Article 70-25

< Loi informatique et libertés selon le PJL 592 >

Le responsable d’un traitement de données à caractère personnel ne peut transférer des données ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne que lorsque les conditions suivantes sont respectées :

1° Le transfert de ces données est nécessaire à l’une des finalités énoncées au 1° de l’article 70-1 ;

2° Les données à caractère personnel sont transférées à un responsable dans cet État tiers ou à une organisation internationale qui est une autorité compétente chargée dans cet État des fins relevant en France __ du 1° de l’article 70-1 ;

3° Si les données à caractère personnel proviennent d’un autre État, l’État qui a transmis ces données a préalablement autorisé ce transfert conformément à son droit national.

Toutefois, si l’autorisation préalable ne peut pas être obtenue en temps utile, ces données à caractère personnel peuvent être retransmises sans l’autorisation préalable de l’État qui a transmis ces données lorsque cette retransmission est nécessaire à la prévention d’une menace grave et immédiate pour la sécurité publique d’un autre État ou pour la sauvegarde des intérêts essentiels de la France. L’autorité d’où provenaient ces données personnelles est informée sans retard.

4° L’une au moins des trois conditions suivantes est remplie :

a)_ La commission a adopté une décision d’adéquation en application de l’article 36 de la directive (UE) 2016/680 du Parlement et du Conseil du 27 avril 2016 ;

b)_ À défaut d’une telle décision d’adéquation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ; ces garanties appropriées peuvent soit résulter des garanties relatives à la protection des données mentionnées dans les conventions mises en œuvre avec cet État tiers, soit résulter de dispositions juridiquement contraignantes exigées à l’occasion de l’échange de données ;

c)_ À défaut d’une telle décision d’adéquation et de garanties appropriées telles que prévues au b , le responsable du traitement a évalué toutes les circonstances du transfert et estime qu’il existe des garanties appropriées au regard de la protection des données à caractère personnel ;

Lorsque le responsable d’un traitement de données à caractère personnel transfère des données à caractère personnel sur le seul fondement de l’existence de garanties appropriées au regard de la protection des données à caractère personnel, autre qu’une juridiction effectuant une activité de traitement dans le cadre de ses activités juridictionnelles, il avise la Commission nationale de l’informatique et des libertés des catégories de transferts relevant de ce fondement.

Dans ce cas, le responsable du traitement des données doit garder trace de la date et l’heure du transfert, des informations sur l’autorité compétente destinataire, et de la justification du transfert et des données à caractère personnel transférées. Cette documentation est mise à la disposition de l’autorité de contrôle, sur sa demande.

Lorsque la commission a abrogé, modifié ou suspendu une décision d’adéquation adoptée en application de l’article 36 de la directive précitée, le responsable d’un traitement de données à caractère personnel peut néanmoins transférer des données personnelles ou autoriser le transfert de données déjà transmises vers un État n’appartenant pas à l’Union européenne si des garanties appropriées en ce qui concerne la protection des données à caractère personnel sont fournies dans un instrument juridiquement contraignant ou s’il estime après avoir évalué toutes les circonstances du transfert qu’il existe des garanties appropriées au regard de la protection des données à caractère personnel.

< Loi informatique et libertés selon le PJL 592 >