vie privée: quid en cas de transfert de données en dehors de l’UE ?

Les nouvelles règles « GDPR » s’appliquent non seulement aux entreprises européennes, mais également à toutes les entreprises ou organisations en dehors de l’UE, qui utilisent les données relatives aux clients de citoyens européens.  Les entreprises européennes qui exportent des données à caractère personnel en dehors de l’Union européenne doivent respecter des règles particulières. Cela vaut également lorsque votre entreprise partage des données avec des entreprises non européennes au sein ou en dehors du groupe ou du holding.

Les entreprises non européennes doivent également garantir une protection appropriée.

L’on distingue globalement trois situations lorsque vous exportez des données à des entreprises établies en dehors de l’Union européenne.

  1. Le pays de destination offre une protection appropriée
    Si votre entreprise transmet des données à caractère personnel à des entreprises établies dans des pays offrant un niveau de protection adéquat (pensez au bouclier US relatif à la protection des données ou « Privacy Shield »), aucune action ne doit être entreprise.
  1. Le pays de destination n’offre pas une protection suffisante
    Si vous transmettez des données à des entreprises (extérieures à votre groupe) établies dans un pays « non protégé », vous devez alors fixer des garanties adéquates avec chaque entreprise de ce pays.
    Vous pouvez ainsi signer un modèle de contrat type. Si cette entreprise fait partie de votre groupe multinational, vous devez mettre en place des règles d’entreprise contraignantes pour tous les transferts de données au sein de l’ensemble du groupe, ce que l’on appelle les « binding corporate rules ».
  1. Exceptions
    Sans modèle de contrat type, le transfert de données vers des pays tiers est autorisé à titre exceptionnel. Par exemple, pour réserver un billet d’avion ou pour effectuer un paiement international à l’aide d’une carte bancaire ou d’une carte de crédit.

Bon à savoir : une entreprise établie en dehors de l’Union européenne qui livre des biens ou fournit des services à des citoyens européens doit également respecter les nouvelles règles européennes relatives au traitement de données à caractère personnel. Sont donc également visées les boutiques en ligne américaines ou chinoises qui vendent leurs produits à des Belges.

Une entreprise hors UE qui fait du commerce avec des citoyens européens doit également respecter les règles GDPR.

Lisez également les cinq autres articles dans notre série sur la loi européenne plus stricte en matière de protection de la vie privée.

1. l’objectif et l’application des règles plus sévères en matière de protection de la vie privée

2. la responsabilité et l’obligation de rendre des comptes des entreprises

3. le rôle du Data Protection Officer (le Délégué à la Protection des données)

4. gestion de vos fournisseurs et entreprises de traitement de données

5. amandes élevées en cas de fuites de données ou d'infraction à la loi vie privée


disclaimer

Plus grand prestataire de services de ressources humaines du pays, Randstad estime qu'il est essentiel, par le biais de ce blog, d'aborder sous plusieurs angles divers sujets liés au monde du travail. Cela implique que nous ne souscrivons pas systématiquement aux points de vue des spécialistes qui ont rédigé les articles.