Accueil //Blog //RGPD //RGPD transfert de données : Quelles mesures de protection
Crédits photo : Freepik

Le RGPD et les transferts de données vers des pays tiers : quelles mesures de sécurité sont nécessaires ?

Le transfert de données représente un aspect fondamental de Règlement sur la Protection des Données Personnelles. Le RGPD prévoit des règles strictes en matière de transferts de données personnelles vers des pays ne se trouvant pas dans l’Union européenne.

Les règles sur la protection des données à caractère personnel dans certains pays tiers peuvent ne pas offrir un niveau de protection équivalent à celui exigé en Europe. Cela signifie que les données personnelles concernées par un transfert vers un pays tiers risquent d’être moins bien protégées.

C’est pourquoi, tout organisme souhaitant effectuer un transfert hors UE doit au préalable se poser un certain nombre de questions liées, d’une part, à l’appartenance ou pas du pays tiers à la liste des pays considérés comme adéquats par la Commission européenne et, d’autre part, aux garanties à mettre en place pour assurer un niveau de protection suffisant des données.

Visionnez le replay

Quelles garanties doivent être mises en place pour les transferts de données ?

La Commission européenne peut décider qu’un pays offre un niveau de protection adéquat des données personnelles. Dans ce cas, les transferts de données vers ce pays tiers peuvent être effectués sans avoir besoin de prendre des mesures de protection supplémentaires. Si ce n’est pas le cas, des garanties doivent être mises en place pour permettre ce transfert, à moins que le transfert ne puisse être effectué via l’une des dérogations listées à l’article 49 du RGPD 1 pouvant être adoptées dans des situations particulières.

Un transfert de données vers un pays qui n’est pas couvert par une décision d’adéquation peut avoir lieu via notamment l’un des mécanismes suivants :

  • Des clauses contractuelles types (CCT) qui sont des modèles de clauses contractuelles approuvés par la Commission européenne, fixant les obligations de protection des données entre les parties.
  • Des règles d’entreprise contraignantes consistant en des politiques internes relatives à la protection des données adoptées au niveau d’un groupe d’entreprises, permettant des transferts intra-groupes vers des entités situées en dehors de l’UE.
  • Un code de conduite, est un mécanisme volontaire établissant des normes spécifiques de protection des données pour un secteur particulier par exemple.
  • Un mécanisme de certification approuvé qui consiste en une certification attestant de la conformité de l’organisme aux exigences sur la protection des données.

Quelles mesures de protection intégrer ?

L’outil de transfert choisi doit assurer un niveau de protection suffisant tout en préservant son efficacité pratique. Pour cela, une évaluation préalable des risques du transfert doit être réalisée en collaboration avec l’importateur des données.

Cette analyse aide à identifier l’existence d’éventuelles dispositions légales ou pratiques dans le pays tiers pouvant porter atteinte à l’efficacité de l’instrument utilisé. Dans le cas où l’outil en question ne permet pas d’assurer efficacement un niveau de protection équivalent, des mesures supplémentaires doivent être mises en place. Les mesures choisies doivent être adaptées aux risques que le transfert en question est susceptible d’engendrer. Il peut s’agir de mesures contractuelles, organisationnelles ou techniques.

Découvrir

Mesures techniques

De mesures techniques adaptées aux risques doivent compléter les garanties supplémentaires offertes par les instruments de transfert visés par le RGPD dans le cas où ces dernières ne permettent pas d’assurer un niveau de protection suffisant. Ces mesures visent à protéger les données personnelles contre tout accès non autorisé des autorités publiques. Elles empêchent les autorités d’identifier les personnes physiques, de déduire des informations les concernant, de les distinguer dans un autre contexte ou encore d’associer les données transférées à d’autres ensembles de données qu’elles pourraient détenir. Il peut s’agir de l’anonymisation, du chiffrement, de la pseudonymisation ou encore de la segmentation des données.

Mesures contractuelles

Une clause peut être incluse dans le contrat afin de permettre à l’exportateur de données d’effectuer des audits ou des inspections des pratiques liées aux traitements des données suivies par l’importateur.

L’exportateur des données peut aussi ajouter des annexes au contrat conclu avec l’importateur dans l’objectif d’obtenir régulièrement des informations sur l’accès des autorités publiques aux données personnelles.

En fonction des spécificités des transferts, le contrat peut également prévoir des mesures techniques spécifiques pour garantir la protection des données à caractère personnel.

Mesures organisationnelles

Il peut s’agir à titre d’exemple de politiques internes pour le traitement des demandes d’accès aux données personnelles émanant d’autorités publiques. Ces politiques doivent prévoir les canaux de signalement et la fourniture d’informations transparentes aux personnes concernées. Il est aussi important d’envisager une publication régulière de rapports sur les demandes d’accès aux données formulées par les autorités ainsi que sur le type de réponse fournie.

Sources

1 RGPD article 49, site de la Commission Nationale de l’Informatique et Libertés

À lire aussi