• +33 (0)1 77 37 53 18

Le RGPD et les transferts de données internationaux

  • Le RGPD et les transferts de données internationaux


    LE CADRE


    Le Règlement Général Européen à la Protection des Données devra, dès ce mois de mai être appliqué par toutes les entreprises européennes traitant ou utilisant des données personnelles, et par toutes les organisations hors Union Européenne qui utiliseraient des informations personnelles de ressortissants européens.
    Il faudra donc que l'ensemble des sociétés se trouvant dans cette configuration se mettent aux normes en déployant l'arsenal technique et organisationnel prévu par le texte.
    Même pour utiliser un simple stockage dans le cloud, des données personnelles s'envolent vers un pays tiers (hors UE). LE RGPD modifie les anciennes dispositions, les rendant plus souples, afin d'évoluer en même temps que les nouveaux moyens de communication.
    Concrètement, la loi actuelle établissait deux cas de figure. Soit le pays destinataire des données est reconnu par la Commission Européenne comme offrant des moyens sûrs de protection des données, c'est-à-dire équivalents à ceux européens. C'est le cas par exemple des États-Unis, avec l'accord PrivacyShield. Soit le pays n'est pas reconnu comme tel, et il faut alors être dans le cas d'une des exceptions listées à l'article 69 ou être autorisé expressément pas la CNIL.

    LES NOUVEAUTÉS


    Le RGPD change la donne et simplifie les choses, le transfert des données à l'international n'est plus un interdit auquel il y a des exceptions, mais une chose autorisée si elle suit les règles prévues. (cf art.44)
    La Commission peut toujours reconnaître à un pays hors UE une qualité de protection des données équivalente à celle du vieux continent, c'est le principe d'adéquation.
    Là où tout change c'est que, si une telle reconnaissance à un pays tiers n'existe pas, alors plus question de se tourner vers la CNIL, ou de chercher une quelconque dérogation. Le principe d'Accountability prévu à l'article 46, permet de procéder au transfert des données avec un pays tiers non reconnu, si le responsable du traitement apporte les garanties nécessaires démontrant que les données personnelles seront sécurisées.
    S'il n'y a, ni principe d'adéquation, ni démonstration des garanties de sécurité, il peut tout de même y avoir transfert, si la personne, concernée par les données, a donné son autorisation explicite, après avoir été prévenue que le pays tiers ne satisfait pas à la sécurité, et que cela représente un risque.
    A termes, la Commission Européenne devrait définir, rédiger et éditer des « Codes de conduite » applicables par secteurs d'activité.
    Il est important de noter que le RGPD s'appliquera même si les données personnelles ne sont que consultées depuis un pays tiers, c'est-à-dire s'il n'y a pas de transfert matériel. On pense immédiatement ici, aux nouveaux moyens de communication sociaux, dont beaucoup des acteurs sont américains. Concernant les États-Unis, les transferts continuerons de se dérouler sous la gouvernance du « Privacy Shield ».
    Si une entreprise d'un pays tiers, traite des données de personnes résidentes de l'Union Européenne, alors, cette société devra nommer un représentant au sein de l'Europe. Ce représentant devra, entre autres, tenir à jour le registre des activités de traitement. Ce point du RGPD permet ainsi de contraindre les acteurs majeurs du web américain à se soumettre au règlement qui sera applicable le 25 mai 2018.

NOUS CONTACTER

Registre RGPD est le premier service en ligne certifié et probatoire, permettant la tenue d’un registre des traitements et évènements conforme aux exigence de la loi. Notre solution, efficace, flexible et simple, permet le travail en équipe pour que chacun puisse participer à la conformité de votre organisation.

Information de contact

320, rue Saint Honoré 75001 Paris, France
+33 (0)1 77 37 53 18