Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Transferts hors UE : Quelles Formalités ?

Quelles formalités CNIL accomplir si vous transférez des données hors de l'Union européenne

Les formalités à accomplir auprès de la CNIL varient en fonction :

  • du régime juridique applicable au traitement principal (déclaration normale ou autre formalité),
  • de la désignation d'un correspondant informatique et libertés,
  • du pays de destination,
  • du cadre juridique du transfert.

A savoir

Les traitements mis en œuvre sur le territoire français par des prestataires agissant pour le compte de responsables de traitement établis hors de l’UE et concernant des données personnelles collectées hors de l’UE sont dispensés de formalité, à condition que les traitements aient pour finalité : la gestion des rémunérations, la gestion du personnel ou la gestion des fichiers de clients et de prospects (Dispense n° 15)

Certains transferts hors UE bénéficient déjà d'une autorisation de la CNIL, c'est notamment le cas des délibérations suivantes :

Cadre juridique du transfert

Régime du traitement principal

 

Autre formalité
(Demande d'avis ou autorisation)

Pays présentant une protection suffisante
ou « Safe Harbor »

Déclaration normale
+
Annexe transferts
ou si CIL : Inscription au registre

(Demande d'avis ou autorisation)
+
Annexe transferts

Recours aux exceptions
(appréciation restrictive de la CNIL)

Déclaration normale
+
Annexe transferts
ou si CIL : Inscription au registre

(Demande d'avis ou autorisation)
+
Annexe transferts

Clauses contractuelles types, « Binding corporate rules » (BCR, règles internes) au sein d’un même groupe

Déclaration normale
+
Annexe transferts

Seul le transfert fera l'objet d'une autorisation

(Demande d'avis ou autorisation)
+
Annexe transferts

Comment faire ?

1.Complétez le formulaire correspondant au régime juridique applicable au traitement principal envisagé (déclaration normale ou une autre formalité).

Dans ce formulaire, dans l’onglet "Transferts", sélectionnez « Transmission de données Hors UE ».

Veuillez cocher la case correspondant à votre situation

2. Sélectionnez le ou les pays destinataires du transfert dans la liste déroulante ou sur la carte interactive puis cliquez sur « créer un transfert

Copie écran du formulaire Choix des pays de destination des fichiers

ATTENTION, si vous transférez des données pour plusieurs finalités distinctes, vous devez créer une annexe pour chaque transfert hors UE.
(ex : finalités d’hébergement de données et finalité de saisie de données = 2 annexes). En revanche, une seule « annexe transfert » suffit pour plusieurs destinataires dès lors que la finalité du transfert est la même.

Remplissez l’annexe Transfert créée puis cliquez sur « enregistrer » puis « étape suivante » afin de compléter le formulaire.

Selon le régime applicable au traitement principal et après instruction de votre dossier, vous recevrez un récépissé, une autorisation ou un avis de la CNIL.

Concernant le transfert hors UE,

  • Si vous transmettez tout ou partie des données traitées vers un pays assurant un niveau de protection suffisant ou vers une société américaine adhérant au Safe Harbor : Le transfert des données en tant que tel est autorisé par la loi Informatique et Libertés (article 68 de la loi Informatique et Libertés).
  • Si vous transmettez tout ou partie des données traitées vers un pays n'assurant pas un niveau de protection suffisant mais qu’il est encadré par l’adoption de clauses contractuelles types ou de BCR (règles internes d’entreprise) : Le transfert est instruit par les services de la Commission et doit faire l’objet d’une décision de la Commission (article 69 de la loi Informatique et Libertés). Il vous faudra attendre cette décision d’autorisation pour pouvoir procéder au transfert.
  • Si  vous transmettez tout ou partie des données traitées vers un pays n'assurant pas un niveau de protection suffisant mais que le transfert est fondé sur le recours aux exceptions de l’article 69 de la loi Informatique et Libertés : Le transfert, bien qu’autorisé par la loi Informatique et Libertés (article 69) est ensuite instruit par les services de la Commission afin de vérifier qu’il s’agit de transferts ponctuels et exceptionnels. 
    En effet, la CNIL et le G29 (groupe des CNIL européennes) recommandent que des transferts répétitifs, massifs ou structurels de données personnelles, dont l’importance ou la régularité justifient qu’ils soient encadrés, fassent l’objet d’un encadrement juridique spécifique (par des clauses contractuelles types ou des règles internes d’entreprise) et ne reposent donc pas sur ces dérogations.

 

 

Carte de la protection des données

Le pays vers lequel je transfère des données est-il adéquat ?

Mappemonde

Carte interactive

Informer les personnes

Les personnes dont les données sont susceptibles d’être transférées hors de l’Union européenne doivent être informées de l’existence de ce transfert.

Modèle de mention

Textes de référence

Chargement en cours...