Uni. En matière de protection des données, la Commission européenne est rapidement intervenue par deux décisions d'adéquation adoptées en juin 2021. Ces décisions garantissent les flux de données entre le Royaume-Uni et l'Europe, sans conditions supplémentaires.

Le cas particulier des Etats-Unis

L'autorisation de transfert des données entre l'Union européenne et les Etats-Unis n'a pas été un long fleuve tranquille. Au contraire, c’est une chronique qui dure depuis plusieurs années : les mécanismes de transferts de données entre l’UE et les Etats-Unis ont successivement été annulés par la Cour de justice de l’Union européenne en 2015 et 2020 car le droit US ne garantissait pas un système de protection des données personnelles suffisant.

Pour venir à la rescousse des milliers d’entreprises qui ont été privées d’outils tels que AWS, Google ou Microsoft à défaut se faire taper sur les doigts par la CNIL, les Etats-Unis ont publié un Executive Order en octobre dernier prévoyant de meilleures garanties :

  • Des limites dans l’accès des données des européens par les renseignements US,
  • La possibilité de former un recours auprès du “Civil Liberties Protection Officer” en cas de préjudice.

Mais ce n’était pas encore suffisant sans la validation de l’UE qui est enfin arrivée le 10 juillet dernier : la Commission européenne valide ce nouveau système sous condition :

  • Le prestataire doit se trouver dans la du site du Département du Commerce des Etats-Unis ! On retrouve par exemple Amazon, Google, Microsoft, Stripe, Hubspot, Mailchimp (mais pas Notion.. yet!).
  • Malheureusement, si votre outil ne se trouve pas sur cette liste, l’ancien modèle prévaut et il faut avoir recours aux clauses contractuelles types (CCT) et autres mécanismes de transferts hors UE. Pour plus d'information, consultez notre page dédiée aux transferts de données vers les Etats Unis.

Une question subsiste : Peut-on vraiment se fier à cette décision en dépit des 2 précédentes annulations par la Cour ? Difficile à dire au regard des critiques de ce nouveau système, notamment par Monsieur Schrem (l’avocat à l’origine de ces jurisprudences) qui a d’ores et déjà annoncé qu’il contesterait cette nouvelle décision d’adéquation devant la Cour de justice de l’UE. Affaire à suivre donc … 👀

En dehors de ces pays, en principe tout transfert de données personnelles est prohibé.

Absence de décision d’adéquation : les garanties appropriées prennent le relais

Les pays qui ne bénéficient pas d’une décision d’adéquation sont nombreux : Etats-Unis, Australie, Amérique du sud en dehors de l’Argentine, l’ensemble des pays d’Afrique et des pays d’Asie en dehors du japon.

Il s’agit des pays en violet :

Pour les pays là, tout transfert de données personnelles est interdit en vertu de la réglementation européenne. Ce qui est d’autant plus problématique concernant les Etats-Unis car les entreprises et les particuliers utilisent de nombreux outils US au quotidien : Google, Microsoft, Salesforce, Hubspot, Dropbox, AWS, Azure, Slack, Zoom, Bubble etc.

Pour la petite histoire, il existait avant 2020 une sorte de décision d’adéquation concernant les Etats-Unis mais celle-ci a été annulée par la Cour de justice de l’Union européenne. En effet, la législation américaine autorise les services de renseignements à avoir accès à toutes les données conservées par une entreprise, même lorsque les données sont stockées sur des serveurs localisés en Europe.

Depuis 2020, un accord est toujours en cours de négociation entre l’Europe et les Etats-Unis. Dans l’intervalle, les juridictions françaises se sont prononcées sur l’utilisation de certains outils US.

En tout état de cause, le transfert de données personnelles vers des pays tiers non adéquates, plusieurs mécanismes peuvent être de nature à compenser ce déséquilibre :

1 - Les clauses contractuelles types (CCT) ou Standard Contractual Clauses(SCC)

Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.

Toutefois, il incombe à l'exportateur et à l'importateur de données d'évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT. À défaut, des mesures additionnelles devront être mises en place.

2 - Règles internes d’entreprises (REC) ou Binding Corporate Rules (BCR)

Les règles d’entreprise contraignantes (communément appelées BCR) permettent à des groupes d’entreprises d’encadrer juridiquement leurs transferts de données hors de l’Union européenne (UE) tout en leur offrant la possibilité d’engager une démarche de mise en conformité globale à l’échelle de tout le groupe.

3 - Code de conduite

Il s’agit d’un outil de conformité sectoriel juridiquement contraignant : il s’impose à ceux qui y adhèrent. L’élaboration d’un code de conduite repose sur une démarche sectorielle qui doit être initiée par une association, une fédération, ou un organisme représentant des catégories de responsables de traitement ou de sous-traitants.

4 - Mécanisme de certification

La certification permet d’établir qu’un produit, un service, un processus ou un système de données ont été évalués conformes aux critères d’un référentiel préalablement approuvé par la CNIL ou par le Comité européen de la protection des données.

La certification est un outil juridiquement contraignant pour ceux qui choisissent de s’engager dans cette démarche.

5 - Des mesures de protection supplémentaires nécessaires

Souvent, l’importateur, donc l’entreprise qui est destinataire du transfert de données hors UE, a le statut de sous-traitant au sein de l’opération. Cela signifie qu’un contrat obligatoirement lie l’exportateur et l’importateur.

Ce contrat est souvent appelé data processing agreement (DPA), c’est le contrat avec le sous-traitant (article 28 RGPD). C’est ce contrat qui doit contenir des mesures de protection renforcée des données personnelles : par la reprise des clauses contractuelles types (CCT) ainsi qu’un certain nombre de garantis supplémentaires.

Par exemple, le contrat peut prévoir les mesures suivantes :

  • le format des données à transférer : les données sont anonymisées ou pseudonymisée, chiffrées ou cryptées avant l’exportation.
  • la durée de conservation des données : les données sont conservées peu de temps par l’exportateur (par exemple 3 mois).
  • les données ne font pas l’objet d’un transfert ultérieur ou vers un pays de l’UE ou bénéficiant d’une décision d’adéquation.
  • l’exportateur s’engage à prévoir des mesures techniques et organisationnelles renforcées pour protéger les données contre toute violation de données.

Cette liste n’est pas exhaustive mais rassemble les principales mesures supplémentaires.

Cas rares : des exceptions prévues par le RGPD

Que se passe-t-il si un Etat tiers est dépourvu de décision d’adéquation ou de garanties appropriées ? A priori, la situation est mal engagée. Pourtant certaines dérogations existent mais leur utilisation n’est possible que dans des situations très rares prévues à l’article 49 du RGPD.

Le RGPD va encore plus loin. Lorsqu'aucune de ces dérogations n’est applicable, il est possible de procéder au transfert si ce dernier :

  • ne revêt pas de caractère répétitif,
  • ne touche qu'un nombre limité de personnes concernées,
  • est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée,
  • et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.

Transfert des données hors-UE : nos meilleurs conseils pour faire le point

La vraie solution ? Vous concentrer sur des partenaires européens.

Mais, la vie économique n’est pas si simple que cela alors, voici les étapes à suivre pour protéger vos transferts vers des pays tiers :

  • Auditer vous sous-traitants,
  • Analyser les risques de chaque transfert,
  • Ajouter des garantis de protection supplémentaires.

Cet article sur le Data Privacy Framework pour les transferts de données vers les Etats-Unis peut également vous être très utile!

Pour en savoir plus, n'hésitez pas à consultez notre Livre Blanc Comment Transférer des données hors UE 🌎.

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre