Une chose est sûre, il est beaucoup plus facile aujourd’hui de solliciter les services d’un prestataire ou sous-traitant en Asie ou aux Amériques à partir de la France.
On peut ainsi avoir, par exemple, la jeune start-up qui a ses développeurs dans un pays d’Europe de l’Est, ses designers dans un pays du continent américain et son hébergeur en Europe du Nord.
Pas facile de savoir à quel endroit se trouvent les données traitées ! D’autant que depuis l’entrée en vigueur du RGPD (Règlement Européen sur la Protection des Données) le 25 Mai 2018, il faut assurer un certain niveau de protection.
Cela dit, pas d’inquiétude à avoir, ici nous allons vous aider à y voir un peu plus clair et vous dire ce qu’il faut faire pour chaque pays.
La boîte à outils juridiques du RGPD
L’arrivée du RGPD a permis de mieux encadrer le transfert des données en proposant une gamme d’outils juridiques pour aider les entreprises en ce sens. Ainsi, les entreprises peuvent avoir recours à deux provisions en particulier :
La clause d’adéquation (article 45) : Il s’agit d’une liste de pays présentant des garanties de protection des données similaires à celles du RGPD, à la suite d’un examen approfondi des dispositions légales mises en place.
Les garanties appropriées (article 46) : ces garanties sont composées d’un ensemble de décisions prises par l’autorité de contrôle du pays d’origine et dont l’entreprise s’engage à respecter, par exemple
en incluant des clauses contractuelles types approuvées par la commission européenne,
un code de conduite ou un mécanisme de certification validé,
des clauses contractuelles spécifiques pour encadrer le transfert
ou encore les règles contraignantes d’entreprises qui sont des politiques intra-groupe de protection des données et qui sont légalement contraignantes
Si les conditions précédentes ne sont pas réunies, il est toujours possible d’obtenir une dérogation, nécessitant un accord préalable de l’autorité de contrôle
Pour mieux illustrer le principe d’adéquation, nous allons étudier quelques cas concrets.
Que dois-je faire si je veux transférer mes données ….
… En Union Européenne
Comme vous pouvez vous en douter, il n’y pas de disposition particulière à prendre, puisque le RGPD est un règlement européen et s’applique donc à tous les pays de l’Union Européenne. Un souci de moins à se faire !
… Aux Etats-Unis
Cela dépend de la nature du traitement. Les Etats-Unis sont considérés comme étant en adéquation partielle, c’est-à-dire qu’il n’est pas nécessaire de prendre des mesures supplémentaires pour certains traitements. Le transfert peut se faire que s’il est à destination d’une entreprise ayant une certification active au Privacy Shield, une loi entrée en vigueur en Juillet 2016, qui consiste en une série d’engagements pris par le gouvernement américain et la Commission Européenne pour rehausser le niveau de protection des données. Cette adéquation partielle concerne aussi le Canada, vers laquelle les transferts ne nécessitent pas d’encadrement spécifique si le traitement entre dans le cadre d’une activité commerciale (loi PIPEDA)
… En Argentine
Le pays est reconnu comme étant en adéquation, la législation en vigueur étant alignée avec le RGPD. Pas d’encadrement spécifique donc.
… En Russie
La Russie dispose d’une législation en matière de protection des données personnelles, mais n’est pas reconnue comme étant en adéquation. Il faut savoir que la loi russe exige que les données personnelles des citoyens russes soient hébergées sur le territoire russe. Et ne pas s’y conformer est très risqué, en atteste LinkedIn dont le site a été bloqué en 2017.
Et le Royaume-Uni dans tout ça ?
Pour le moment, le RGPD s’applique encore sur le sol britannique. Mais quand on sait qu’on a de fortes chances de se diriger vers un Brexit sans accord (le fameux « no deal ! »), il faut d’ores et déjà se préparer à cette éventualité. En effet, dès que la sortie du Royaume-Uni sera effective, celui-ci ne sera plus considéré comme étant en adéquation. Il faudra donc entamer les mesures d’encadrement et mise en adéquation, étape par étape :
Commencez par identifier les traitements effectués en Grande-Bretagne chez un sous-traitant, et de manière plus générale, les traitements impliquant un transfert
Choisissez un outil d’encadrement, ceux listés plus tôt dans cet article en constituent un bon exemple, et entamez les démarches de sa mise en œuvre
Mettez à jour votre documentation interne en indiquant que vous réalisez des transferts de données vers le Royaume-Uni, mais aussi vos mentions d’informations à destination des personnes concernées
Et pour avoir un panorama plus complet du niveau d’adéquation des autres pays du monde, la CNIL a pensé à vous et a concocté une carte interactive vous permettant de voir en un clic si vous allez passer des nuits à vous arracher les cheveux sur un transfert de données ou non : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
Source : www.cnil.fr
Mehdi