Evaluation de la conformité – n°5 Les transferts hors UE

Evaluation de la conformité – n°5 Les transferts hors UE
Minute RGPD Vidéo

Dernièrement on a pris en compte les acteurs externes identifiés lors de l’état des lieux pour les évaluer et vérifier notre conformité sur ce point.

Mais que ce passe-t-il si vos sous-traitants, responsables conjoints ou même destinataires sont établis sur un territoire en dehors de l’Union européenne, et, plus largement, en dehors de l’espace économique européen ?

1ère étape : selon vos différents destinataires, vérifiez bien que vous savez où ils sont établis et grossièrement aussi, où vous envoyez des données (Etats-Unis, Chine, Russie, Maroc, etc.)

2ème étape : rendez-vous sur le site de la CNIL et consultez la carte de protection des données dans le monde.

Vous remarquerez que certains Etats tiers sont en bleu, d’autres en violet ou encore en gris… Bonne nouvelle pour l’équipe des bleus ! Ces états tiers sont « adéquats ». Comme on vous l’a déjà expliqué [minute sur les transferts], on peut transférer des données vers un état tiers qui dispose d’une décision d’adéquation.

Si la décision est partielle (sur la carte ces Etats sont en bleu clair), il faut vérifier que l’organisme auquel vous transférez des données est « couvert » par cette décision. Sinon classez-le dans les mauvais élèves pour le moment.

Si l’organisme se trouve sur un état gris ou violet, l’organisme qui s’y situe rejoint aussi la liste des mauvais élèves.

3ème étape : occupez-vous de vos mauvais élèves

L’objectif est de vérifier que chaque transfert hors UE est encadré par une garantie appropriée, ou s’il peut être couvert par une dérogation.

Pour des acteurs « hors groupe », on doit vérifier s’il existe dans le contrat les clauses contractuelles types de la commission européenne en matière de transfert hors UE. Si elles n’y sont pas :

1ère option : vérifiez si le transfert peut être couvert par une dérogation

2ème option : proposez de les ajouter dans le contrat

Pour les acteurs membres d’un même groupe, ces deux options restent valables mais une troisième s’offre à vous. Si le groupe bénéficie de “Binding Corporate Rules” approuvées par une autorité de contrôle : il se peut que ce soit suffisant !

Si le transfert est couvert par les BCR, votre évaluation s’arrête là.

Si le transfert est couvert par les BCR, votre évaluation s’arrête là.

Si ce n’est pas le cas, penchez-vous sur les deux premières options.

Allez ! On vous laisse vérifier tout ça et on vous dit à la prochaine pour la suite !

Et si vous avez un trou de mémoire sur le sujet : regardez notre série sur les transferts !

L’évaluation de conformité 5e partie : Les transferts hors UE

Partager l'article

Articles similaires

Minute RGPD : pourquoi se former au RGPD  
Article RGPD Minute RGPD

Minute RGPD : pourquoi se former au RGPD  

Plongez-vous dans le scénario d'une entreprise prospère où les données client constituent une précieuse monnaie. Tout semble bien se passer jusqu'à ce qu'une nouvelle fuite de données massive éclate dans une entreprise concurrente. Face à cette réalité, comment assurer la sécurité des données de vos propres clients ?
Lire la suite
Mission sécurité : protéger les données de l’équipe  
Article RGPD Minute RGPD

Mission sécurité : protéger les données de l’équipe  

Dans le cadre d’un recrutement, les recruteurs sont amenés à collecter et utiliser des données personnelles des candidats. Comment garantir la conformité RGPD lors des recrutements ? Comment assurer la sécurité des données de vos employés ? En tant que professionnel RH, quelles informations pouvez-vous légitimement conserver ?
Lire la suite