Découvrez notre
nouvelle boutique

L’avènement du RGPD le 25 mai 2018, oblige les entreprises à mettre en oeuvre notamment le principe d’Accountability et de respecter les cadres juridiques pour l’envoi de données en pays-tiers.

Le principe d’accountability

 

Dans le cadre de la conformité au RGPD, obligation est donnée au Responsable de Traitement (l’entreprise qui traite des données personnelles), de documenter sa conformité, pour être en mesure de la démontrer, via les documents suivants, pour conserver les traces des actions entreprises :

  • Le registre des traitements de données à caractère personnel
  • Les documents contractuels des relations avec tiers (fournisseurs, sous-traitants…)
  • Les supports de sensibilisation et de formation des manipulateurs de données
  • Les procédures de traitements de données
  • Les labels de conformité obtenus
  • Les audits de traitements de données
  • Le statut, la formation et la lettre de mission du DPO (Délégué à la Protection des Données)
  • Les documents garantissant les droits des personnes
  • Les mentions d’informations obligatoires & recueil du consentement
  • Les études d’impacts sur la Vie Privée dites EIVP ou PIA
  • Les politiques et procédures liées à la sécurité des données

Le transfert de données au pays tiers

 

Un transfert de données à caractère personnel, pour y subir par la suite un traitement, « ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ d’un pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale […] ».

Chapitre 5 Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales.

Les différents cadres juridiques

  1. Au sein de l’UE et de l’EEE, les transferts sont possibles
  2. En dehors de l’UE, si le pays dispose d’un accord adéquation avec l’UE
  3. Les modèles de contrats-types transfert de données au pays tiers : protection contractuelle dans un pays sans législation
  4. Les Binding Corporate Rules : transfert de données au sein d’un groupe d’entreprises, via un contrat
  5. L’Accord Privacy Shield framework entre l’UE et les USA. les entreprises signataires s’engagent à respecter le RGPD

Abscence de cadre juridique

En l’absence d’un cadre juridique, ou du consentement explicite, le transfert est possible si le traitement est nécessaire pour :

    • l’exécution d’un contrat, ou la mise en œuvre de mesures précontractuelles pour la personne concernée
    • la conclusion u l’exécution d’un contrat conclu dans l’intérêt de la personne
    • des motifs importants d’intérêt public
    • la constatation, à l’exercice ou à la défense de droits en justice
    • la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne