Sur les transferts de données.
Un transfert de données à caractère personnel à destination d'un pays tiers à l'Espace économique européen peut être effectué lorsque l'une des conditions suivantes est réunie :
- le transfert s'effectue à destination d'un pays reconnu par une décision de la Commission européenne comme assurant un niveau de protection suffisant ;
- le traitement garantit un niveau suffisant de protection de la vie privée ainsi que les droits et libertés fondamentaux des personnes, par la mise en œuvre de clauses contractuelles rédigées sur les modèles de clauses élaborés par la Commission européenne relatives aux transferts de données, d'une part, ou par l'adoption de règles internes d'entreprise (« Binding Corporate Rules », ou BCR) adoptées par le responsable de traitement et reconnues par la Commission nationale de l'informatique et des libertés et les autorités de protection des données personnelles compétentes comme offrant un cadre juridique satisfaisant pour effectuer des transferts de données en dehors de l'Union européenne, d'autre part ;
- le transfert est justifié par l'exception prévue par le 3° de l'article 69 de la loi du 6 janvier 1978 modifiée, à savoir le respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice.
La commission rappelle que le recours aux exceptions prévues par l'article 69 de la loi du 6 janvier 1978 modifiée n'est possible que pour les transferts dont le champ d'application est limité à des cas ponctuels et exceptionnels. Les transferts répétitifs, massifs ou structurels de données doivent quant à eux faire l'objet d'un encadrement juridique spécifique, par l'intermédiaire de BCR ou de clauses contractuelles types.
Le responsable de traitement s'engage, sur simple demande d'une personne concernée, à apporter une information complète sur la finalité du transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre pour encadrer ce transfert.