Comment transférer des données vers un « pays tiers » selon le RGPD

La Commission Européenne a publié un avis aux parties intéressées début janvier appelé « Retrait du Royaume-Uni de l’Union et règles de l’UE en matière de protection des données ».

L’avis indique que le Royaume-Uni, ayant déclenché l’Article 50 et quittant l’UE le 30 mars 2019, deviendra un « pays tiers ». A moins qu’un accord de retrait ne puisse être établit avant la date de départ, les règles du Règlement Général Européen sur la Protection des Données (RGPD) concernant le transfert de données personnelles vers un « pays tiers » s’appliqueront donc au Royaume-Uni.

Du fait d’une incertitude importante concernant le contenu de l’accord de retrait, l’avis rappelle aux parties intéressées traitant des données personnelles les répercussions légales associées au transfert de données vers le Royaume-Uni lorsque celui-ci deviendra « pays tiers ».

Si aucune « décision d’adéquation » n’est prise avant la date de retrait, les entreprises transférant des données personnelles vers le Royaume-Uni devront mettre en place les dispositifs de sécurité appropriés.

 

Clauses standards de protection des données :

La Commission a pour le moment publié deux ensembles de clauses contractuelles. Un concernant les transferts entre responsables du traitement et responsables du traitement basés en dehors de l’UE/EEE, et le deuxième concernant les transferts vers des sous-traitants basés en dehors de l’UE/EEE. Ces clauses sont disponibles en téléchargement depuis le site internet de la Commission.

L’utilisation des clauses standards de protection des données adoptées par le contrôleur européen de la protection des données ne devrait pas empêcher les responsables du traitement et les sous-traitants d’ajouter des clauses dans un contrat plus large ou d’ajouter d’autres clauses tant qu’il n’y a pas de contradictions.

 

Binding Corporate Rules (BCR ou règles d’entreprises contraignantes) :

Ces règles ont été développées par l’Article 29 Working Party afin de permettre aux entreprises multinationales, aux entreprises internationales et aux groupes d’entreprises de faire des transferts intra-entreprises transfrontaliers de données personnelles en accord avec les lois européennes de protection des données.

Les BCR ont pour but d’assurer que tous les transferts fais par une entreprise ou au sein d’un groupe maintiennent un niveau adéquat de protection. Elles représentent une alternative pour les entreprises devant signer des clauses contractuelles types à chaque transfert de données vers un membre du groupe.

Afin d’obtenir l’accord d’utilisation des BCRs, l’entreprise concernée doit choisir une autorité principale de contrôle de protection des données, qui facilitera l’obtention d’accord de l’autre autorité de contrôle impliquée. L’autorité principale de contrôle doit également valider les BCR.

 

Codes de conduite :

Un code de conduite conforme à l’Article 40 du RGPD ainsi qu’un engagement contraignant et applicable de la part du responsable du traitement ou du sous-traitant basé dans un pays tiers afin d’appliquer les mesures de sécurité appropriées, y compris les mesures en lien avec les droits des personnes concernées.

 

Mécanismes de certification :

Un mécanisme de certification conforme à l’Article 42 du RGPD ainsi qu’un engagement contraignant et applicable de la part du responsable du traitement ou du sous-traitant basé dans un pays tiers afin d’appliquer les mesures de sécurité appropriées, y compris les mesures en lien avec les droits des personnes concernées.

Vous souhaitez en savoir plus sur les meilleures méthodes de transfert des données vers un pays tiers et vous assurer que votre entreprise a mis en place les mesures de sécurité appropriées ?

Inscrivez-vous à notre formation combinée d’introduction et de spécialisation au RGPD sur Paris ou Lyon et bénéficiez de 20% de réduction.

 Réservez votre place dès maintenant >>

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.