Transferts hors UE : Quelles Formalités ?

Les formalités à accomplir auprès de la CNIL varient en fonction :

• du régime juridique applicable au traitement principal (déclaration normale ou autre formalité),
• de la désignation d'un correspondant informatique et libertés,
• du pays de destination,
• du cadre juridique du transfert.

Les traitements mis en œuvre sur le territoire français par des prestataires agissant pour le compte de responsables de traitement établis hors de l’UE et concernant des données personnelles collectées hors de l’UE sont dispensés de formalité, à condition que les traitements aient pour finalité : la gestion des rémunérations, la gestion du personnel ou la gestion des fichiers de clients et de prospects (Dispense n° 15)

Certains transferts hors UE bénéficient déjà d'une autorisation de la CNIL, c'est notamment le cas des délibérations suivantes :

• Norme simplifiée n°46 (gestion du personnel)
• Norme simplifiée n°48 (gestion clients-prospects)
• Autorisation unique n°04 (alertes professionnelles)

Complétez le formulaire correspondant au régime juridique applicable au traitement principal envisagé (déclaration normale ou une autre formalité). Dans ce formulaire, cochez dans l’onglet "Transferts", la case correspondante au cadre juridique du transfert envisagé.

Si vous transmettez tout ou partie des données traitées vers un pays assurant un niveau de protection suffisant ou vers une société américaine adhérant au Safe Harbor :

1. Sélectionnez le pays destinataire du transfert puis cliquez sur « créer un transfert ».
2. Remplissez l’annexe Transfert créée puis cliquez sur « enregistrer » puis « étape suivante » afin de compléter le formulaire.
3. Selon le régime applicable au traitement principal et après instruction de votre dossier, vous recevrez un récépissé, une autorisation ou un avis de la CNIL.
4. Le transfert des données en tant que tel est autorisé par la loi Informatique et Libertés (article 68 de la loi Informatique et Libertés).

Si vous transmettez tout ou partie des données traitées vers un pays n'assurant pas un niveau de protection suffisant mais qu’il est encadré par l’adoption de clauses contractuelles types ou règles internes d’entreprise :

1. Sélectionnez le pays destinataire du transfert puis cliquez sur « créer un transfert ».
2. Remplissez l’annexe "Transfert" créée puis cliquez sur « enregistrer » puis sur « étape suivante » afin de compléter le formulaire.
3. Selon le régime applicable au traitement principal et après instruction de votre dossier, vous recevrez un récépissé, une autorisation ou un avis de la CNIL.
4. Le transfert est ensuite instruit par les services de la Commission et doit faire l’objet d’une décision de la Commission (article 69 de la loi Informatique et Libertés).

Si  vous transmettez tout ou partie des données traitées vers un pays n'assurant pas un niveau de protection suffisant mais que le transfert est fondé sur le recours aux exceptions de l’article 69 de la loi Informatique et Libertés : 

1. Sélectionnez le pays destinataire du transfert puis cliquez sur « créer un transfert ». Remplissez l’annexe Transfert créée puis cliquez sur « enregistrer » puis « étape suivante » afin de compléter le formulaire.
2. Selon le régime applicable au traitement principal et après instruction de votre dossier, vous recevrez un récépissé, une autorisation ou un avis de la CNIL. 
3. Le transfert, bien qu’autorisé par la loi Informatique et Libertés (article 69) est ensuite instruit par les services de la Commission afin de vérifier qu’il s’agit de transferts ponctuels et exceptionnels.
   En effet, la CNIL et le G29 (groupe des CNIL européennes) recommandent que des transferts répétitifs, massifs ou structurels de données personnelles, dont l’importance ou la régularité justifient qu’ils soient encadrés, fassent l’objet d’un encadrement juridique spécifique (par des clauses contractuelles types ou des règles internes d’entreprise) et ne reposent donc pas sur ces dérogations.