Art.20 - Transfert de données à caractère personnel à l‘étranger
Le responsable d’un traitement ne peut transférer des données à caractère personnel
vers un Etat étranger que si l’Etat destinataire dispose d’une législation assurant un niveau
de protection des personnes similaire à celui assuré par la présente loi.
Le niveau de protection offert par un pays tiers s’apprécie au regard de toutes les
circonstances relatives à un transfert ou à une catégorie de transferts de données ; en
particulier, sont prises en considération la nature des données, la finalité et la durée du ou
des traitements envisagés, les pays d’origine et de destination finale, les règles de droit,
générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles
professionnelles et les mesures de sécurité qui y sont respectées.
A défaut d’un niveau de protection similaire, la Commission Malagasy de
l’Informatique et des Libertés peut autoriser le transfert de données à caractère personnel,
lorsque le responsable du traitement offre des garanties suffisantes au regard de la
protection de la vie privée et des libertés et droits fondamentaux des personnes ; ces
garanties peuvent notamment résulter de clauses contractuelles appropriées ou de l’adoption
de règles internes.
Par dérogation aux paragraphes précédents, le transfert de données à caractère
personnel vers un tiers n’assurant pas un niveau de protection similaire peut être effectué de
façon exceptionnelle, à condition que :
a) la personne concernée ait indubitablement donné son consentement au transfert
envisagé dûment informée de l’absence d’un niveau de protection similaire ou ;
b) le transfert soit nécessaire à l’exécution d’un contrat entre la personne concernée et
le responsable du traitement ou à l’exécution de mesures précontractuelles prises à
la demande de la personne concernée ou ;
c) le transfert soit nécessaire à la conclusion ou à l’exécution d’un contrat conclu ou à
conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement
et un tiers ou ;
d) le transfert soit nécessaire ou rendu juridiquement obligatoire pour la sauvegarde
d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un
droit en justice ou ;
e) le transfert soit nécessaire à la sauvegarde de l’intérêt vital de la personne concernée
ou ;
f) le transfert intervienne au départ d’un registre public qui, en vertu de dispositions
législatives ou réglementaires, est destiné à l’information du public et est ouvert à la
consultation publique ou de toute personne justifiant d’un intérêt légitime, dans la
mesure où les conditions légales pour la consultation sont remplies dans le cas
particulier.
Il est interdit au destinataire de transférer à nouveau les données à caractère
personnel à l’étranger, sauf accord du responsable du traitement d’origine et de celui de la
Commission Malagasy de l’Informatique et des Libertés.
Art.21- Données recueillies par les prestataires de service de certification
électronique
Sauf consentement exprès de la personne concernée, les données à caractère
personnel recueillies par les prestataires de service de certification électronique pour les
besoins de la délivrance et de la conservation des certificats liés aux signatures
9