La notion de flux recouvre toute communication, copie ou tout déplacement de données vers un destinataire dans un état tiers à l’Union Européenne pour faire l’objet d’un traitement. Cela concerne les échanges physiques et virtuels.
Par principe, sauf accord des personnes ou exceptions prévues par la loi, le transfert des données personnelles hors de l’Espace Economique Européen est interdit s’il ne remplit pas les conditions suivantes :
Encadrement des transferts de données personnelles vers les Etats-Unis: le Privacy Shield signé avec la Commission Européenne le 12 juillet 2016 a été invalidé par décision de la CJUE du 20/07/2020. Les transferts de données vers les USA reposant sur le Privacy Shield sont illégaux. Plus d’information ici et ici
- 2-Le transfert est encadré par des clauses contractuelles types (CCT) ou par des clauses autorisées par l’autorité de protection des données
- 3-Ou transferts de données personnelles encadrés par des règles internes de groupe (BCR)
Dès lors que vous transférez des données vers un destinataire en dehors de l’UE, vous devez vous assurer de la conformité et de la sécurité des données traitées par le destinataire, notamment que le pays destinataire garantit un niveau de protection équivalent.