La notion de flux recouvre toute communication, copie ou tout déplacement de données vers un destinataire dans un état tiers à l’Union Européenne pour faire l’objet d’un traitement. Cela concerne les échanges physiques et virtuels.
Par principe, sauf accord des personnes ou exceptions prévues par la loi, le transfert des données personnelles hors de l’Espace Economique Européen est interdit s’il ne remplit pas les conditions suivantes :
Encadrement des transferts de données personnelles vers les Etats-Unis: adoption de la décision d’adéquation sur le Privacy Shield par la Commission Européenne le 12 juillet 2016: Comprendre le Privacy Shield
- 2-Le transfert est encadré par des clauses contractuelles autorisées par la CNIL
- 3-Ou par des règles internes de groupe (BCR)
Dès lors que vous transférez des données vers un destinataire en dehors de l’UE, vous devez :
- Informer les personnes,
- Notifier la CNIL
- Mettre en place les garanties juridiques conformes à la loi
- Prendre les mesures de sécurité adaptées
Et vous assurer de la conformité et de la sécurité des données traitées par le destinataire.
