Q&R RGPD : Transferts internationaux, Brexit, confidentialité UE-US

A partir de mai 2018, le Règlement Général Européen à la Protection des Données devra être appliqué par toutes les organisations internationales traitant des données de résidents européens. Les entreprises devront donc procéder à des changements importants au niveau du consentement des personnes concernées, de la confidentialité dès la conception, des signalements de violations de données, etc. afin de se conformer au règlement et de pouvoir transférer des données à l’international.

Un grand nombre de délégués assistant aux séminaires en ligne sur le RGPD d’IT Governance ont des questions liées au transfert de données personnelles de résidents européen à l’international sous le RGPD, l’impact du Brexit et les considérations relatives à la confidentialité des données à prendre en compte lors du transfert de données entre l’Europe et les Etats-Unis. Dans ce blog, les experts RGPD d’IT Governance répondent aux questions les plus fréquentes de nos participants afin de faire la lumière sur les différentes exigences du RGPD lors de transferts internationaux.

Si le traitement ou le contrôle de données de résidents européens a lieu aux Etats-Unis, comment s’applique le RGPD ? Le RGPD est-il mondial ou européen ?

L’article 3 du RGPD défini la portée territoriale du règlement comme s’appliquant aux deux situations suivantes :

  • [Article 3(1)] le traitement de données à caractère personnel dans le cadre des activités d’un responsable de traitement ou un sous-traitant de l’Union, que le traitement lui-même ait lieu dans l’Union ou non ; et
  • [Article 3(2)] le traitement de données à caractère personnel de personnes concernées au sein de l’Union par un responsable du traitement des données ou pas un sous-traitant établit en dehors de l’Union lorsque le traitement est lié à l’offre de biens ou de services ou au contrôle du comportement de personnes concernées européennes au sein de l’Union.

Cela signifie que les organisations qui ne sont pas établies en Europe mais qui offrent des biens ou services à des individus en Europe ou contrôlent leur comportement, devront se conformer au RGPD.

Le gouvernement du Royaume-Uni a confirmé qu’en accord avec les obligations de son traité, le RGPD sera appliqué au Royaume-Uni à partir du 25 mai 2018.

L’hypothèse de travail est donc que le Brexit n’aura aucun impact sur l’application du règlement. Cependant, la réalité ne suit pas toujours la logique. Le seul conseil pratique pour le moment est de partir du principe que le RGPD fonctionnera comme cela était prévu et de se tenir informé des développements sur les 18 prochains mois.

 

Si un individu vit dans l’Union Européenne mais n’est pas un citoyen de l’Union Européenne (ex : un expatrié), le RGPD s’applique-t-il tout de même ?

Oui – Lorsque vous voyagez à l’étranger, vous êtes assujetti aux lois du pays que vous visitez.  De la même façon, lorsque vous vivez dans un pays de l’Union Européenne, vos données à caractère personnel seront protégées par ses lois et règlementations. 

 

Est-ce que signer le EU-US Privacy Shield (Bouclier de protection de la confidentialité entre l’UE et les USA) est suffisant pour remplir les clauses de traitement de données du RGPD ?

Non – le EU-US Privacy Shield protège seulement les données à caractère personnel sous le DPD Directive sur le Protection des Données des flux transatlantiques de données. Son cadre est différent de celui du RGPD, en particulier en ce qui concerne les obligations légales liées au traitement, à la gestion, à la collection des données, etc. De plus, le EU-US Privacy Shield est soumis à une révision annuelle et sera donc probablement modifié. Ceci associé à la différence de culture considérable en ce qui concerne la protection des données en Amérique et du fait du principe d’adéquation du RGPD signifie qu’il est hautement improbable que le EU-US Privacy Shield suffise pour se conformer au RGPD. Les organisations américaines se trouvant dans le cadre du RGPD devront donc également prendre les mesures nécessaires pour se conformer aux exigences du règlement.

 

Y-a-t-il une certaine souplesse en ce qui concerne la conformité au RGPD ou toutes les entreprises européennes devront mettre en œuvre le règlement exactement tel que décrit dans le RGPD ?

Le RGPD n’offre que très peu de marge de manœuvre. Le RGPD est une législation européenne sous forme de règlement. Au sein de l’UE, les règlements sont directement applicables dans chaque Etat membre et le RGPD sera exécutoire dans tous les Etats membres dès le 25 mai 2018. Il n’y a besoin d’aucune autre législation pour mettre en place le RGPD et l’un des moteurs du règlement est d’assurer la standardisation des régimes de protection des données à travers l’UE.
Cependant, certains articles du RGPD permettent aux Etats membres un certain degré de flexibilité. Les Etats membres peuvent, par exemple, modifier les définitions des catégories spéciales de données à caractère personnel ainsi que la limite d’âge de minorité en lien avec les services de la société de l’information.

 

Quelle sera la procédure pour obtenir une notation d’adéquation pour une organisation internationale ? Est-il acceptable d’utiliser un fournisseur de services Cloud aux USA à condition qu’un contrat soi établit afin de garantir la protection ?

