Transferts hors UE : quelles formalités ?

29 juillet 2016

Quelles formalités accomplir auprès de la CNIL si vous transférez des données personnelles hors de l'Union européenne ? 

 

Les formalités à accomplir auprès de la CNIL varient en fonction :

  • du régime juridique applicable au traitement principal (déclaration normale ou autre formalité),
  • de la désignation d'un correspondant informatique et libertés,
  • du pays de destination,
  • du cadre juridique du transfert.
  1. Certains transferts sont dispensés de déclaration

Les traitements mis en œuvre sur le territoire français par des prestataires agissant pour le compte de responsables de traitement établis hors de l’UE et concernant des données personnelles collectées hors de l’UE sont dispensés de formalité, à condition que les traitements aient pour finalité : la gestion des rémunérations, la gestion du personnel ou la gestion des fichiers de clients et de prospects (Dispense n° 15)


  1. Certains transferts hors UE bénéficient déjà d'une autorisation de la CNIL,

C'est notamment le cas des normes suivantes :


  1. Dans les autres cas 

Complétez le formulaire correspondant au régime juridique de formalités CNIL applicable au traitement principal envisagé (déclaration normale ou une autre formalité).

Dans ce formulaire, dans l’onglet "Transferts", sélectionnez « Transmission de données Hors UE ».

Cadre juridique du transfert Si le traitement principal relève de la déclaration Si le traitement principal relève de l'Autorisation Si le traitement principal relève de la demande d'avis
Le transfert se fait dans un pays présentant une protection suffisante, (y-compris aux USA, dans le cadre du "Privacy shield"
ou
Recours aux exceptions
Remplir le formulaire de déclaration normale et l'annexe transferts
Ou si l'organisme a désigné un CIL : Inscription au registre du CIL
Remplir le formulaire de demande d'autorisation et l'annexe transferts Remplir le formulaire de demande d'avis et l'annexe transferts
Clauses contractuelles types Remplir le formulaire de déclaration normale  et l'annexe transferts
Le transfert est soumis à l'autorisation préalable de la CNIL
Remplir le formulaire de demande d'autorisation et l'annexe transferts Remplir le formulaire de demande d'avis et l'annexe transferts
« Binding corporate rules » (BCR) au sein d’un même groupe Remplir le formulaire de déclaration normale  et l'annexe transferts
Le transfert est soumis à l'autorisation préalable de la CNIL
Remplir le formulaire de demande d'autorisation et l'annexe transferts Remplir le formulaire de demande d'avis et l'annexe transferts

Comment procéder ?

Onglet Transferts

Attention ! si vous transférez des données pour plusieurs finalités distinctes, vous devez créer une annexe pour chaque transfert hors UE. 
(ex : finalités d’hébergement de données et finalité de saisie de données = 2 annexes).

En revanche, une seule « annexe transfert » suffit pour plusieurs destinataires dès lors que la finalité du transfert est la même.

Transfert sélection pays

Sélectionnez le ou les pays destinataires du transfert dans la liste déroulante ou sur la carte interactive puis cliquez sur le bouton "créer un transfert"

Annexe transferts

Remplissez l’annexe Transfert créée puis cliquez sur « enregistrer » puis « étape suivante » afin de compléter le formulaire.

Selon le régime applicable au traitement principal et après instruction de votre dossier, vous recevrez un récépissé, une autorisation ou un avis de la CNIL.

Selon le régime applicable au traitement principal et après instruction de votre dossier, vous recevrez un récépissé, une autorisation ou un avis de la CNIL.

Concernant le transfert hors UE,

  • Si vous transmettez tout ou partie des données traitées vers un pays assurant un niveau de protection suffisant : Le transfert des données en tant que tel est autorisé par la loi Informatique et Libertés (article 68 de la loi Informatique et Libertés).
  • Si vous transmettez tout ou partie des données traitées vers un pays n'assurant pas un niveau de protection suffisant mais qu’il est encadré par l’adoption declauses contractuelles types ou de BCR (règles internes d’entreprise) : Le transfert est instruit par les services de la Commission et doit faire l’objet d’une décision de la Commission (article 69 de la loi Informatique et Libertés). Il vous faudra attendre cette décision d’autorisation pour pouvoir procéder au transfert.
  • Si  vous transmettez tout ou partie des données traitées vers un pays n'assurant pas un niveau de protection suffisant mais que le transfert est fondé sur le recours aux exceptions de l’article 69 de la loi Informatique et Libertés : Le transfert, bien qu’autorisé par la loi Informatique et Libertés (article 69) est ensuite instruit par les services de la Commission afin de vérifier qu’il s’agit de transferts ponctuels et exceptionnels. 

En effet, la CNIL et le G29 (groupe des CNIL européennes) recommandent que des transferts répétitifs, massifs ou structurels de données personnelles, dont l’importance ou la régularité justifient qu’ils soient encadrés, fassent l’objet d’un encadrement juridique spécifique (par des clauses contractuelles types ou des règles internes d’entreprise) et ne reposent donc pas sur ces dérogations.

 

Les mots clés associés à cet article