Entrée en vigueur le 25 mai 2018
Est créé par : LOI n°2018-493 du 20 juin 2018 - art. 30
Le responsable de traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un Etat n'appartenant pas à l'Union européenne que lorsque les conditions suivantes sont respectées :
1° Le transfert de ces données est nécessaire à l'une des finalités énoncées au premier alinéa de l'article 70-1 ;
2° Les données à caractère personnel sont transférées à un responsable établi dans cet Etat n'appartenant pas à l'Union européenne ou au sein d'une organisation internationale qui est une autorité compétente chargée des fins relevant en France du premier alinéa de l'article 70-1 ;
3° Si les données à caractère personnel proviennent d'un autre Etat, l'Etat qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national.
Toutefois, si l'autorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être transmises à nouveau sans l'autorisation préalable de l'Etat qui a transmis ces données lorsque cette nouvelle transmission est nécessaire à la prévention d'une menace grave et immédiate pour la sécurité publique d'un autre Etat ou pour la sauvegarde des intérêts essentiels de la France. L'autorité dont provenaient ces données personnelles en est informée sans retard ;
4° La Commission européenne a adopté une décision d'adéquation en application de l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée ou, en l'absence d'une telle décision, un instrument juridiquement contraignant fournit des garanties appropriées en ce qui concerne la protection des données à caractère personnel ou, en l'absence d'une telle décision et d'un tel instrument, le responsable de traitement a évalué toutes les circonstances du transfert et estime qu'il existe de telles garanties appropriées.
Les garanties appropriées fournies par un instrument juridique contraignant mentionnées au 4° peuvent résulter soit des garanties relatives à la protection des données mentionnées dans les conventions mises en œuvre avec cet Etat n'appartenant pas à l'Union européenne, soit de dispositions juridiquement contraignantes exigées à l'occasion de l'échange de données.
Lorsque le responsable de traitement autre qu'une juridiction effectuant une activité de traitement dans le cadre de ses activités juridictionnelles transfère des données à caractère personnel sur le seul fondement de l'existence de garanties appropriées au regard de la protection des données à caractère personnel, il avise la Commission nationale de l'informatique et des libertés des catégories de transferts relevant de ce fondement.
Dans ce cas, le responsable de traitement doit garder trace de la date et de l'heure du transfert, des informations sur l'autorité compétente destinataire, de la justification du transfert et des données à caractère personnel transférées. Ces informations sont mises à la disposition de la Commission nationale de l'informatique et des libertés à sa demande.
Lorsque la Commission européenne a abrogé, modifié ou suspendu une décision d'adéquation adoptée en application de l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 précitée, le responsable de traitement peut néanmoins transférer des données à caractère personnel ou autoriser le transfert de données déjà transmises vers un Etat n'appartenant pas à l'Union européenne si des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou si ce responsable estime, après avoir évalué toutes les circonstances du transfert, qu'il existe des garanties appropriées au regard de la protection des données à caractère personnel.
Article R232-15 NOTA : Conformément à l'article 10 du décret n° 2024-302 du 2 avril 2024, ces dispositions entrent en vigueur le 1er mai 2024. […] I. – Les données à caractère personnel et les informations enregistrées dans le “ système API-PNR France ”, ainsi que le résultat du traitement de ces données, peuvent être transférées, au cas par cas et par tout moyen adapté et sécurisé, par l'agence nationale des données de voyage ou par les autorités mentionnées à l'article R. 232-15 à des Etats non membres de l'Union européenne, dans les conditions fixées aux articles 70-25 à 70-27 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, […]
Lire la suite…[…] Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11-4°-a) ; […] La Commission a été saisie, le 17 novembre 2017, d'un projet de loi d'adaptation au droit de l'Union européenne de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, sur le fondement de l'article 11-4°-a) de cette même loi. […] L'article 22 du projet de loi prévoit la création de nouveaux articles 70-1 à 70-25 de la loi du 6 janvier 1978, spécifiquement consacrés aux traitements relevant de la Directive, c'est-à-dire, en substance, […] Articles 24 et 25 (Liste dite de l'article 31 )