Transfert de données vers l’étranger : les précautions à prendre
Publié le 10 Sep 2024
Temps de lecture : 4mn
Avec le développement du numérique et des services qui y sont attachés, il devient de moins en moins rare, pour des entreprises de toute taille, de travailler avec des partenaires, prestataires ou sous-traitants basés à l’étranger. Ce qui peut représenter une difficulté au regard des règles encadrant la protection des données personnelles lorsque de tels transferts ont lieu. Retour sur les moyens pour opérer ces transferts en toute sécurité…
RGPD : quelle application territoriale ?
Depuis 2018, le Règlement pour la protection des données impose un cadre exigeant pour protéger les données à caractère personnel des résidents européens.
Les règles et obligations du RGPD s’appliquent, évidemment, à toutes les entités basées sur le territoire de l’Union européenne (UE), mais pas seulement…
S’il peut sembler aisé de penser que recourir aux services d’une entreprise basée hors du territoire de l’UE pour se soustraire aux contraintes du RGPD, il n’en est rien. En effet, il s’applique également à toute entité qui, établie hors de l’UE, a une activité ciblant directement des résidents européens.
C’est pourquoi, avant de transférer des données vers un pays étranger, il est primordial d’effectuer quelques vérifications et de prendre des précautions pour s’assurer que les données transférées bénéficieront d’un niveau de protection adéquat.
Comprendre la sécurité des données dans les États tiers
La Commission nationale de l’informatique et des libertés (CNIL) tient à jour un outil sous forme de carte permettant de se renseigner sur le niveau de protection apporté par chaque État.
En effet, plusieurs cas de figure sont à distinguer.
Un petit nombre de pays dispose, tout d’abord, de législations offrant un niveau de protection global équivalent à la réglementation européenne. Par conséquent, les transferts de données vers ces pays peuvent s’effectuer sans démarches particulières. Il s’agit, entre autres, du Japon, du Royaume-Uni, de la Suisse.
D’autres pays sont, ensuite, considérés comme « partiellement adéquats ». Par principe, les transferts de données vers ces pays ne peuvent pas se faire sans encadrement. Mais il existe des exceptions dans certains cas, notamment lorsqu’une législation spéciale ou un accord avec l’UE le permettent.
C’est notamment le cas avec des pays comme le Canada (dans le cadre d’activités commerciales) ou les États-Unis (pour les organismes certifiés Data Privacy Framework).
La grande majorité des États tiers, enfin, est néanmoins considérée comme inadéquate et aucun transfert de données personnelles ne peut être réalisé vers eux sans recourir à des outils spéciaux mis en place par le RGPD.
Transfert de données : quels outils sécurisés mettre en place ?
Lorsque le niveau de sécurité proposé par le pays de destination des données n’est pas jugé suffisant, il appartient à l’entité qui s’apprête à transférer les données de mettre en place les mesures nécessaires pour s’assurer qu’il ne fait courir aucun risque aux personnes concernées.
On retrouve parmi ces mécanismes les règles d’entreprise contraignantes (BCR pour Binding Corporate Rules). Cet outil peut être utilisé par un groupement d’entreprises engagées dans une activité économique commune. Il permet d’établir un référentiel de règles qui engagent l’ensemble des entreprises l’adoptant.
Les clauses contractuelles types (CCT) sont un autre moyen d’assurer contractuellement la sécurité des données transférées lorsqu’une entreprise traite avec une autre entité à laquelle elle n’est pas rattachée. Pour les adopter, il suffit d’inclure dans ses contrats un modèle de clauses édité par le Comité européen de la protection des données (CEPD) et adopté par La Commission européenne.
Les codes de conduite permettent également la mise en place de règles adaptées à certains secteurs d’activité. Une organisation représentative d’un secteur peut ainsi prendre l’initiative de rédiger un code de conduite. Ce code, qui se veut clair et compréhensible, doit aborder le sujet de la protection des données d’une manière appliquée à l’activité du secteur concerné. Les professionnels sont, par la suite, libres d’adhérer à ce code de conduite. Une fois l’adhésion faite, le code devient un engagement contraignant qui s’impose aux professionnels et devient ainsi un indicateur de confiance.
Dans la même optique, mais s’agissant d’une démarche individuelle, les entreprises peuvent passer par un processus de certification. Les entreprises désireuses d’entreprendre ce processus peuvent se rapprocher d’un organisme certificateur agréé par la CNIL. Une fois la certification obtenue, l’entreprise peut démontrer qu’elle a pleinement conscience des problématiques liées aux transferts de données.
Les outils dédiés aux transferts de données personnelles vers les États tiers sont nombreux et permettent de répondre à de nombreuses situations, tout en restant autonome vis-à-vis des autorités de contrôle. En plus de cela, il est possible de se rapprocher de la CNIL, afin de répondre à des besoins particuliers dans l’hypothèse où une entreprise ne parviendrait pas à trouver une solution parmi les outils existants.
En résumé
Avec la mondialisation et l’essor du numérique, le transfert de données personnelles vers des partenaires étrangers est devenu courant pour les entreprises. Cependant, pour garantir la protection de ces données, il est essentiel de se conformer au RGPD. Avant d’effectuer des transferts, il faut vérifier le niveau de protection des données dans les pays tiers.
Divers outils comme les règles d’entreprise contraignantes, les clauses contractuelles types, les codes de conduite et les certifications permettent de sécuriser ces transferts. Ces mécanismes assurent une protection adéquate, tout en maintenant la conformité aux exigences réglementaires.
Sources :
Partager sur :