RGPD Etes-vous prêt ? _______________________________________

Note utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 

 

Vous avez probablement reçu beaucoup de courriels d'entreprises vous informant des mises à jour des politiques de confidentialité en raison des changements apportés aux lois européennes sur la protection des données.

Mais le saviez vous, qu'avec l’entrée en vigueur du Règlement européen sur la Protection des Données (RGPD), le 25 Mai 2018, TOUTES  les entreprises sont obligées d'adapter leurs structures à ce nouveau règlement de protection des données?

Pour les entreprises internationales, la future loi de protection des données de l'UE apportera des changements fondamentaux aux pratiques de collecte de données et de sécurité informatique.

La loi sur la protection des données imposera alors de nouvelles réglementations générales en matière de protection des données à toutes les entreprises traitant les informations personnelles des citoyens de l'UE, quelle que soit leur implantation. Le RGPD impose des protections, des limites et des exigences étendues de conformité. Le RGPD impose également de fortes pénalités en cas de non-conformité.

 

Etes-vous en conformité ?

 

Le processus de mise en conformité au règlement est complexe. On peut dire sans aucune difficulté que l’une des plus grosses ratées du GDPR est d’avoir imposé autant d’obligations aux entreprises – et en particulier aux TPE/PME qui sera quasiment dans l’impossibilité de respecter la loi.

– On peut néanmoins adopter une approche par risques juridiques : autrement dit, mettre en place des actions utiles afin de réduire les risques juridiques portés par le texte. De la sorte, on peut réduire 80% des risques majeurs dans un espace temps raisonnable et avec des coûts relativement restreints.

 

Voici donc un PLAN d'ACTION CONCRET à ce titre qui vous permettra d’avancer concrètement:

 

 

1. Minimiser les données personnelles collectées

 

Deux processus devront donc être mis en œuvre à ce titre :

 

1. purger l’ensemble des données qui ne sont pas strictement nécessaires au sein des applications existantes

2. s’assurer de limiter les données collectées à l’avenir

 

Attention donc à bien veiller à mettre ces principes en place pour les traitements tels que :

  • Site Internet
  • Paie
  • Plan de continuité
  • Liste de partenaires
  • Contrôle d’accès aux locaux
  • Cantine
  • Monétique
  • Vidéo surveillance
  • Géolocalisation de véhicules
  • Postes de travail
  • Facturation
  • Embauche (CV…)
  • Outils de prospection commerciale
  • Traçabilité des actions informatiques
  • Gestion d’accès des sauvegardes
  • Logs de serveurs
  • Centrale téléphonique

 

Chaque traitement doit être analysé et l’on doit définir une liste de données qui sont nécessaires par rapport aux besoins relatifs à ce traitement – le reste devant être purgé. Il est nécessaire de tenir à jour une liste des traitements de données personnelles mis en œuvre par l’organisation (cf. ci-après le registre)-

 

 

 2. S’assurer du fondement juridique du traitement

 

Un des éléments clé de la réforme a été de renforcer les droits de personnes au regard de leurs données, et notamment de s’assurer qu’elles donnent leur consentement à leur traitement.

Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

 

a)  la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b)  le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c)  le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d)  le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e)  le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f)  le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

 

Par principe, donc, une personne doit matériellement consentir à ce que ses données puissent être traitées pour être dans la légalité. Le consentement est défini par le règlement de la manière suivante:

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Il existe évidemment une série de cas dans lesquels il est cohérent d’opérer un traitement de données personnelles quand bien même une personne n’y aurait pas consenti. C’est le cas par exemple lorsqu’une personne victime d’un accident de voiture est dans le coma et qu’il est nécessaire de procéder à une greffe (et donc, traiter des données personnelles sans pouvoir lui demander son consentement). D’où l’exception « d » : lorsque le traitement des données est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

Le rôle du responsable est alors de s’assurer que chaque traitement s’inscrit bien dans le respect de ces conditions.

 

Voici quelques exemples :

newsletter -> consentement

Cantine -> consentement

Paye -> obligation légale (noter l’obligation ou les obligations en question)

Vente en ligne (cgv) -> mesures contractuelles / précontractuelles et obligations légales

 

Jusque là, rien de vraiment compliqué.

 

 

3. Éviter de traiter des données sensibles

 

L’article 9 définit cette notion de données sensibles :

« Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits »

Il existe 10 exceptions permettant d’opérer le traitement de telles données qui sont énumérées à l’article 9.2 et que l’on résumera simplement ici :

1. la personne concernée a donné son consentement

2. le traitement est réalisé en matière de droit du travail, de sécurité sociale…

3. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée

4. le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philoso­phique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme

5. le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

6. le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice

7. le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un ‘État membre

8. le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail

9. le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique

10. le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

 

Le régime juridique des données sensibles est contraignant et va imposer une série de précautions particulières (ex : PIA, sécurité renforcée…). Il est donc très important – soit d’éviter le traitement de ces informations – soit de mettre en place des moyens juridiques adaptés (étude juridique spécifique et mise en conformité).

Il n’y a pas vraiment de solution simple en ce domaine.

 

 

 4. Afficher les mentions légales

 

Le règlement impose au responsable de traitement d’informer la personne dont les données sont traitées d’un certain nombre de mentions - les mentions légales.

 

L’article 13 du règlement définit les informations à indiquer lors de chaque collecte de données personnelles :

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
  • coordonnées du DPO si DPO
  • finalités du traitement – ainsi que la base juridique du traitement (consentement, obligation légale… – art. 6)si le traitement est fondé sur « les intérêts légitimes du responsable du traitement » (art. 6.1. f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
  • les destinataires ou les catégories de destinataires des données à caractère personnel
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

 

De même que les éléments suivants (art. 13.2) :

  • la durée de conservation des données à caractère personnel ou, les critères utilisés pour déterminer la durée
  • l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données
  • l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données
  • l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

 

À noter que ces mentions doivent être affichées au moment ou les données sont obtenues (art. 13, alinéa 1).

Il n’y a rien de très complexe ici – autre que de rédiger un texte indiquant l’ensemble des éléments imposés par la loi et de l’afficher pour chaque traitement.

 

 

 5. Respecter le droit à la portabilité des données

 

Une nouveauté importante introduite par le règlement est le droit à la portabilité des données ! Celui-ci impose au responsable du traitement de mettre en place des moyens pour donner la possibilité à la personne dont les données sont traitées d’exporter ses données personnelles dans un format structuré (xml…).

 

Ce droit est défini par l’article 20 du règlement (qui définit également certaines exceptions et limites) :

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (…)

Ce droit à la portabilité fait l’objet des droits qui doivent être anticipés lors du choix d’un système informatique.

 

 

 6. Mettre en place un registre de conformité

 

Le règlement impose aux organisations de tracer l’ensemble des traitements de données personnelles mis en œuvre afin de s’assurer que ceux-ci soient en conformité avec la loi. Cette obligation est complexe, car elle est éparse dans le règlement et ressort de 3 dispositions différentes.

La première est tirée de l’article 5 qui impose l’obligation aux organisations de démontrer que le règlement est bien respecté :

«Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) »

 

Cette obligation est ensuite reprise à l’article 24, qui prévoit que :

le responsable « met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».

Or, pour cela, il faut non seulement tracer les traitements mis en œuvre, mais également tracer le fait qu’ils sont bien conformes à l’ensemble des obligations imposées par le règlement.

 

La troisième mention est tirée de l’article 30.1 qui mentionne ici spécifiquement la tenu d’un registre de conformité :

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

 

D’un point de vue strictement juridique, le règlement prévoit une exception pour les petites organisations en dessous de 250 salariés (art. 30.5), toutefois, ce registre a une fonction essentielle qui permet de lister les traitements mis en œuvre au sein de l’entreprise et s’assurer qu’ils sont en conformité par rapport à la loi.

Même si l’article 30.5 autorise les PME à ne pas tenir de registre, la combinaison des articles 5 et 24 impose de facto sa mise en œuvre… Cela fait partie des contradictions du règlement !

 

Conformément aux prescriptions de l’article 30, chaque mention du registre doit indiquer :

 

1. Nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données.

 

2. Finalités du traitement

 

3. Description des catégories de personnes concernées et des catégories de données à caractère personnel

 

4. Catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales

 

5. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées

 

6. Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données

 

7. Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1

 

Dans tous les cas, lister les traitements mis en œuvre et suivre l’évolution de leur conformité est un minima (feuille Excel / logiciel spécifique sinon).

 

 

7. Assurez la sécurité des données personnelles

 

Dès les premiers articles, le règlement rappelle que la SSI est un enjeu fondamental :

Art. 5. f (principes essentiels) : les données sont « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) »

 

Le cœur de l’obligation de sécurité est ensuite défini par l’article 32, qui impose:

 

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

 

Le texte n’entre évidemment pas dans les détails techniques des mesures qui doivent être mises en œuvre. En termes opérationnels, cela signifie d’analyser les besoins de sécurité de chaque traitement mis en œuvre et mettre en place les mesures adéquates.

 

Il est important néanmoins dans cette classification de conserver une visibilité sur les impacts que peut avoir le traitement et utiliser une grille de classification en termes de risques afin de prévoir les mesures adéquates :

 

Impact négligeable

Les personnes ne sont pas impactées ou ne connaissent que quelques désagréments surmontables sans difficulté. Ex. : perte de temps, réception de spam, réutilisation d’une adresse pour de la publicité

 

Impact limité

Les personnes impactées connaissent des désagréments significatifs qui sont surmontables malgré des difficultés. Ex : frais financiers, refus d’accès à des services ou des prestations commerciales, opportunités perdues, comptes bloqués, augmentation de coûts, dysfonctionnements de comptes, profilage abusif – par exemple sur des données sensibles.

 

Impact important

Les personnes impactées subissent des désagréments significatifs surmontables, mais avec des difficultés réelles. Ex : interdiction bancaire, dégradation de biens, perte d’un emploi, séparation ou divorce, pertes financières significatives, interdiction d’examen.

 

Impact critique

Les personnes impactées subissent des conséquences très significatives et irréversibles, ou insurmontables. Ex : décès, dettes très importantes, impossibilité de retravailler, impossibilité de se reloger, affectation psychologique de longue durée, perte d’un lien familial.

 

 

 8. Maintenez un registre des violations de données personnelles et des procédures de notification à l’autorité de contrôle compétente

 

L'Article 33.1. précise: "En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

La notion de violation de données personnelles est (heureusement) définie à l’article 4 : «violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données."

En cas de violation de données le responsable de données et donc tenu à:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;


b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;


c) décrire les conséquences probables de la violation de données à caractère personnel;


d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

à l'autorité de contrôle compétente (en France = la CNIL)

 

La seconde obligation notable à ce sujet est l’obligation de notifier la violation de sécurité à la personne concernée elle-même

L’obligation est imposée par l’article 34 :

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

 

 

9. Nommez un DPO

 

Le responsable du traitement est tenu de désigner un délégué à la protection des données (DPO)

 dans 3 cas :

Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

 

a)  le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;

b)  les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou

c)  les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

 

Les missions du délégué à la protection des données sont les suivantes:

 -- informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

 -- contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

 -- dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;

 -- coopérer avec l’autorité de contrôle;

 -- faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

 

À l’exception des TPE il est donc vivement conseillé d’avoir une personne en charge de la conformité au règlement dans son organisation.

