Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous
Avec la globalisation des échanges et l’utilisation croissante des nouvelles technologies, le nombre de transferts de données hors de France ne cesse de croître. Or, le transfert de données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) est possible, à condition d’assurer un niveau de protection des données suffisant et approprié. Ces transferts doivent être encadrés en utilisant différents outils juridiques.
Ce qui change avec le RGPD
Les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) à condition d’assurer un niveau de protection des données suffisant et approprié. Ils doivent encadrer ces transferts en utilisant les différents outils juridiques définis au chapitre V du RGPD.
Internet et la numérisation des biens et services ont transformé l’économie mondiale en facilitant la circulation des données dans le monde. Les échanges commerciaux reposent de plus en plus sur les flux de données personnelles et la confidentialité, la sécurité de ces données sont devenus des facteurs centraux de la confiance des consommateurs, mais également des entreprises désireuses d’un cadre à la fois sûr et compétitif.
Le règlement européen sur la protection des données (RGPD) encadre précisément les transferts internationaux de données. Il complète la gamme des outils existants permettant l’encadrement de ces transferts, afin de répondre aux différentes situations rencontrées par les responsables de traitements de données et leurs sous-traitants.
Quels outils pour encadrer les transferts de données hors EEE ?
Le RGPD élargit la gamme d’outils juridique permettant d’encadrer les transferts. Ils pourront être utilisés tant par les responsables de traitement que par les sous-traitants.
Afin d’assurer un haut niveau de protection des données transférées du territoire européen à des Etats tiers, les organismes souhaitant transférer des données peuvent recourir aux outils suivants :
- La décision d’adéquation (art. 45 du RGPD), qui constitue le premier outil juridique d’encadrement, dans la mesure où elle est prise sur la base d’un examen global de la législation en vigueur dans un Etat, sur un territoire ou applicable à un ou plusieurs secteurs déterminés au sein de cet Etat ;
- En l’absence d’une telle décision, des « garanties appropriées » (art. 46 du RGPD), constituées pour la majorité de décisions des autorités de contrôle et qui sont prises à la lumière des engagements des organismes concernés ;
En l’absence de telles garanties appropriées, le transfert peut enfin être réalisé par dérogation à ces outils globaux d’encadrement, dans des situations particulières et des conditions spécifiques.
Avec le RGPD, les transferts peuvent également être encadrés par :
- des clauses contractuelles types adoptées par une autorité de contrôle et approuvées par la Commission européenne,
- un code de conduite approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
- un mécanisme de certification approuvé (comportant l’engagement contraignant et exécutoire pris par les destinataires hors UE d’appliquer les garanties appropriées),
- un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques (Mémorandum of Understanding dit MOU ou MMOU, convention internationale…).
Quand faut-il demander l’autorisation de la CNIL ?
Le RGPD prévoit un allégement important des formalités auprès des autorités de protection des données.
Pas d’autorisation de la CNIL si le transfert est fondé sur :
- Des clauses contractuelles types de protection des données adoptées par la Commission européenne ou par une autorité de contrôle avec approbation de la Commission européenne ;
- Des règles internes d’entreprise dites BCR ;
- Un code de conduite approuvé par une autorité de contrôle ;
- Un mécanisme de certification par une autorité de contrôle ou par un organisme de certification agréé par une autorité de contrôle ou un organisme national d’accréditation ;
- Des instruments juridiques contraignants entre autorités publiques (telle une convention internationale).
Maintien des autorisations accordées
- Les autorisations de transfert accordées avant le 25 mai 2018 sur le fondement de la précédente législation restent valables jusqu’à leur modification, remplacement ou abrogation par l’autorité de contrôle. Concrètement, les entreprises pourront se prévaloir de ces autorisations tant que les garanties et les décisions sur lesquelles sont fondés leurs transferts sont toujours valables, par exemple, tant que les Clauses contractuelles type adoptées par la Commission européenne n’ont pas été modifiées, remplacées ou abrogées. Si tel est le cas, à défaut de dispositions spécifiques contraires, il sera nécessaire de signer de nouvelles clauses ou de prévoir de nouvelles garanties appropriées pour encadrer les flux de données hors du territoire européen.
- Les décisions d’approbation des BCR restent également valables. Toutefois les groupes ayant des BCR déjà approuvées doivent adapter leurs BCR aux exigences des nouveaux référentiels du G29
(WP256 et WP257, anciennement WP153 et WP195, tels qu’adoptés le 6 février 2018), de sorte que les transferts vers les pays tiers effectués sur cette base soient conformes au RGPD.
En effet, compte tenu de la nature des BCR, elles doivent nécessairement tenir compte de toute modification de l’environnement législatif et réglementaire dans lequel elles sont utilisées et doivent être modifiées en conséquence. Les détenteurs actuels de BCR approuvées, sont invités à mettre à jour leurs BCR aux autorités de contrôle concernées via l’autorité chef de file BCR à compter du 25 mai 2018. Cette mise à jour RGPD ne nécessitera pas une nouvelle approbation européenne.
Quelle garantie appropriée choisir pour encadrer mes transferts ?
Les outils de transfert désormais proposés par le RGPD sont complémentaires et répondent chacun à un besoin spécifique tant pour le secteur privé que pour le secteur public. Tous ne sont pas encore effectifs mais, à terme, ils présentent des avantages réels pour toutes les parties prenantes, individus, partenaires commerciaux, autorités de protection des données. Ils permettent aux organisations d’offrir une meilleure conformité et une protection plus efficace pour les individus.
Où en sont les travaux du G29 en matière de transfert ?
Le G29 revoit ses orientations en matière de transfert pour les mettre à jour dans le contexte du Règlement général de l’UE sur la protection des données et de la jurisprudence récente de la Cour de justice de l’Union européenne (affaire Schrems, 6 Octobre 2015).
Les travaux en cours portent essentiellement sur
- les BCR responsables de traitement
- les BCR sous-traitants
- le référentiel d’adoption des décisions d’adéquation
- les lignes directrices en matière de dérogations.
< Page précédente | Page suivante >
Source : CNIL
Nous formons et accompagnons les DPO et les organismes dans leur démarche de mise en conformité avec le RGPD.
Que ça soit sous forme de formations ou d’accompagnements de DPO au RGPD et de formation d’utilisateurs au RGPD (n° formateur + datadock), nous adaptons notre démarche à votre organisme.
Je suis Denis JACOPINI – Formateur / Auditeur / Consultant CYBER et RGPD et régulièrement formé par la CNIL depuis 2012.
- Vous souhaitez une formation RGPD ou un accompagnement pour initier une démarche de mise en conformité avec le RGPD ?
Contactez-nous.