Il est important de se rappeler que le RGPD a deux objectifs principaux et l’un d’entre eux est de faciliter la libre circulation des données. Le RGPD clarifie donc les procédures de transfert de données contenu dans la loi informatique et libertés.

L’adéquation aux niveaux de protection associé à un transfert peut être garanti par :

  • L’utilisation de clauses contractuelles types ;
  • L’utilisation de règlementations d’entreprise contraignantes régissant les transferts de données intra-groupe ; ou
  • Le recours à la dérogation.

Les options ci-dessus seront toujours légitimes pour les entreprises internationales dans le cadre de transferts internationaux de données.

De plus, les transferts peuvent être effectués lorsque la commission décide qu’un tiers pays, territoire, un ou plus de secteurs spécifiques dans un tiers pays ou une organisation internationale garantissent un niveau suffisant de protection. Ceci est bénéfique puisque cela signifie que les organisations considérées adéquates par la commission n’auront pas besoin d’obtenir d’autres autorisations pour les transferts individuels.

Les décisions en matière d’adéquation font l’objet d’un contrôle périodique durant lequel la commission se concerte avec l’entité et examine les évolutions concernées de l’entité ainsi que les informations provenant d’autres sources pertinentes. Les décisions en matière d’adéquation peuvent impliquer un audit de l’organisation internationale. La procédure de décision d’adéquation est susceptible d’inclure les avis des autorités de contrôle et de la Commission Européenne sur la Protection des Données. Il faudra également compter sur la validation du comité sur l’article 31 pour que la décision soit entérinée par le Collège des Commissaires.

 

Quel sera l’impact du Brexit sur le choix de l’autorité de contrôle ?

Aucun – Le bureau du commissaire à l’information restera l’autorité de contrôle au Royaume-Uni. Le gouvernement du Royaume-Uni a confirmé que, indépendamment aux négociations liées au Brexit, le RGPD s’appliquera au Royaume-Uni. Le RGPD permet déjà aux organisations de sélectionner une autorité de contrôle principale selon l’Etat membre dans lequel il est établi de façon permanente ou qui est la localisation d’une partie significative du traitement. Il est difficile de voir cette option disparaitre des suites du Brexit.

 

Dans le cas d’entreprises basées aux USA, les contrôles NIST 800 couvrent-il les exigences RGPD ? Si oui, à quel point : entièrement ou partiellement ?

Il n’y a pas de raison – les publications NIST 800 comprennent de bons contrôles susceptibles de couvrir tous les risques pertinents concernant les données.

 

Comment imposer le RGPD auprès d’entreprises de pays tiers ? L’autorité de contrôle pourrait-elle sanctionner une entreprise en Chine ?

Les responsables du traitement basés en dehors de l’espace économique européen doivent désigner une représentant de l’Union européenne – ceci est la première étape d’une action coercitive pour un régulateur.

 

Que se passerait-il si une organisation en dehors de l’UE refusait de payer une amende du fait qu’elle soit basée en dehors de la juridiction européenne ?

Il y aura une action coercitive, selon les traités internationaux.

 

Est-ce qu’un serveur partagé avec une entreprise basée aux USA est considéré comme un transfert de données si le serveur est au Royaume-Uni ? Qu’en est-il des environnements Cloud basés dans l’UE mais sont la maintenance est gérée par une équipe de support technique basée en dehors de l’espace économique européen ? Si les données ne sont pas exportées mais visualisées depuis un pays tiers, le RGPD s’applique-t-il ?

Si un pays tiers, une entreprise ou une personne peut accéder aux données sur une serveur basé au Royaume-Uni ou dans l’UE, vous donnez alors accès à une personne basée en dehors de l’espace économique européen – vous permettez à une personne basée en dehors l’espace économique européen de procéder au traitement. La « consultation » et « l’utilisation » de données sont incluses explicitement dans la définition de « traitement ».

 

En termes d’application pratique, la conformité RGPD ne serait-elle pas mieux gérée par des professionnels de la garantie de l’information ou par des équipes politiques/juridiques ?

Elle est générale mieux gérée par des praticiens – s’ils fournissent beaucoup de conseils juridiques. Ce qui compte est votre façon d’implémenter les exigences légales plutôt que votre façon de les présenter dans vos documentations.

 

Comment les entreprises et les Délégués à la Protection de Données doivent-ils procéder lorsqu’il s’agit de multinationales qui touchent des pays n’ayant pas encore de réglementation sur la protection des données ou ont une réglementation en contradiction avec le RGPD ? De nombreuses entreprises américaines requiert les coordonnées de l’utilisateur final afin de se conformer aux lois américaines sur la technologie. N’étant pas conformes au RGPD, comment cela peut-il se résoudre ?

Les entreprises internationales pourront gérer cette situation via l’utilisations de règles d’entreprise contraignantes.

 

Préparez-vous au Règlement Européen sur la Protection des Données avec notre formation certifiée d’introduction ainsi que nos webinars gratuits.

Cours d’introduction au RGPD Webinars gratuits

Leave a Reply

Your email address will not be published. Required fields are marked *