 

 10. Mettez en place une PIA pour les traitements sensibles

 

Le règlement a prévu d’augmenter le niveau de protection du traitement de données personnelles dans les cas qui présentent le plus de risques pour les droits et libertés des personnes, ce qui, en soi, fait complètement sens. Dans ces termes, l’article 35 impose au responsable du traitement de réaliser une étude d’impact sur la vie privée (une PIA pour « Privacy Impact Assessment« ) afin de s’assurer que l’ensemble des risques spécifiques à la vie privée ont bien été maîtrisés.

Le règlement prévoit les dispositions suivantes :

Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

En pratique, une telle étude peut être menée pour un ensemble d’opérations qui présentent des risques identiques (« une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires« ).

 

DANS QUELS CAS EST-ON TENU DE MENER UNE PIA ?

 

Le règlement prévoit la mise en place d’une PIA « lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques »

 

Tout d’abord, en imposant une PIA dans un certain nombre de cas spécifiques – pour des traitements qui présentent par nature des risques importants pour les droits et libertés des personnes. 3 cas sont visés en particulier par l’article 35.3 :

a)  l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;

b)  le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou

c)  la surveillance systématique à grande échelle d’une zone accessible au public.

 

La seconde précision donnée par le règlement quant aux risques spécifiques nécessitant une PIA a été de conférer aux autorités nationales de contrôle l’établissement d’une liste spécifique de traitements à risque, ce qui a au moins la vertu d’éliminer les points de discussion. Celle-ci est prévue par les dispositions des articles 35.4. et 35.5

L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe (…)

L’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise (…)

 

LA PROCÉDURE DU PIA

Dans le cas ou une PIA est imposée, le responsable du traitement a l’obligation  de demander conseil à son DPO si celui-ci a été désigné. On peut synthétiser la procédure de la manière suivante :

une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

La PIA doit donc être documentée et conduire à la mise en place de mesures permettant de limiter les risques pour les droits et libertés des personnes.

Il est vivement recommandé de suivre une formation spécifique ou de vous faire assister si vous devez mener une PIA.

 

 

 11. Assurez-vous de ne pas transférer des données personnelles hors de l’UE

 

La mise en œuvre de traitements de données personnelles hors de l’UE est strictement encadrée par le règlement européen. En pratique, la loi  va limiter la fourniture de services informatiques par des entreprises hors de l’UE, car elles vont devoir sérieusement se plier à la culture européenne de régulation si elles souhaitent pouvoir vendre à des clients européens.

 

Côté obligations, la loi fait l’objet de modifications assez substantielles et prévoit un mécanisme en cascade afin d’autoriser ou d’interdire un transfert hors UE :

  • soit le transfert bénéficie d’une décision d’adéquation
  • soit de garanties juridiques appropriées (spécialement définies par le règlement)
  • soit de règles d’entreprise contraignantes
  • soit le transfert fait l’objet d’une situation particulière (encore une fois spécialement énumérés)

 

Les  transferts hors UE font partie des éléments qui peuvent revêtir un haut niveau de complexité et qui peuvent présenter un haut niveau de risques, et donc qui ne doivent faire l’objet d’une étude juridique spécifique avant d’être mis en œuvre. Réaliser un transfert qui s’opère en vertu d’une décision d’adéquation peut être très simple à mettre en place – mais encore faut-il avoir étudié la question.

 

 

Conclusion 

Mettre en conformité les traitements de données personnelles au sein d’une organisation au regard du RGPD est une tâche complexe et longue. Nous avons au travers de cet article à peine abordé le sujet tant les dispositions du règlement sont vastes (ex: le  droit à l’oubli), mais il faut bien commencer quelque part et rester pratique !

Si vous devez mettre en conformité les traitements réalisés au sein de votre organisation il est conseillé de se former au préalable ou de se faire accompagner par des professionnels, afin de suivre un processus pas à pas de conformité et – de recourir à des logiciels de conformité RGPD, qui vous assisteront dans la tâche de mise en place d’un registre.