Internet et la numérisation des biens et services ont transformé l’économie mondiale en facilitant la circulation des données dans le monde. Les échanges commerciaux reposent de plus en plus sur les flux de données personnelles et la confidentialité, la sécurité de ces données sont devenus des facteurs centraux de la confiance des consommateurs, mais également des entreprises désireuses d’un cadre à la fois sûr et compétitif.

Le règlement européen sur la protection des données (RGPD) encadre précisément les transferts internationaux de données. Il complète la gamme des outils existants permettant l’encadrement de ces transferts, afin de répondre aux différentes situations rencontrées par les responsables de traitements de données et leurs sous-traitants.

• La décision d’adéquation (art. 45 du RGPD), qui constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un Etat, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet Etat ;
• En l’absence d’une telle décision, des « garanties appropriées » (art. 46 du RGPD), constituées pour la majorité de décisions des autorités de contrôle et qui sont prises à la lumière des engagements des organismes concernés.

Avec le RGPD, les transferts peuvent également être encadrés par :

• Des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
• Un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
• Un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
• Un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).

Source : SITE DE LA CNIL : https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-ce-qui-change-avec-le-reglement-general-sur-la-protection-des-donnees