Contact
Essai gratuit
Admin |

20 MIN

RGPD : et si on protégeait vos données ?

rgpd
rgpd

RGPD par-ci, GDPR par-là :  si vous n’avez jamais entendu parler de ce règlement, vous avez quelques mois de retard et il est plus que temps de vous y intéresser. Mais pas d’inquiétude, les articles de notre blog sont là pour vous aider. 

Nos autres articles :
RGPD : la politique interne de protection des données
Comment bien gérer vos ressources humaines ?

Essai gratuit

RGPD - Le renforcement de la protection des données en Europe

Pour commencer, RGPD signifie « Règlement Général sur la Protection des Données Personnelles », quant à GDPR, c’est simplement l’acronyme en anglais.

Avant d’entrer dans le vif du sujet, voici un bref rappel du contexte dans lequel cette règlementation s’est introduite.

En France nous connaissons la protection des données grâce à la CNIL. Ambassadrice de nos droits et du devoir des sociétés traitants nos informations, elle est aujourd’hui également ambassadrice du nouveau règlement européen (RGPD).

Avant 2016 et l’adoption du RGPD, la législation française sur la protection des données était déjà riche. Cependant, chaque pays européen disposait de ses propres particularités, règles et obligations, c’est en partie à ce problème d’unification de la législation que le RGPD vient répondre. Ce besoin d’unification est logique. L’UE ayant définit un espace de liberté, de sécurité et de justice, ne pouvait pas ignorer la sécurité de nos données.

Le RGPD, dans la ligné des précédents accords européens, permet l’encadrement de la libre circulation de vos données en Europe. Afin de garantir le bon fonctionnement de cette circulation, une uniformisation des législations et un renforcement des obligations sont apparus nécessaires. Ainsi, loin d’être une punition, le RGPD vient renforcer vos droits et les responsabilités de chacun des intervenants dans le traitement de vos données et de celles de l’ensemble des citoyens européens.  

Mais ne soyons pas manichéen, rien n’est tout blanc ni tout noir, et ce texte bien que permettant l’ouverture d’un marché européen et une meilleure sécurité pour les données amène également son lot de contraintes.  

Ces contraintes comprennent de la génération documentaire, plus de rigueur dans le suivi des traitements de données personnelles et dans la construction des outils de traitement, l’obligation de respect de nouveaux droits…

Avant de rentrer dans le détail des nouvelles obligations, commençons par définir les termes du RGPD.

 

Un petit lexique RGPD

Tout d’abord comme précisé en début d’article, vous pouvez retrouver ce règlement sous le nom de RGPD (Règlement Général sur la Protection des Données), GDPR (in english, General Data Protection Regulation) et enfin le règlement européen 2016/679 du parlement et du conseil du 27 avril 2016. Ainsi chacun de ces termes fait référence à la même règlementation.

Ce texte aux multiples dénominations, dispose également d’une terminologie spécifique. Nous vous proposons donc un rapide glossaire RGPD pour faciliter la compréhension de vos obligations et adopter pour la suite un langage commun.

Une donnée personnelle, est tout simplement une information qui permet d’identifier directement ou indirectement une personne physique. Sachant qu’une personne physique, c’est vous, vos enfants, vos collègues, ou toute autre personne.

La personne concernée, désigne la personne qui peut être identifiée par les données personnelles traitées. Plus globalement, une personne concernée au sens du RGPD est une personne physique identifiée ou identifiable.

Un traitement de données, est une opération ou un ensemble d’opérations effectuées sur des données personnelles. Dans la publication du RGPD au journal officiel de l’Union Européenne, une liste de traitement est proposée. Bien que non exhaustive, elle permet tout de même d’identifier les exemples suivants : « collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, limitation, effacement et destruction ».

Le responsable de traitement, peut être une personne physique ou morale et ce pour n’importe quel type d’organisme. Ce qui définit si vous êtes ou non responsable de traitement, c’est votre rôle dans la détermination des finalités et des moyens de traitements. Prenons pour exemple, le traitement de la paie : si vous avez validé le choix final d’un logiciel de paie, alors vous avez défini tout ou partie des moyens de traitements et êtes responsable ou co-responsable de ce traitement.

