Data Intelligence
Analysis, BI, Prediction, Planning, Boardroom
RGPD : attention aux nouvelles CCT !
27 décembre, fin de la période de transition des nouvelles CCT (Clauses Contractuelles Types) pour les transferts de données entre les pays conformes au GDPR et ceux qui ne le sont pas.
Ne sous-estimez pas les nouvelles CCT ! Votre organisation utilise-t-elle un fournisseur basé aux États-Unis comme Jira, Slack ou Mailchimp ? Travaillez-vous simplement via Teams avec vos collègues ? Votre service d’assistance est-il situé en Asie ? Utilisez-vous Google Analytics sur votre site Web ? Ou peut-être votre fournisseur de cloud est-il situé en dehors de l’espace économique européen ? « Si la réponse à l’une de ces questions est oui, il y est question de transferts internationaux de données, prévient Audrey Malaise, Privacy Consultant, CRANIUM. Et, pour ces transferts, de nouvelles clauses contractuelles types doivent être utilisées à partir du 27 décembre. »
CCT, transferts internationaux données : quid ?
Depuis 2018, un transfert de données à caractère personnel au sein de l’space économique européen doit suivre les règles du RGPD. Aucune mesure supplémentaire n’est alors nécessaire. Il en va de même pour une liste de pays considérés par la Commission européenne comme offrant un niveau de protection adéquat au regard du RGPD. Cette liste inclut Andorre, l’Argentine, le Canada (organisation commerciale), les Îles Féroé, le Guernesey, Israël, l’Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni (sous le RGPD et la LED) et l’Uruguay. Si par contre le traitement a lieu (en partie) en dehors de l’EEE ou de ces pays conformes au RGPD, comme c’est souvent le cas pour un service d’assistance, une équipe de support, de déboggage, un centre d’appels, un service d’escalade des problèmes et ainsi de suite, il est considéré comme un transfert international de données. Des mesures supplémentaires sont alors requises. Le mécanisme le plus utilisé pour ces transferts internationaux est l’intégration de CCT (Clauses Contractuelles Types) dans les contrats. Ces clauses prescrivent les mesures que l’exportateur et l’importateur de données doivent prendre pour assurer un niveau de protection adéquat. Afin de se conformer au RGPD, ces CCT ont été modifiées l’année dernière.
Gare aux amendes
« Aujourd’hui au niveau mondial, très peu d’organisations traitent l’entièreté de leurs données personnelles dans le pays dans lequel elles sont établies. Même si elles le font, il y a de fortes chances que leurs sous-traitants ne le fassent pas. Il y a donc des transferts de données vers des pays qui ne sont pas conformes au RGPD. Cependant, de nombreuses entreprises et organisations ne savent pas que les CCT, généralement utilisées pour ces transferts, ont été modifiées par la Commission européenne l’année dernière et ne seront donc plus en vigueur à l’expiration de la période de transition, le 27 décembre », déclare Audrey Malaise. Afin d’éviter les amendes, les entreprises et les organisations doivent mettre en œuvre ces clauses modernisées pour tous les transferts de données entre les pays soumis au RGPD et les pays n’ayant pas reçu de décision d’adéquation au sens du RGPDR.
Évaluez vos transferts internationaux de données
Dans la première étape, il s’agit d’identifier les cas concernés. Il est question d’un transfert international de données lorsque :
- Vos fournisseurs ont accès à des données personnelles provenant de l’extérieur de l’EEE ;
- Vous avez des filiales étrangères (situées en dehors de l’EEE) qui ont accès aux données personnelles ;
- Vous envoyez des données à caractère personnel à des clients situés en dehors de l’EEE ou vous en recevez de leur part ;
- Le fournisseur, la société affiliée étrangère et/ou le client sont situés dans un pays en dehors de l’EEE qui ne fournit pas un niveau de protection adéquat.
Si tel est le cas, vous êtes tenu de vous assurer que les mesures appropriées sont prises pour rester en conformité. Il est donc important de mettre à jour vos contrats. Contactez tous vos fournisseurs, affiliés et/ou clients en dehors de l’EEE ou des pays conformes au RGPD pour mettre à jour les contrats avec les clauses modernisées.
Réalisez une évaluation de l’impact des transferts
Inclure les nouvelles CCT dans les contrats ne suffit pas pour se conformer au RGPD. Des analyses d’impact sur le transfert ou Transfer Impact Assessment (TIA) sont requises pour toutes les activités de traitement ayant lieu en dehors de l’EEE. Ces évaluations ont pour but d’évaluer le niveau de protection du transfert et de déterminer si l’utilisation d’un mécanisme de transfert (notamment les CCT) est suffisant. « Faute de mesures appropriées, des enquêtes peuvent être ouvertes par les autorités de surveillance. Ce qui, comme toute autre violation, peut entraîner des amendes salées. Il suffit de penser aux 400 millions EUR de pénalités infligés à Instagram en Irlande au début de cette année… Un autre risque potentiel concerne votre réputation et vos relations commerciales, prévient Audrey Malaise. La protection de la vie privée fait l’objet d’une attention croissante dans le débat public. La négligence à cet égard aura des répercussions négatives sur votre organisation. C’est une autre raison pour laquelle il est conseillé de mettre à jour vos CCT. »