Dans ce numéro 30 de « Lexing Insights », les membres du réseau Lexing se penchent sur les « transferts internationaux de données ».
Quels outils pour encadrer les transferts internationaux de données ?
L’Internet et la numérisation ont facilité la circulation des données dans le monde et aujourd’hui les échanges commerciaux reposent de plus en plus sur des flux de données personnelles. La confidentialité et la sécurité de ces données sont devenues des facteurs centraux de la confiance.
Dans l’Union européenne, le RGPD autorise le transfert des données vers un État tiers à condition d’assurer un niveau adéquat de protection des données grâce à différents instruments (décisions d’adéquation, clauses contractuelles types, BCR, dérogations etc.). En Chine, la loi sur la protection des informations personnelles (PIPL), qui entre en vigueur le 1 novembre 2021, pose, elle aussi, des règles strictes pour les transferts de données en dehors du territoire national.
Dans ce numéro de « Lexing Insights », les membres du réseau Lexing® vous dressent un tableau de la situation actuelle à travers le monde :
- –Quels instruments de transfert sont possibles en vertu du RGPD ?
- –Comment effectuer des transferts vers les USA depuis l’invalidité du Privacy Shield par l’arrêt Schrems II de la CJUE ?
- –Qu’en est-il des transferts vers le Royaume-Uni depuis le Brexit ?
- –Quelles sont les sanctions en cas de transferts illégaux ?
- –Quelles sont les règles en dehors de l’UE, comme en Chine, au Canada ou en Afrique du Sud ?
Un tour du monde des règles encadrant les transferts internationaux de données
Pour commencer, notre correspondant sud-africain nous présente la feuille de route à suivre pour transférer des données personnelles depuis et vers l’Afrique du Sud en conformité avec la loi sur la protection des informations personnelles (POPIA).
Puis, notre correspondant pour la Belgique décrypte une affaire récente dans laquelle le Conseil d’Etat belge a été appelé à se prononcer sur la conformité d’un marché public impliquant le transfert de données vers les Etats-Unis au regard la jurisprudence Schrems II de la CJUE et des recommandations associées du CEPD.
Nous nous arrêtons ensuite au Canada, où notre correspondant Lexing nous expose le régime de transfert qui sera bientôt applicable à la communication de renseignements personnels à l’extérieur du Québec suite à l’adoption, le 21 septembre dernier, de la loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Notre tour du monde nous emmène également en Chine pour examiner les conditions de transfert des données en dehors du territoire chinois en vertu de la loi sur la cybersécurité (Cyber-security Law, CSL) et de loi sur la protection des informations personnelles (Personal Information Protection Law, PIPL).
Retour en Europe, avec notre correspondant pour l’Espagne, pour faire le point sur le cadre juridique applicable en vertu de la Loi organique 3/2018, du 5 décembre relative à la protection des données personnelles (LOPD) et sur position de l’autorité de contrôle nationale, l’AEPD.
Notre correspondant pour la France prend le relais en décrivant les différents instruments de transfert possibles, et plus particulièrement les clauses contractuelles types (CTT), au regard des recommandations du CEPD et de la position de la Cnil dans ce domaine.
Enfin, notre tour du monde s’achève au Luxembourg, où notre correspondant synthétise la situation des transferts internationaux de données depuis l’UE au lendemain du Brexit et de l’arrêt Schrems II de la CJUE.
Les pays suivants ont contribué à ce numéro : Afrique du Sud, Belgique, Canada, Chine, France, Espagne, Luxembourg.
Lettre Juristendances Internationales « Lexing Insights » n°30 – Octobre 2021