©
CIGREF - IFACI - AFAI - Mars 2013
32
•
Les Binding Corporate Rules (BCR)
Les
Binding Corporate Rules
(
BCR) constituent un code de conduite, définissant
la politique d’une entreprise en matière de transferts de données. Les
permettent d’offrir une protection adéquate aux données transférées depuis
l’Union européenne vers des pays tiers à l’Union européenne au sein d’une même
entreprise ou d’un même groupe.
Leur mise en place représente un effort conséquent, et est encore loin d’être
généralisée dans les entreprises.
•
Les clauses contractuelles types de l’UE relatives aux données personnelles
Ces clauses sont des
adoptés par la Commission
européenne. On distingue :
•
les clauses contractuelles types encadrant les transferts de données
personnelles entre deux responsables de traitement,
•
les clauses contractuelles types encadrant les
ntre un responsable de traitement et un sous-traitant.
Il existe des exceptions au principe d’interdiction de transferts, qui sont l’objet
de limitations et d’une interprétation stricte. Ces exceptions sont prévues par la
directive 95/46 CE du 24 octobre 1995, et à l’article 69 de la loi Informatique et
Libertés du 6 janvier 1978 :
•
Soit la personne a consenti expressément au transfert de ses données
personnelles,
•
Soit le transfert s’avère nécessaire à l’une des conditions suivantes :
-
à la sauvegarde de la vie de cette personne,
-
à la sauvegarde de l’intérêt public et au respect d’obligations permettant
d’assurer la constatation, l’exercice ou la défense d’un droit en justice,
-
à la consultation, dans des conditions régulières, d’un registre public qui, en
vertu de dispositions législatives ou réglementaires, est destiné à l’information
du public et est ouvert à la consultation de celui-ci ou de toute personne
justifiant d’un intérêt légitime,
-
à l’exécution d’un contrat entre le responsable du traitement et l’intéressé,
ou de mesures pré-contractuelles prises à la demande de celui-ci,
-
à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans
l’intérêt de la personne concernée, entre le responsable du traitement et un
tiers.
Les principes du Safe Harbour
Le
comprend un ensemble de principes de protection des données
personnelles, négociés entre les autorités américaines et la Commission
européenne en 2001.
