Le transfert de données vers un pays tiers extérieur à l’Union Européenne n’est possible que dans un nombre limité de cas. Si l’Union européenne n’a pas elle-même autorisé le transfert (liste des pays où les transferts sont possibles : Andorre, Argentine, Canada, les îles Féroé, Guernesey, Israël, île de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay) des garanties appropriées doivent être apportées par l’exportateur de données.

En l’espèce, un utilisateur Facebook résidant en Autriche a déposé une plainte auprès de l’autorité irlandaise de contrôle, visant à faire interdire le transfert de ses données Facebook vers la société mère établie aux Etats-Unis. Selon lui, le transfert des données vers le siège de l’entreprise ne présente pas les garanties suffisantes de sécurité, notamment en ce qui concerne leur accès par les autorités publiques américaines. Si sa demande fut rejetée dans un premier temps, elle fut reconsidérée, à la suite de l’annulation d’une décision de l’Union Européenne, laquelle permettait un tel transfert. Il en résulte l’élaboration d’une nouvelle décision (« Privacy Shield »), laquelle vise à certifier certaines entreprises américaines vis-à-vis de la réglementation de l’Union Européenne. Cette dernière fut alors soumise à la Cour de justice de l’Union Européenne. Il était donc question de savoir si le « Privacy Shield » permettait le transfert de ces données.

Par cette décision, la Cour de justice énonce que la protection des données, découlant de la réglementation américaine n’est pas suffisante pour répondre aux exigences de protections établies dans l’Union Européenne. En conséquence, le « Privacy Shield », lequel consacrait une équivalence de protection de certaines entreprises américaines avec le RGPD n’existe plus. Désormais, vous devez vous assurer que les entreprises avec lesquelles vous traitez respectent le RGPD. Pour se faire, vos transferts doivent prévoir des garanties appropriées telles que des clauses contractuelles types avec l’établissement de transfert, des instruments juridiques contraignants pour assurer le respect de la confidentialité (article 46 RGPD) voire, de manière exceptionnelle, le consentement de la personne concernée (article 49 RGPD). Ces cas de figures constituent de simples hypothèses parmi celles proposées par le RGPD. Il vous incombera de déterminer le motif le plus légitime en fonction des cas d’espèce se présentant à vous.