Privacy Talk
Clarifications du CEPD sur les transferts de données vers des pays tiers
Ce que vous devez savoir.
Le transfert de données à caractère personnel de l'Espace économique européen ("EEE") vers un pays tiers n'est autorisé que si votre entreprise peut garantir que les données à caractère personnel transférées dans ce pays tiers bénéficient d'une protection équivalente à celle qui existe dans l'EEE. La manière dont cette protection peut être garantie est définie dans la section V du Règlement Général sur la Protection des Données ("RGPD") (voir ce Privacy Talk).
Il est donc important de savoir exactement quand un tel transfert vers un pays tiers existe. Ce concept n'est pas défini dans le RGPD. C'est pourquoi le Comité Européen de la Protection des Données ("CEPD") a, dans de récent lignes directrices (projet uniquement en anglais), défini trois critères cumulatifs permettant de qualifier un traitement de transfert vers un pays tiers :
- Tout d'abord, l'entreprise exportant les données à caractère personnel pour ce traitement (que ce soit en tant que responsable du traitement ou en tant que sous-traitant) doit relever du champ d'application territorial du RGPD. Il peut donc s'agir non seulement d'une société établie dans l'EEE, mais aussi d'une société établie en dehors de l'EEE dans la mesure où elle offre des biens et des services à des personnes se trouvant dans l'EEE ou surveille le comportement de personnes situées dans l'EEE.
- C'est cette entreprise (l'exportateur de données) qui doit transférer les données à caractère personnel. Les situations dans lesquelles la personne concernée transfère elle-même ses données à caractère personnel ne sont pas considérées comme un "transfert" régi par le chapitre V du RGPD. En outre, les données à caractère personnel doivent être transférées à un autre responsable (conjoint) du traitement ou à un autre sous-traitant.
- Cet importateur de données doit être établi dans un pays tiers. Il importe peu que l'importateur de données relève ou non du champ d'application territorial du RGPD.
Ces lignes directrices confirment donc que le transfert de données à caractère personnel vers une entreprise d'un pays tiers, relevant elle-même du champ d'application du RGPD, est également considéré comme un "transfert".
Malheureusement, les lignes directrices ne précisent pas le concept de "transfert" en tant que tel. Elles confirment que le simple accès aux données à caractère personnel doit être considéré comme un transfert, mais ne donnent pas d'autres exemples. De tels exemples pourrait notamment inclure le fait de placer des collègues ou d'autres personnes de contact en copie d'un e-mail destiné à une société située en dehors de l'EEE. Conformément à l’arrêt Lindqvist de la Cour de justice, cela ne devrait probablement pas être considéré comme un transfert, mais une confirmation claire aurait été la bienvenue.
Ce que vous devez faire.
Sur la base des trois critères ci-dessus, vous devriez déterminer si un traitement effectué par votre entreprise constitue un transfert vers un pays tiers. Ensuite, pour ces traitements, vous devriez vérifier si les données à caractère personnel bénéficient d'une protection équivalente dans ce pays tiers (voir ce Privacy Talk).
Gardez à l'esprit que les transferts au sein d'un groupe de sociétés peuvent également être qualifiés de "transfert vers un pays tiers" en vertu du RGPD. Le transfert de données à caractère personnel par une filiale au sein de l'EEE à sa société mère basée en Inde, par exemple, doit être qualifié de transfert vers un pays tiers et est donc soumis aux obligations du chapitre V du RGPD.
Lorsque le transfert de données à caractère personnel n'a pas lieu entre deux entités distinctes (chacune étant un responsable (conjoint) du traitement ou un sous-traitant), il ne s'agit pas d'un transfert. Par exemple, si un employé de votre entreprise - basée dans l'EEE - part en voyage d'affaires en dehors de l'EEE et obtient un accès à distance aux bases de données de votre entreprise via son ordinateur professionnel, cela ne constitue pas un "transfert". Votre employé n'est pas considéré comme un responsable du traitement, mais comme une partie intégrante de votre entreprise.
Cela dit, même si un traitement de données à caractère personnel ne constitue pas un "transfert", il convient d'accorder une attention particulière à son traitement si ce dernier a lieu dans un pays tiers. Le RGPD exige que des mesures (sécurisées) techniques et organisationnelles, appropriées et adaptées aux risques que présente le traitement (article 24 et article 32 du RGPD) soient prises. Le système juridique d'un pays tiers peut comporter des risques supplémentaires (par exemple, en termes d'ingérence gouvernementale). A titre d’illustration, votre entreprise peut décider de rendre certains traitements impossibles, comme l'accès à distance à certaines bases de données depuis certains pays tiers, même s'il n'y a pas de transfert vers un pays tiers.
L' information était utile? Transmettez-la à un collègue, ou partagez-la avec votre réseau!
Pour plus de détails ou toutes questions, nous vous invitons à consulter notre site web ou à contacter notre équipe :
