Transferts internationaux de données : Comment envoyer des données à l'étranger dans le cadre du GDPR britannique ?

Dans le cadre d'un marché mondial interconnecté et en pleine évolution, il est probable que votre entreprise ait besoin d'envoyer des données à l'étranger pour mener à bien un grand nombre de ses activités commerciales quotidiennes. Après la mise en œuvre du GDPR britannique, nombre de ces transferts sont susceptibles d'être considérés comme des "transferts de données restreints". Voici toutes les informations dont vous avez besoin pour continuer à envoyer des données à l'étranger dans le cadre de la nouvelle réglementation :

Le transfert de données que vous effectuez est-il un transfert restreint ?

Si votre entreprise envoie des données à un pays destinataire qui n'est pas couvert par le GDPR britannique mais que les données que vous transférez le sont, vous effectuerez un transfert restreint. Si le destinataire est une entité juridique distincte de la vôtre, même si elle fait partie du même groupe de sociétés, il s'agira toujours d'un transfert restreint.

Toutefois, si vous envoyez des données à caractère personnel à une personne employée par votre organisation mais qui se trouve dans un autre pays, cela ne sera pas considéré comme un transfert restreint de données puisque vous n'envoyez pas de données en dehors de votre propre entreprise.

Le pays vers lequel vous transférez des données à caractère personnel est-il couvert par des règles d'adéquation ?

Une décision d'adéquation signifie que le pays vers lequel vous transférez des données est réputé avoir le même niveau de protection des données et le même cadre juridique que celui couvert par le GDPR britannique. Dans ce cas, vous n'avez pas à vous préoccuper de la mise en œuvre de garanties et vous pouvez transférer librement des données entre ces territoires. Un règlement d'adéquation établit simplement ce fait dans la loi.

Vous trouverez ci-dessous une liste des pays et territoires pour lesquels le Royaume-Uni dispose actuellement de règlements d'adéquation :

Décisions relatives à l'adéquation totale :

• Pays de l'UE (Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Roumanie, Slovaquie, Slovénie, Suède)
• Pays de l'AELE (Islande, Norvège, Liechtenstein)
• Andorre,
• Argentine,
• Gibraltar
• Guernesey,
• Île de Man,
• Israël,
• Jersey,
• Nouvelle-Zélande,
• Suisse, et
• L'Uruguay.

Décisions d'adéquation partielle :

• Japon, et
• Canada

Que se passe-t-il si le pays vers lequel je transfère des données personnelles ne figure pas sur cette liste ?

C'est ici que vous êtes censé mettre en œuvre les "garanties appropriées" qui vous permettront de transférer des données à caractère personnel vers un autre territoire en dehors de la liste.

Les mesures de protection disponibles dans votre arsenal sont les suivantes :

1. Instruments juridiques conclus entre des organismes publics et contenant des "garanties appropriées".

Bien que le GDPR britannique ne définisse pas ce qu'est un organisme public, il décrit généralement les organismes gouvernementaux qui prennent certaines mesures dans l'intérêt du public. Une "garantie appropriée" en vertu de cette disposition permettrait d'accorder des "droits exécutoires" et des "recours effectifs à la personne dont les données sont transférées".

Pour

Cela peut être plus facile à mettre en œuvre si le pays vers lequel vous souhaitez transférer des données à caractère personnel dispose déjà de ces instruments juridiques et exécutoires.

Cons

Ces accords ne sont pas en vigueur dans tous les territoires et peuvent donc ne pas être utilisés dans le territoire choisi.

2. Règles d'entreprise contraignantes du Royaume-Uni (UK BCR)

Il s'agit de codes de conduite internes qui s'appliquent aux groupes multinationaux. Pour les grandes entreprises, il est plus courant d'adopter des règles d'entreprise contraignantes (BCR), car elles sont adaptées aux transferts internationaux entre entités distinctes au sein d'une même organisation et conviennent donc mieux aux entreprises mondiales.

Pour

Elle est mondialement reconnue comme une norme élevée de conformité et permet de s'adapter à l'évolution des besoins de l'entreprise. C'est un bon moyen de prouver la responsabilité et un bon modèle qui peut être utilisé à de nombreuses fins.

Cons

La procédure d'approbation est exigeante et le manque de ressources de la part des régulateurs peut avoir un impact sur la procédure d'approbation et entraîner des retards. Elle est également plus technique que les clauses contractuelles standard et nécessite donc des ressources internes suffisantes au sein de votre organisation.

3. Clauses contractuelles types (CCN)

Les plus courantes pour les PME sont les clauses contractuelles types (CCN), qui sont des contrats préapprouvés par l'UE permettant à une entreprise de continuer à transférer des données entre les pays de l'EEE après que le Royaume-Uni a quitté l'Union européenne.

Pour

Des clauses largement standardisées sont disponibles sans qu'il soit nécessaire d'y apporter des modifications importantes. Il est préapprouvé, peut être relativement simple à déposer et convient également aux transferts ponctuels.

Cons

La formulation standardisée pose le problème de l'adaptation des clauses à des transferts spécifiques et à l'évolution des besoins de l'entreprise. Il existe également un risque de non-respect par les importateurs de données et il est soumis à des exigences administratives supplémentaires dans la plupart des pays de l'UE.

4. Le contrat

Un contrat entre votre organisation et l'entité destinataire qui a été créé spécifiquement pour les transferts restreints et qui doit également être autorisé par l'ICO.

Pour

Permettra le transfert de certaines données restreintes adaptées aux besoins de votre organisation.

