Le RGPD en dehors de l’Union Européenne

La fluidité des échanges économiques et en particulier des flux monétaires au niveau mondial, surtout depuis l’essor de l’e-commerce, ne font qu’accroître les échanges de données hors de l’Union Européenne (UE) et hors de l’Espace Economique Européen (EEE), exposant ainsi les internautes et e-commerçants à des fuites de données ou pire, des violations de vie privée.

Dans le cadre du RGPD, les responsables de traitement et leurs éventuels sous-traitants ont néanmoins encore la possibilité d’effectuer des transferts de données à caractère personnel hors EU ou EEE.

Le transfert des données hors UE ou EEE est possible si les conditions suivantes sont remplies :

• La Commission a constaté un niveau de protection adéquat (état de droit, existe d’une autorité de contrôle, engagements internationaux)
• La Commission a mis en place un acte d’exécution avec examen tous les 4 ans
• La Commission effectue une veille permanente des évolutions
• La Commission peut abroger ou suspendre la décision d’adéquation

En outre, si la Commission n’a pas exécuté l’acte d’adéquation, le responsable du traitement ou le sous-traitant doit apporter les garanties appropriées avant de transférer les données à caractère personnel vers un pays tiers ou à une organisation internationale. Lesdites garanties sont appropriées si et seulement si une des conditions suivantes est apportée :

• Un instrument juridiquement contraignant et exécutoire entre les autorités
• Des règles d’entreprise contraignantes
• Des clauses types de protection des données adoptées par la Commission
• Des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission
• Un code de conduite approuvé, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers
• Un mécanisme de certification approuvé, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers

Cependant, la fluidité des transferts de données ainsi que des échanges économiques éventuels afférents étant proportionnelle au degré de conformité au RGPD, se doter d’une autorité de contrôle reste la solution la plus efficace à long-terme et permet au pays tiers ou à l’organisation
internationale de ne plus devoir se soumettre à une exécution de l’acte d’adéquation mais de s’impliquer proactivement dans sa mise en conformité via la CNIL ou le Comité Européen de la Protection des Données.

Le RGPD implique une notion d’extraterritorialité étant donné que quiconque exécute des traitements des données à caractère personnel ou sensible de ressortissants de l’Union Européenne, est tenu de se mettre en conformité où qu’il soit dans le monde.

Certains pays hors UE ont créé leur autorité de contrôle indépendante afin d’appliquer des règlements similaires et d’autres non donc il y a plusieurs notions d’adéquation avec le RGPD à l’étranger.

Selon la carte interactive dressée par la CNIL,  seuls la Suisse, l’Argentine et le Japon sont des pays adéquats avec lesquels des transferts de données sont possibles s’il y a adéquation avec l’autorité de contrôle locale. Ces pays sont suivis par le Canada et les Etats-Unis qui ont mis en place une autorité de contrôle démontrant une adéquation partielle avec le RGPD mais où la mise conformité reste nécessaire.

Ensuite, certains pays ont une autorité de contrôle indépendante et une législation qui leurs sont propres c’est notamment le cas de la Turquie, l’Ukraine, l’Australie, le Mexique et d’autres.

Enfin, beaucoup de pays ont une législation sans autorité de contrôle indépendante comme la Chine, l’Inde et le Brésil notamment tandis que tous les autres n’ont pas encore de législation en place.

Dans ce contexte, notre offre de DPO Externe est possible à distance et même nécessaire où que vous soyez dans le monde puisque même si la fluidité des transferts de données est techniquement possible dans la quasi-totalité des pays, il n’y a aucune garantie de conformité avec le RGPD pour toute société effectuant des traitements de données personnelles ou sensibles même dans le cas encore extrêmement minoritaire où celle-ci est conforme avec sa législation nationale, sauf pour la Suisse, l’Argentine et le Japon comme mentionné précédemment.

Il semble utile de préciser que si en plus, ladite société gère des filiales sur l’Espace Economique Européen, elle s’expose directement à fortes amendes de plusieurs millions d’euros en cas de violation de données personnelles ou sensibles.

L’Audit de Mise en Conformité requiert une présence sur site, c’est pourquoi nos consultants interviennent dans votre société-mère afin de réaliser cette prestation de conseil essentielle qui sera non seulement la pierre angulaire de votre mise en conformité mais aussi un garant de la volonté de vos équipes à faire preuve de transparence en termes de traitement de données dans le cadre d’une coopération économique ou associative avec un ou des pays de l’Union Européenne.

L’analyse d’impact sur la protection des données (AIPD) est l’étape nécessaire à toute société opérant des traitements de données à caractère personnel ou sensible, c’est donc vrai en dehors de l’Espace Economique Européen comme expliqué en préambule. Par conséquent, cette analyse est nécessaire pour tout pays réalisant ou étant sur le point de réaliser des traitements de données personnelles et sensibles de tout ressortissant européen. L’analyse d’impact est généralement subséquente à la mise en conformité et nécessite elle-aussi une présence sur site de nos consultants lors de celle-ci.

La mise en conformité et l’audit PIA étant effectués, votre mise en conformité est assurée au moins sur le plan technique cependant, la majorité (90%) des violations de données personnelles sont dues à des erreurs humaines. On appelle ce phénomène le social hacking. C’est pourquoi, une mise en conformité complète passe également par la formation des personnels exposés au traitement de données personnelles ou sensibles et ceci s’étend également aux sous-traitants que le responsable du traitement aura désignés. C’est pourquoi Global DPO anime régulièrement des sessions de formation dans ses locaux ou sur site si besoin, pour des raisons pratiques vis-à-vis de vos collaborateurs et sous-traitants.