Transfert des données hors UE

Le programme de la formation

Sécurisation des ressortissants européens MAIS AUSSI des entreprises européennes.

Avec la globalisation et la mondialisation des échanges, l'utilisation croissante des nouvelles technologies, le nombre de transferts de données hors de France ne cesse de croître.

La globalisation des échanges et la croissance des solutions informatiques externalisées, notamment via le cloud, ont un impact direct sur les traitements des données personnelles qu’une entreprise est amenée à mettre en œuvre. Filiales de sociétés étrangères et clients de sous-traitants étrangers (service de paie, service de maintenance) chaque société doit appréhender cette problématique avant tout transfert de ces données hors de France en tenant compte de la sécurisation et de la confidentialité posées par le RGPD.

En outre, Le congrès américain a voté le CLOUD ACT alors que le RGPD est entré en vigueur le 25 mai 2018 en Europe, entraînant de nombreuses incertitudes sur l’utilisation de nos données hors EU et notamment via les USA.

Le CLOUD Act donne la possibilité à une puissance étrangère, en l'occurrence les Etats-Unis d'Amérique, d'accéder aux données dès lors qu'elles sont hébergées par des Cloud Providers américains, sans que les utilisateurs en soient informés, quand bien même ces données seraient stockées en France ou concerneraient un ressortissant européen, et ce sans passer par les tribunaux.

Introduction

Rappel du cadre règlementaire avant le RGPD

Intégrer les dispositions européennes et françaises applicables au transfert de données personnelles hors de France en UE et hors EU

Maîtriser le périmètre du transfert de données personnelles dans l’Union européenne

• Présentation des grands principes du nouveau cadre réglementaire : RGPD, LIL 3 ....etc

Définir le transfert de données au sein de l’Union européenne

• Application du droit national par chaque État membre
• Maîtriser le périmètre du transfert de données personnelles hors de l’Union européenne

La qualification juridique du destinataire des données

• La définition du " responsable du traitement " et du " sous-traitant "
• Les obligations réciproques incombant au responsable du traitement et au sous-traitant
• Le cas particulier des transferts intra-groupes
• Le cas particulier de l’hébergement de données de santé

La nature des données transférées et les finalités envisagées

• Application du principe de proportionnalité
• Le cas particulier du transfert de données sensibles

Les mécanismes et outils pour transférer les données hors de l’UE

Les nouveaux outils du RGPD

• La décision d’adéquation : notion
• A défaut des « garanties appropriées » : garanties prises sur le fondement des décisions des autorités de contrôle et qui sont prises à la lumière des engagements des organismes concernés
• A défaut de garantie, l’autorisation du transfert par dérogation

Les mécanismes actuels continuant à s’appliquer

• Transfert fondé sur une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat
• Transfert fondé sur des clauses contractuelles types (CCT) de la Commission européenne
• Transfert fondé sur des règles internes d’entreprises (BCR)
• Transfert fondé sur des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne)
• Atelier : Cas pratiques entreprise

Les clauses contractuelles types (CTT) de la Commission Européenne

La mise en place des clauses contractuelles types

• Identifier les parties
• Compléter les Clauses contractuelles types

Distinction entre les différentes CTT : quel modèle utiliser ?

• Le CTT encadrant les transferts entre deux responsables de traitement
• Le CTT encadrant le transfert entre un responsable de traitement et un sous-traitant

Effectuer les démarches auprès de la CNIL.
Atelier : Elaboration de clauses contractuelles types.

Le Privacy Shield : le Bouclier de Protection des Données

• Explications nécessaires à la compréhension du Privacy Shield
• La nécessité de s’y référer pour transférer des données personnelles vers les Etats-Unis
• L’obligation formelle pour les entreprises destinataires de données
• Les obligations et les garanties de fond prévues par le Privacy Shield dont le respect est nécessaire

L’autorisation de la CNIL : le rôle de la CNIL

Les cas échappant à l’autorisation de la CNIL :

• Des clauses contractuelles types de protection des données adoptées par la Commission européenne ou par une autorité de contrôle avec approbation de la Commission européenne
• Des BCR
• Un code de conduite approuvé par une autorité de contrôle
• Un mécanisme de certification par une autorité de contrôle ou par un organisme de certification agréé par une autorité de contrôle ou un organisme national d’accréditation
• Des instruments juridiques contraignants entre autorités publiques

Les cas nécessitant l’autorisation de la CNIL

• Des clauses contractuelles spécifiques entre le responsable d'un fichier ou un sous-traitant et un autre responsable de fichier, un sous-traitant ou un destinataire des données dans le pays tiers ou l'organisation internationale
• Des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Conclusion

Point pratique et retour sur les bonnes pratiques à intégrer dans votre entreprise