Écrit par: Audrey Malaise

Tic-tac, tic-tac ! Le 27 décembre approche !

Votre organisation utilise-t-elle un fournisseur basé aux États-Unis ? Travaillez-vous via Teams avec vos collègues ? Votre service d’assistance est-il situé en Asie ? Utilisez-vous Google Analytics sur votre site Web ? Ou peut-être votre fournisseur de cloud est-il situé en dehors de l’Espace économique européen ? Si votre réponse à n’importe laquelle de ces questions est oui, alors vous pourriez être intéressé par la lecture des lignes suivantes.

Que sont les transferts internationaux de données ? 

Dans le monde d’aujourd’hui, très peu d’organisations traitent l’entièreté de leurs données personnelles uniquement dans le pays dans lequel elles sont établies, et si elles le font, il y a de fortes chances pour que leurs sous-traitants ne le fassent pas.

Les transferts de données personnelles, s’ils sont effectués au sein de l’Espace économique européen (ci-après « EEE »), ne nécessitent aucune mesure supplémentaire. Toutefois, si le traitement est effectué en dehors de l’EEE, celui-ci sera considéré comme un transfert international de données et certaines mesures supplémentaires devront être prises.

En plus des pays membres de l’EEE, la Commission européenne a établi une liste de pays offrant un niveau de protection adéquat, ce qui signifie qu’ils offrent un niveau de protection des données suffisant au regard du RGPD.

Cette liste comprend Andorre, l’Argentine, le Canada (organisation commerciale), les îles Féroé, Guernesey, Israël, l’île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni en vertu du GDPR et la LED et l’Uruguay. Pour plus d’informations, voir : décisions d’adéquation.

Tous vos traitements sont-ils basés dans l’EEE ou dans l’un de ces pays sûrs ? Vous voudrez peut-être revérifier cela. En effet, bien souvent, votre helpdesk, votre assistance technique, équipe de débogage, de résolution des problèmes, votre centre d’appels, etc. sont situés en dehors de ces pays. Lorsque tel est le cas, cela signifie que vos données personnelles font l’objet d’un transfert international de données.

Le mécanisme le plus utilisé pour les transferts internationaux de données, est l’intégration de Clauses Contractuelles Types (ci-après « CCT ») dans vos contrats.

Que sont les Clauses Contractuelles Types (ou CCT) ? 

Les Clauses Contractuelles Types sont un mécanisme qui fournit des garanties appropriées en cas de transfert international de données, comme le décrit l’article 46 du RGPD. Ces clauses dictent les mesures appropriées qui seront prises à la fois par l’exportateur de données et l’importateur de données pour fournir un niveau de protection adéquat aux données personnelles traitées au niveau international.

Un nouvel ensemble de CCT

En juin 2021, la Commission européenne a adopté un nouvel ensemble de Clauses Contractuelles Types. Ces clauses modernisées, basées sur le RGPD, restent applicables pour les transferts de données des responsables du traitement ou des sous-traitants dans l’UE/EEE (ou autrement soumis au RGPD) vers des responsables du traitement ou des sous-traitants établis en dehors de l’UE/EEE (et non soumis au RGPD).

Mesures à prendre pour se conformer aux nouveaux CCT

1. Évaluez vos transferts de données internationaux

La première étape consiste à identifier les transferts internationaux de données. C’est le cas lorsque ;

• Vos fournisseurs ont accès à des données personnelles depuis l’extérieur de l’EEE ;
• Vous avez des filiales étrangères (hors EEE) qui ont accès à des données personnelles ;
• Vous envoyez ou recevez des données personnelles à/de la part de clients (…) ;
• Votre fournisseur, filiale étrangère et/ou client est basé dans un pays en dehors de l’EEE et n’est pas un pays en dehors de l’UE qui offre un niveau de protection adéquat.

Si tel est le cas, vous devez vous assurer que les mesures appropriées sont prises pour rester en conformité.

2. Mettez à jour vos contrats

En cas de transferts internationaux de données avec un pays qui n’est pas reconnu comme offrant un niveau de protection adéquat, votre accord de traitement des données doit compenser l’absence de protections suffisantes.

Ce nouveau délai est l’occasion idéale de vérifier que vos contrats incluent les CCT nécessaires et, si c’est le cas, qu’il s’agit bien du nouvel ensemble de CCT. Votre organisation doit contacter ses fournisseurs, affiliés et/ou clients pour modifier les accords dans ce sens.

3. Effectuez également des évaluations de l’impact du transfert

Inclure des CCT dans vos contrats n’est pas suffisant pour être conforme au RGPD. En effet, vous devez effectuer des évaluations de l’impact du transfert relatives à ces activités de traitement qui ont lieu en dehors de l’EEE. Ces évaluations visent à évaluer le niveau de protection du transfert et à déterminer si l’utilisation d’un mécanisme de transfert (notamment les CCT) est suffisante.

Quand devez-vous mettre à jour vos CCT ?

Dès que possible. Depuis le 21 septembre 2021, tous les nouveaux contrats conclus devraient inclure le nouvel ensemble de CCT. Mais comme pour tout changement majeur, la Commission européenne a prévu une période de transition. Afin de donner aux organisations suffisamment de temps pour mettre à jour leurs contrats qui incluaient l’ensemble précédent de CCT, la Commission européenne a prévu une période de transition.

La période de transition touche à sa fin et la date limite approche à grands pas : le 27 décembre 2022. D’ici là, les organisations peuvent toujours s’appuyer sur les CCT précédentes pour transférer légalement des données à caractère personnel vers des pays tiers. Après cette date, vous devez vous assurer que vous prenez les mesures appropriées pour garantir que votre organisation reste conforme en 2023.

Quels sont les risques si vous ne mettez pas à jour vos CCT ?

Le risque évident est celui des amendes. Comme pour tout type de violation du RGPD, l’absence d’un mécanisme approprié de transfert international de données (c’est-à-dire l’absence de CCT valides) peut conduire à une enquête par une autorité de contrôle et à une amende pour votre organisation.

Un autre risque à considérer concerne votre réputation et vos relations commerciales. Alors que la confidentialité est de plus en plus prise en compte par le public, les organisations ne veulent pas donner l’impression qu’elles ne se soucient pas de la protection des données. Avoir des CCT obsolètes donnera l’impression que vous n’accordez pas à la protection des données l’importance qu’elle mérite.