RGPD Article 49 contient une liste de dérogations – c'est-à-dire d'exceptions – que les organisations peuvent appliquer à tout transfert international de données vers des pays tiers, lorsqu'aucune autre partie du chapitre V du RGPD n'est applicable.
Dérogations pour des situations spécifiques
- En l'absence d'une décision d'adéquation conformément à l'article 45, paragraphe 3, ou de garanties appropriées conformément à l'article 46, y compris des règles d'entreprise contraignantes, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou une organisation internationale aura lieu. seulement à l’une des conditions suivantes :
- (a) la personne concernée a explicitement consenti au transfert proposé, après avoir été informée des risques possibles de tels transferts pour la personne concernée en raison de l'absence d'une décision d'adéquation et de garanties appropriées ;
- (b) le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
- (c) le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
- d) le transfert est nécessaire pour des raisons importantes d'intérêt public ;
- (e) le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ;
- (f) le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée est physiquement ou légalement incapable de donner son consentement ;
- g) le transfert est effectué à partir d'un registre qui, selon le droit de l'Union ou des États membres, est destiné à fournir des informations au public et qui est ouvert à la consultation soit par le public en général, soit par toute personne pouvant justifier d'un intérêt légitime, mais uniquement dans la mesure où les conditions de consultation fixées par le droit de l’Union ou par le droit des États membres sont remplies dans le cas particulier.
Lorsqu'un transfert n'a pu être fondé sur une disposition de l'article 45 ou 46, y compris les dispositions relatives aux règles d'entreprise contraignantes, et qu'aucune des dérogations pour situation particulière visées au premier alinéa du présent paragraphe n'est applicable, un transfert vers un tiers d'un pays ou d'une organisation internationale ne peut avoir lieu que si le transfert n'est pas répétitif, ne concerne qu'un nombre limité de personnes concernées, est nécessaire aux fins d'intérêts légitimes impérieux poursuivis par le responsable du traitement et qui ne sont pas supplantés par les intérêts ou les droits et libertés de la personne concernée et le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a, sur la base de cette évaluation, fourni des garanties appropriées en matière de protection des données à caractère personnel. Le responsable du traitement informe l'autorité de contrôle du transfert. Le responsable du traitement, en plus de fournir les informations visées aux articles 13 et 14, informe la personne concernée du transfert et des intérêts légitimes impérieux poursuivis.- Un transfert en vertu du paragraphe 1, premier alinéa, point g), ne concerne pas la totalité des données à caractère personnel ni des catégories entières de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes ayant un intérêt légitime, le transfert n'est effectué qu'à la demande de ces personnes ou si elles en sont les destinataires.
- Le paragraphe 1, premier alinéa, points a), b) et c), et son deuxième alinéa, ne s'appliquent pas aux activités exercées par les autorités publiques dans l'exercice de leurs prérogatives de puissance publique.
- L'intérêt public visé au paragraphe 1, premier alinéa, point d), est reconnu dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis.
- En l’absence de décision d’adéquation, le droit de l’Union ou d’un État membre peut, pour des raisons importantes d’intérêt public, fixer expressément des limites au transfert de catégories spécifiques de données à caractère personnel vers un pays tiers ou une organisation internationale. Les États membres notifient ces dispositions à la Commission.
- Le responsable du traitement ou le sous-traitant documente l'évaluation ainsi que les garanties appropriées visées au paragraphe 1, deuxième alinéa, du présent article dans les registres visés à l'article 30.
Dérogations pour des situations spécifiques
- En l'absence de règles d'adéquation en vertu de l'article 17A de la loi de 2018, ou de garanties appropriées en vertu de l'article 46, y compris des règles d'entreprise contraignantes, un transfert ou un ensemble de transferts de données personnelles vers un pays tiers ou une organisation internationale n'aura lieu que à l'une des conditions suivantes :
- (a) la personne concernée a explicitement consenti au transfert proposé, après avoir été informée des risques possibles de tels transferts pour la personne concernée en raison de l'absence d'une décision d'adéquation et de garanties appropriées ;
- (b) le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
- (c) le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
- d) le transfert est nécessaire pour des raisons importantes d'intérêt public ;
- (e) le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ;
- (f) le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée est physiquement ou légalement incapable de donner son consentement ;
- g) le transfert est effectué à partir d'un registre qui, selon le droit interne, est destiné à fournir des informations au public et qui est ouvert à la consultation soit du public en général, soit de toute personne pouvant justifier d'un intérêt légitime, mais uniquement au dans la mesure où les conditions prévues par le droit interne pour la consultation sont remplies dans le cas particulier.
