Connexion
/ Inscription
Mon espace
Entrepreneuriat
ABONNÉS
Suivez-nous sur feedly

[Etude] Quand les CNIL Européennes s'emparent du Privacy Shield / Data Legal Drive

Les CNIL européennes ont récemment donné leurs recommandations sur le transfert des données personnelles en dehors de l'UE suite à l'invalidation en juillet du « Privacy Shield », un traité entre l'Europe et les Etats-Unis qui donnait un cadre à ce sujet.
 
Grégoire Hanquier, Directeur juridique et conformité chez Data Legal Drive, propose d'y voir plus clair sur le sujet et donne les éléments à retenir suite à ces annonces

Petite révolution en marche ? Après avoir abordé la question du transfert sous l'angle uniquement juridique, les CNIL européennes associent le contractuel au pratico pratique.

Après les clauses contractuelles types (mises à jour d'ailleurs avec ces recommandations), les BCR et les accords transatlantiques annulés (Safe Harbour et Privacy Shield), les CNIL européennes expriment de manière très empirique les mesures techniques. Celles-ci sont, soit des mesures techniques qui présentent des « garanties appropriées » et, à défaut, la possibilité de mettre en place des « mesures supplémentaires » pour permettre un transfert des données personnelles vers des pays non adéquat.

Le leitmotiv est encore et toujours : protéger les personnes des pays tiers non adéquat de connaître l'identité de ladite personne.

Autre aspect de ce sujet, l’entreprise peut transférer en respectant ces règles (contrat + mesures) mais doit désormais être dans la capacité de démontrer que les personnes dont elle traite les données pourront exercer des recours équivalent au RGPD dans le pays non adéquat : ce n'est pas une mince affaire.


Que doivent faire les entreprises ?

  • Encore et toujours avoir une bonne hygiène de la donnée traitée avec une connaissance exhaustive du flux des données.
  • S'interroger sur le pourquoi je transfère dans un pays non adéquat et réfléchir à des solutions de contournement avec des acteurs européens et en mesurer les conséquences.
  • Si transfert de données vers un pays non adéquat, ou en suis-je de ma documentation contractuelle ?
  • Envisager la mise à jour de cette documentation avec les nouveaux modèles proposées.
  • Identifier les mesures adéquates pour protéger les données traitées : dois-je encrypter les données ? dois-je pseudonymiser les données ? Mélanger et dispatcher les données chez différents prestataires cloud pour amoindrir le risque ?

 

Lire la suite...


Articles en relation