Article 45

Transferts fondés sur une décision d'adéquation

1. Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission a décidé que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés de ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat.
Ce transfert ne nécessite pas d’autorisation spécifique.

2. Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants:

(a)

l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l’organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;

(b)

l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d’assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d’application desdites règles, d’assister et de conseiller les personnes concernées dans l’exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et

(c)

les engagements internationaux pris par le pays tiers ou l’organisation internationale en question, ou d’autres obligations découlant de conventions ou d’instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, au moyen d’un acte d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés à l’intérieur d’un pays tiers, ou une organisation internationale assure un niveau de protection adéquat au sens du paragraphe 2 du présent article.
L’acte d’exécution prévoit un mécanisme de réexamen périodique, au moins tous les quatre ans, qui tient compte de tous les développements pertinents dans le pays tiers ou l’organisation internationale.
L’acte d’exécution précise son application territoriale et sectorielle et, le cas échéant, identifie l’autorité ou les autorités de contrôle visées au paragraphe 2, point b), du présent article.
L’acte d’exécution est adopté conformément à la procédure d’examen visée à l’article 93, paragraphe 2.

4. La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l’article 25, paragraphe 6, de la directive 95/46/CE.

5. Lorsque les informations disponibles révèlent, notamment à la suite du réexamen visé au paragraphe 3 du présent article, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés à l’intérieur d’un pays tiers, ou une organisation internationale n’assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission, dans la mesure nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article au moyen d’actes d’exécution sans effet rétroactif.
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

Pour des raisons d’urgence impérieuses dûment justifiées, la Commission adopte des actes d’exécution immédiatement applicables en conformité avec la procédure visée à l’article 93, paragraphe 3.

6. La Commission engage des consultations avec le pays tiers ou l’organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

7. Une décision adoptée en vertu du paragraphe 5 du présent article est sans préjudice des transferts de données à caractère personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l’organisation internationale en question, effectués en application des articles 46 à 49.

8. La Commission publie au Journal officiel de l’Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés d’un pays tiers et des organisations internationales pour lesquels elle a décidé qu’un niveau de protection adéquat est ou n’est plus assuré.

9. Les décisions adoptées par la Commission sur la base de l’article 25, paragraphe 6, de la directive 95/46/CE demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article.

Formation de sensibilisation

Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.

Discover

About

Get Started within 24 hours.

Once you have submitted your details, you’ll be our top priority!