RGPD en Europe, RGPD en France

Transfert des données vers un autre pays

Le RGPD est un règlement européen. Il s’applique et protège toutes les données à caractère personnel des citoyens européens ainsi que des étrangers en Europe.

Si les données de citoyens européens sont transmises dans d’autres pays, afin d’assurer la continuité de la protection des données à caractère personnel, il est nécessaire de s’entourer de garanties.

Ainsi, toute transmission de données hors de l’Union Européenne doit être, selon :

         . des règles d’entreprise contraignantes – « Binding Corporate Rules » – « BCR » -,

         . des clauses contractuelles préalablement autorisées par la CNIL

          . un code de conduite ou un mécanisme de certification approuvé par la CNIL

  • Une réponse à l’une des dérogations prévues à l’article 49 du RGPD (consentement explicite de la personne concernée, exécution d’un contrat dans l’intérêt de la personne concernée, motifs importants d’intérêt public, etc).

Comment encadrer les transferts de données vers les Etats-Unis ou tout autre pays dits non adéquats?

Depuis le mois de juillet 2020, la Cour de justice de l’Union Européenne (CJUE) ont déclaré l’accord Privacy Shield invalide en raison d’un niveau de protection insuffisamment élevé. Ce « bouclier de protection » permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.

Seules les CCT et les BCR sont valides mais ils doivent être renforcés par des mécanismes permettant d’assurer que le niveau de protection requis et encadré par le RGPD est bien respecté. Il est donc nécessaire de réaliser une analyse de risque afin de déterminer si la législation du pays tiers permet de respecter le niveau de protection exigé par le droit de l’UE.

Les mesures complémentaires

Elles peuvent être d’ordre juridique, technique ou organisationnel.

Le Comité a indiqué que si aucune mesure complémentaire ne permettait de transférer des données personnelles avec un niveau de protection satisfaisant, le responsable de traitement devait renoncer au transfert.


Les mesures techniques

  • Le chiffrement des données hébergées hors UE ou transitant par un pays tiers
  • La pseudonymisation des données exportées si :

                . les données sont transférées vers un pays ayant un niveau de protection adéquat

               . le destinataire situé dans un pays tiers fait l’objet d’une protection spécifique par le droit local tel que le secret professionnel.

  • La division des données entre plusieurs sous-traitants

 

Les mesures juridiques complémentaires

Des mesures contractuelles complémentaires peuvent renforcer les garanties, comme par exemple :

  • l’obligation contractuelle de recourir aux mesures techniques spécifiques telles que le chiffrement, la pseudonymisation…
  • la documentation de l’importateur des données décrivant le niveau de protection offert par la législation locale
  • une clause où l’importateur certifie que son système informatique ne permet pas aux autorités locales d’accéder aux données
  • une clause d’audit renforcée dans laquelle l’exportateur des données est autorisé à effectuer des audit du système d’information du sous-traitant pour vérifier si les données n’ont pas été divulguées aux autorités publiques du pays de destination.


Mesures organisationnelles complémentaires

Le CEPD propose notamment des opérations de sensibilisation ciblées du personnel sur les transferts de données et les demandes d’accès.

La tenue d’un registre des demandes d’accès par les sous-traitants importateurs de données. Ainsi les demandes d’accès en provenance d’autorités publiques seront consignées et mises à disposition de l’exportateur des données.


Source : https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-le-cadre-general-prevu-par-le-rgpd

 

Auteur


Avatar