Le CEPD (Comité européen des protection des données) a publié en date du 14 février 2023 une nouvelle version des lignes directrices concernant les transferts de données hors de l'UE.
On rappelle que le RGPD a posé deux principes complémentaires en la matière :
- Les responsables de traitement et les sous-traitants peuvent transférer des données hors de l'UE et de l'EEE (espace économique européen) à condition d'assurer un niveau de protection des données suffisant et approprié.
- Le pays destinataire des données doit offrir un niveau de protection adéquat reconnu par l'UE.
Le demandeur à la certification peut ainsi décider de s'appuyer sur l'obtention d'une certification pour transférer les données. L'importateur de données doit par ailleurs faire preuve d'engagements contraignants et exécutoires.
En cas de non respect, les intéressés peuvent faire l'objet de sanctions émises par la Cnil ou d'un autre organisme étatique en charge de la protection des données.
Sources :
Transferts de données hors UE : le cadre général prévu par le RGPD (cnil.fr)