Evaluation de la conformité – n°5 Les transferts hors UE

Evaluation de la conformité – n°5 Les transferts hors UE
Minute RGPD Vidéo

Dernièrement on a pris en compte les acteurs externes identifiés lors de l’état des lieux pour les évaluer et vérifier notre conformité sur ce point.

Mais que ce passe-t-il si vos sous-traitants, responsables conjoints ou même destinataires sont établis sur un territoire en dehors de l’Union européenne, et, plus largement, en dehors de l’espace économique européen ?

1ère étape : selon vos différents destinataires, vérifiez bien que vous savez où ils sont établis et grossièrement aussi, où vous envoyez des données (Etats-Unis, Chine, Russie, Maroc, etc.)

2ème étape : rendez-vous sur le site de la CNIL et consultez la carte de protection des données dans le monde.

Vous remarquerez que certains Etats tiers sont en bleu, d’autres en violet ou encore en gris… Bonne nouvelle pour l’équipe des bleus ! Ces états tiers sont « adéquats ». Comme on vous l’a déjà expliqué [minute sur les transferts], on peut transférer des données vers un état tiers qui dispose d’une décision d’adéquation.

Si la décision est partielle (sur la carte ces Etats sont en bleu clair), il faut vérifier que l’organisme auquel vous transférez des données est « couvert » par cette décision. Sinon classez-le dans les mauvais élèves pour le moment.

Si l’organisme se trouve sur un état gris ou violet, l’organisme qui s’y situe rejoint aussi la liste des mauvais élèves.

3ème étape : occupez-vous de vos mauvais élèves

L’objectif est de vérifier que chaque transfert hors UE est encadré par une garantie appropriée, ou s’il peut être couvert par une dérogation.

Pour des acteurs « hors groupe », on doit vérifier s’il existe dans le contrat les clauses contractuelles types de la commission européenne en matière de transfert hors UE. Si elles n’y sont pas :

1ère option : vérifiez si le transfert peut être couvert par une dérogation

2ème option : proposez de les ajouter dans le contrat

Pour les acteurs membres d’un même groupe, ces deux options restent valables mais une troisième s’offre à vous. Si le groupe bénéficie de “Binding Corporate Rules” approuvées par une autorité de contrôle : il se peut que ce soit suffisant !

Si le transfert est couvert par les BCR, votre évaluation s’arrête là.

Si le transfert est couvert par les BCR, votre évaluation s’arrête là.

Si ce n’est pas le cas, penchez-vous sur les deux premières options.

Allez ! On vous laisse vérifier tout ça et on vous dit à la prochaine pour la suite !

Et si vous avez un trou de mémoire sur le sujet : regardez notre série sur les transferts !

L’évaluation de conformité 5e partie : Les transferts hors UE

Partager l'article

Articles similaires

[Episode 2] Sécurité | Les mails malveillants
Minute RGPD

[Episode 2] Sécurité | Les mails malveillants

Nous recevons tous des messages malveillants sur les réseaux sociaux tel que Facebook ou par mail. Voici les astuces pour décrypter l'arnaque et surtout bien agir !
Lire la suite
[Episode 1] Sécurité | Le chiffrement
Minute RGPD

[Episode 1] Sécurité | Le chiffrement

Le chiffrement RGPD dans le domaine de la sécurité information est un procédé dont nous vous expliquons les tenants et les aboutissants dans cet article.
Lire la suite