Evaluation de la conformité – n°5 Les transferts hors UE
Dernièrement on a pris en compte les acteurs externes identifiés lors de l’état des lieux pour les évaluer et vérifier notre conformité sur ce point.
Mais que ce passe-t-il si vos sous-traitants, responsables conjoints ou même destinataires sont établis sur un territoire en dehors de l’Union européenne, et, plus largement, en dehors de l’espace économique européen ?
1ère étape : selon vos différents destinataires, vérifiez bien que vous savez où ils sont établis et grossièrement aussi, où vous envoyez des données (Etats-Unis, Chine, Russie, Maroc, etc.)
2ème étape : rendez-vous sur le site de la CNIL et consultez la carte de protection des données dans le monde.
Vous remarquerez que certains Etats tiers sont en bleu, d’autres en violet ou encore en gris… Bonne nouvelle pour l’équipe des bleus ! Ces états tiers sont « adéquats ». Comme on vous l’a déjà expliqué [minute sur les transferts], on peut transférer des données vers un état tiers qui dispose d’une décision d’adéquation.
Si la décision est partielle (sur la carte ces Etats sont en bleu clair), il faut vérifier que l’organisme auquel vous transférez des données est « couvert » par cette décision. Sinon classez-le dans les mauvais élèves pour le moment.
Si l’organisme se trouve sur un état gris ou violet, l’organisme qui s’y situe rejoint aussi la liste des mauvais élèves.
3ème étape : occupez-vous de vos mauvais élèves
L’objectif est de vérifier que chaque transfert hors UE est encadré par une garantie appropriée, ou s’il peut être couvert par une dérogation.
Pour des acteurs « hors groupe », on doit vérifier s’il existe dans le contrat les clauses contractuelles types de la commission européenne en matière de transfert hors UE. Si elles n’y sont pas :
1ère option : vérifiez si le transfert peut être couvert par une dérogation
2ème option : proposez de les ajouter dans le contrat
Pour les acteurs membres d’un même groupe, ces deux options restent valables mais une troisième s’offre à vous. Si le groupe bénéficie de “Binding Corporate Rules” approuvées par une autorité de contrôle : il se peut que ce soit suffisant !
Si le transfert est couvert par les BCR, votre évaluation s’arrête là.
Si le transfert est couvert par les BCR, votre évaluation s’arrête là.
Si ce n’est pas le cas, penchez-vous sur les deux premières options.
Allez ! On vous laisse vérifier tout ça et on vous dit à la prochaine pour la suite !
Et si vous avez un trou de mémoire sur le sujet : regardez notre série sur les transferts !
L’évaluation de conformité 5e partie : Les transferts hors UE