Les CNIL européennes ont récemment donné leurs recommandations sur le transfert des données personnelles en dehors de l'UE suite à l'invalidation en juillet du « Privacy Shield », un traité entre l'Europe et les Etats-Unis qui donnait un cadre à ce sujet.
Grégoire Hanquier, Directeur juridique et conformité chez Data Legal Drive, propose d'y voir plus clair sur le sujet et donne les éléments à retenir suite à ces annonces
Petite révolution en marche ? Après avoir abordé la question du transfert sous l'angle uniquement juridique, les CNIL européennes associent le contractuel au pratico pratique.
Après les clauses contractuelles types (mises à jour d'ailleurs avec ces recommandations), les BCR et les accords transatlantiques annulés (Safe Harbour et Privacy Shield), les CNIL européennes expriment de manière très empirique les mesures techniques. Celles-ci sont, soit des mesures techniques qui présentent des « garanties appropriées » et, à défaut, la possibilité de mettre en place des « mesures supplémentaires » pour permettre un transfert des données personnelles vers des pays non adéquat.
Le leitmotiv est encore et toujours : protéger les personnes des pays tiers non adéquat de connaître l'identité de ladite personne.
Autre aspect de ce sujet, l’entreprise peut transférer en respectant ces règles (contrat + mesures) mais doit désormais être dans la capacité de démontrer que les personnes dont elle traite les données pourront exercer des recours équivalent au RGPD dans le pays non adéquat : ce n'est pas une mince affaire.
Que doivent faire les entreprises ?
- Encore et toujours avoir une bonne hygiène de la donnée traitée avec une connaissance exhaustive du flux des données.
- S'interroger sur le pourquoi je transfère dans un pays non adéquat et réfléchir à des solutions de contournement avec des acteurs européens et en mesurer les conséquences.
- Si transfert de données vers un pays non adéquat, ou en suis-je de ma documentation contractuelle ?
- Envisager la mise à jour de cette documentation avec les nouveaux modèles proposées.
- Identifier les mesures adéquates pour protéger les données traitées : dois-je encrypter les données ? dois-je pseudonymiser les données ? Mélanger et dispatcher les données chez différents prestataires cloud pour amoindrir le risque ?