Evaluation de la conformité – n°5 Les transferts hors UE

Evaluation de la conformité – n°5 Les transferts hors UE
Minute RGPD Vidéo

Dernièrement on a pris en compte les acteurs externes identifiés lors de l’état des lieux pour les évaluer et vérifier notre conformité sur ce point.

Mais que ce passe-t-il si vos sous-traitants, responsables conjoints ou même destinataires sont établis sur un territoire en dehors de l’Union européenne, et, plus largement, en dehors de l’espace économique européen ?

1ère étape : selon vos différents destinataires, vérifiez bien que vous savez où ils sont établis et grossièrement aussi, où vous envoyez des données (Etats-Unis, Chine, Russie, Maroc, etc.)

2ème étape : rendez-vous sur le site de la CNIL et consultez la carte de protection des données dans le monde.

Vous remarquerez que certains Etats tiers sont en bleu, d’autres en violet ou encore en gris… Bonne nouvelle pour l’équipe des bleus ! Ces états tiers sont « adéquats ». Comme on vous l’a déjà expliqué [minute sur les transferts], on peut transférer des données vers un état tiers qui dispose d’une décision d’adéquation.

Si la décision est partielle (sur la carte ces Etats sont en bleu clair), il faut vérifier que l’organisme auquel vous transférez des données est « couvert » par cette décision. Sinon classez-le dans les mauvais élèves pour le moment.

Si l’organisme se trouve sur un état gris ou violet, l’organisme qui s’y situe rejoint aussi la liste des mauvais élèves.

3ème étape : occupez-vous de vos mauvais élèves

L’objectif est de vérifier que chaque transfert hors UE est encadré par une garantie appropriée, ou s’il peut être couvert par une dérogation.

Pour des acteurs « hors groupe », on doit vérifier s’il existe dans le contrat les clauses contractuelles types de la commission européenne en matière de transfert hors UE. Si elles n’y sont pas :

1ère option : vérifiez si le transfert peut être couvert par une dérogation

2ème option : proposez de les ajouter dans le contrat

Pour les acteurs membres d’un même groupe, ces deux options restent valables mais une troisième s’offre à vous. Si le groupe bénéficie de “Binding Corporate Rules” approuvées par une autorité de contrôle : il se peut que ce soit suffisant !

Si le transfert est couvert par les BCR, votre évaluation s’arrête là.

Si le transfert est couvert par les BCR, votre évaluation s’arrête là.

Si ce n’est pas le cas, penchez-vous sur les deux premières options.

Allez ! On vous laisse vérifier tout ça et on vous dit à la prochaine pour la suite !

Et si vous avez un trou de mémoire sur le sujet : regardez notre série sur les transferts !

L’évaluation de conformité 5e partie : Les transferts hors UE

Partager l'article

Articles similaires

L’État et les communes épinglés pour l’utilisation de BriefCam : la CNIL sévit
Article RGPD Minute RGPD

L’État et les communes épinglés pour l’utilisation de BriefCam : la CNIL sévit

Le 5 décembre 2024, la CNIL a prononcé plusieurs mises en demeure contre le ministère de l'Intérieur et huit autres communes françaises. En cause : l'utilisation non conforme de logiciels d’analyse vidéo comme BriefCam, qui soulève des questions cruciales sur la protection des libertés individuelles.
Lire la suite
Sensibiliser les équipes au RGPD
Minute RGPD Vidéo

Sensibiliser les équipes au RGPD

Dans un monde où les cybermenaces et les exigences de conformité sont omniprésentes, former et sensibiliser ses équipes à la protection des données n'est plus une option : c'est une nécessité. Mais au-delà de l'obligation légale, pourquoi est-il crucial d’agir ?
Lire la suite