Lorsqu'un transfert n'a pu être fondé sur une disposition de l'article 45 ou 46, y compris les dispositions relatives aux règles d'entreprise contraignantes, et qu'aucune des dérogations pour situation particulière visées au premier alinéa du présent paragraphe n'est applicable, un transfert vers un tiers d'un pays ou d'une organisation internationale ne peut avoir lieu que si le transfert n'est pas répétitif, ne concerne qu'un nombre limité de personnes concernées, est nécessaire aux fins d'intérêts légitimes impérieux poursuivis par le responsable du traitement et qui ne sont pas supplantés par les intérêts ou les droits et libertés de la personne concernée et le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a, sur la base de cette évaluation, fourni des garanties appropriées en matière de protection des données à caractère personnel. Le responsable du traitement informe le commissaire du transfert. Le responsable du traitement, en plus de fournir les informations visées aux articles 13 et 14, informe la personne concernée du transfert et des intérêts légitimes impérieux poursuivis.- Un transfert en vertu du paragraphe 1, premier alinéa, point g), ne concerne pas la totalité des données à caractère personnel ni des catégories entières de données à caractère personnel contenues dans le registre. Lorsque le registre est destiné à être consulté par des personnes ayant un intérêt légitime, le transfert n'est effectué qu'à la demande de ces personnes ou si elles en sont les destinataires.
- Le paragraphe 1, premier alinéa, points a), b) et c), et son deuxième alinéa, ne s'appliquent pas aux activités exercées par les autorités publiques dans l'exercice de leurs prérogatives de puissance publique.
- L’intérêt public visé au paragraphe 1, premier alinéa, point d), doit être un intérêt public reconnu en droit interne (que ce soit dans les règlements pris en vertu de l’article 18, paragraphe 1, de la loi de 2018 ou autrement).
- Cet article et l’article 46 sont soumis à des restrictions dans les réglementations en vertu de l’article 18(2) de la loi de 2018.
- Le responsable du traitement ou le sous-traitant documente l'évaluation ainsi que les garanties appropriées visées au paragraphe 1, deuxième alinéa, du présent article dans les registres visés à l'article 30.
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
Les dérogations prévues à l'article 49 du RGPD sont applicables à plusieurs situations clés :
Dans cette section, nous parlons des articles 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) et 49 (6)
De temps en temps, il peut être nécessaire de transférer des informations personnelles entre deux juridictions distinctes. Lorsque cela se produit, les organisations doivent justifier et documenter la nécessité de le faire.
Les règles réglementaires et juridiques régionales varient en fonction de l'origine des données et de l'endroit où elles seront transférées.
Les organisations doivent prendre en compte toutes les lois, cadres et réglementations pertinents chaque fois qu'elles ont besoin de transférer des données entre juridictions, y compris le recours à une autorité de contrôle désignée.
Dans cette section, nous parlons des articles 49 (1)(a), 49 (1)(b), 49 (1)(c), 49 (1)(d), 49 (1)(e), 49 ( 1)(f), 49 (1)(g), 49 (2), 49 (3), 49 (4), 49 (5) et 49 (6)
Chaque fois que des informations personnelles doivent être transférées entre juridictions, les organisations doivent informer le client de la nécessité sous-jacente de le faire, en temps opportun.
Les destinations de transfert peuvent inclure :
Les organisations doivent informer le client suffisamment à l'avance de tout transfert, afin que des objections puissent être soulevées et, dans certaines circonstances, des demandes de résiliation puissent être faites.
Les organisations n'ont pas toujours besoin d'informer leurs clients des modifications apportées à leurs accords de transfert de données, mais les contrats doivent clairement décrire les circonstances dans lesquelles elles do doivent offrir un avertissement préalable.
Lors du transfert d’informations personnelles vers un autre pays, les organisations doivent envisager des mécanismes officiels, tels que :
| Article RGPD | Article ISO 27701 | Clauses complémentaires ISO 27701 |
|---|---|---|
| RGPD de l’UE, articles 49 (1)(a) à 49 (6) | ISO 27701 7.5.1 | Aucun |
| RGPD de l’UE, articles 49 (1)(a) à 49 (6) | ISO 27701 8.5.1 | Aucun |
La plateforme ISMS.online comprend des conseils intégrés à chaque étape, combinés à notre approche de mise en œuvre « Adopter, Adapter, Ajouter », ce qui facilite considérablement la démonstration de votre conformité au RGPD. Vous bénéficierez également d’une gamme de fonctionnalités puissantes qui vous feront gagner du temps.
En cartographiant votre travail selon plusieurs normes et cadres, notre plateforme intuitive facilite la réalisation de plusieurs objectifs en matière de sécurité des informations et de confidentialité des données.
En savoir plus par planifier une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