Cons

Un contrat nécessitera des ressources supplémentaires pour s'assurer que sa rédaction est juridiquement applicable et qu'il répond à tous les critères pertinents définis par l'ICO.

Informations complètes sur les avantages et les inconvénients de chaque mesure de protection ici

Effectuer une analyse d'impact avant de procéder à des transferts de données restreints

L'ICO recommande de procéder à une évaluation de l'impact du transfert, ce qui vous permettra de vous assurer que la mesure de protection que vous avez choisie est adéquate pour protéger les données à caractère personnel des personnes concernées et qu'elle est compatible avec le cadre juridique du pays de destination.

Si, à la fin de l'évaluation, vous avez besoin d'autres mesures de protection parce que celle que vous avez choisie semble inadéquate en tant que telle, vous pouvez inclure d'autres mesures.

Comment Privasee peut vous aider

La plateforme Privasee peut vous aider à stocker et à cartographier les données de votre organisation afin que vous sachiez exactement quelles données vous possédez, depuis combien de temps et à qui elles se rapportent. Cela peut vous aider à mieux comprendre où se trouvent vos données et à repérer les éventuels signaux d'alarme dans votre stockage de données. Cela simplifie également les transferts internationaux de données : comprendre les données que vous détenez et leur localisation vous permet d'identifier les données qui doivent être transférées ailleurs, que ce soit au Royaume-Uni ou à l'étranger. Notre plateforme peut également vous aider à suivre les mesures de protection que vous utilisez pour ces transferts et à identifier celles qui sont les plus adaptées.

Y a-t-il des exceptions ?

Si le transfert restreint de données n'est pas couvert par des garanties appropriées, vous devrez prendre en considération les "exceptions" ci-dessous au titre de l'article 49 du GDPR britannique, qui vous permettront tout de même d'effectuer un transfert restreint :

Consentement

• Doit être spécifique et informée
• Doit fournir des détails sur le transfert restreint à l'individu en question
• Impossibilité d'obtenir un consentement généralisé pour tous les transferts restreints de données
• Les informations qui doivent être communiquées à l'individu sont les suivantes :
• L'identité du destinataire
• Pays du destinataire
• Raison du transfert restreint
• La zone des données transférées
• Comment une personne peut-elle retirer son consentement à ces transferts restreints ?
• les risques éventuels liés au consentement à de tels transferts restreints sans garanties adéquates et sans décision d'adéquation.

Contrat

• Doit être réservé aux transferts restreints qui n'ont pas lieu régulièrement
• Le transfert restreint doit être nécessaire pour remplir les conditions du contrat.

Intérêt public

• Il doit exister au Royaume-Uni une loi autorisant un transfert restreint pour des raisons d'intérêt public.
• Il s'agit généralement d'un accord international.
• Les organismes publics et privés peuvent s'y fier.
• Doit être utilisé pour des transferts restreints occasionnels et ne doit pas être utilisé pour des transferts systématiques.

Réclamation légale

• Il doit s'agir de transferts occasionnels qui ne sont pas réguliers
• Il doit s'agir d'une finalité nécessaire qui nécessite un lien étroit entre le transfert et la demande en justice.
• Une demande en justice peut être interprétée comme étant toutes les demandes judiciaires et les procédures administratives ou réglementaires.
• Cette exception ne doit pas être invoquée si la créance n'est pas encore née et qu'elle reste possible à l'avenir.

Protéger les intérêts vitaux

• Applicable en cas d'urgence médicale lorsque les données doivent être transférées d'un pays à l'autre afin de fournir les soins médicaux appropriés.
• Ne peut être utilisé pour la recherche médicale
• Cette disposition ne peut être invoquée si la personne dont les données sont en question peut donner son consentement.

Registres publics

• Le registre aura été créé en vertu de la législation britannique et sera ouvert au public en général ou à toute personne pouvant justifier d'un intérêt légitime.
• Les transferts restreints doivent être conformes au droit général de divulgation et doivent être évalués au regard des droits de protection des personnes dont les données doivent être transférées.

Intérêts légitimes ponctuels

• Il doit s'agir de transferts occasionnels qui ne sont pas réguliers
• Transfert restreint des données d'un nombre limité de personnes
• L'intérêt légitime doit être "impérieux", ce qui constitue un seuil plus élevé à respecter. De plus amples informations sont disponibles sur le site web de l'ICO.
• L'intérêt légitime impérieux doit l'emporter sur les droits et libertés des individus, ce qui doit être prouvé lors de l'interrogatoire.
• Une évaluation complète de l'intérêt légitime est effectuée et les raisons sont identifiées.
• L'ICO doit être informé du transfert, ce qui implique de fournir des détails complets sur les mesures prises pour garantir les éléments ci-dessus.
• La personne à laquelle appartiennent les données faisant l'objet d'un transfert restreint doit être informée et l'intérêt légitime doit lui être expliqué

De plus amples informations sur les exceptions susmentionnées sont disponibles sur le site web de l'ICO.

Nous espérons que cet article vous aidera à mieux comprendre ce que l'on attend de votre organisation lorsque vous effectuez un transfert international et qu'il simplifiera certains des concepts identifiés par l'ICO. Vous trouverez de plus amples informations sur le site web de l'ICO concernant la réalisation de transferts internationaux et tous les détails sont disponibles ici.

Clause de non-responsabilité

Privasee ne considère pas que l'article ci-dessus constitue un conseil juridique sous quelque forme que ce soit.

Sources et ressources complémentaires

https://iapp.org/media/pdf/resource_center/HL-International-Data-Transfers-Considering-your-options.pdf

‍