Un sous-traitant, est une personne physique ou morale qui effectue des traitements de données pour le compte d’un responsable de traitement. Reprenons notre exemple, vous avez choisi votre logiciel de paie, ce qui vous place parmi les responsables de traitement. Ce choix a également pour effet, de placer la société éditrice de ce logiciel comme sous-traitant. En effet, ils traiteront les données personnelles de vos collaborateurs pour votre compte.

Les notions de Privacy by design et de Privacy by default définit par le RGPD sont à la fois complémentaires et opposées. Le Privacy-by-default qui correspond à la protection de la vie privée par défaut s’applique au traitement mis en œuvre avant le 25 mai 2018 et permet aux personnes concernées d’obtenir le plus haut niveau de sécurité possible. Tandis que le Privacy-by-Design, qui correspond à la protection de la vie privée dès la conception, s’applique au traitement mis en œuvre à partir du 25 mai 2018 et oblige à intégrer le plus haut niveau de sécurité possible dès la conception.

Essai gratuit

Les grands principes du RGPD

Le RGPD est basé sur sept principes fondamentaux. Ces principes sont une approche de la philosophie du RGPD, et une approche générique des obligations. 

Le principe de  loyauté, licéité et transparence :

Ce principe est simple et fondateur, le responsable de traitement doit traiter les données de manière loyale, licite et transparente. Il est possible de lier plusieurs éléments à ce principe et notamment le renforcement du droit à l’information. En effet, l’information doit être précise, explicite et transparente.

Ce principe fait également appel à la notion de base légale (Chapitre 2, Art. 6 du RGPD). Il est en effet, indispensable de définir en amont la base légale de traitement pour qu’il soit licite. Vous pouvez vous référer à l’article « Base légale et intérêt légitime » pour obtenir plus d’information à ce sujet.


Le principe de limitation des finalités :

Pour bien comprendre le principe de limitation des finalités, il faut tout d’abord bien comprendre la notion de finalité.

Pour faire simple, d’après le RGPD une finalité est la raison légitime pour laquelle vous traitez les données. Dans notre exemple de la paie, votre finalité est de gérer la paie de vos collaborateurs.

Limiter les finalités, signifie d’une part veiller à ce que celles-ci soient déterminées, explicites et légitimes ; d’autre part à ne pas traiter ultérieurement les données pour d’autres raisons que celles qui ont été communiquées aux personnes concernées.

 Ainsi pour respecter ce principe, il est nécessaire de bien réfléchir aux raisons pour lesquelles vous souhaitez mettre en œuvre les traitements de données personnelles, puis à exprimer ces finalités avec des termes simples et reflétant au mieux le besoin ou l’obligation nécessitant ce traitement.

Vous pouvez relier ce principe à de nombreuses applications concrètes, les éléments liés à son respect se retrouve dans le registre des traitements, les analyses d’impact ou encore les informations données auprès des personnes concernées.

 

Le principe de minimisation des données :

Le principe de minimisation, impose de ne collecter et de ne traiter que les informations nécessaires et donc de minimiser au regard des finalités poursuivies les données qui sont recueillies.

Pour reprendre le RGPD, vous ne pouvez recueillir et traitées que des données qui sont « adéquates et pertinentes » pour les finalités poursuivies. Si l’on reprend notre exemple de la paye, en demandant à vos collaborateurs leur RIB, vous respectez ce principe. A l’inverse, si vous leur demandez cette même information dans le cadre du recrutement, vous ne respectez plus ce principe.

 

Le principe d'exactitude des données :

Le principe d’exactitude des données définit dans le RGPD comprend le recueil d’informations exactes et de tenir à jours ces données par la suite.

Si vous tenez un registre de contact prospects ou que vous traitez des données recueillies sur un formulaire internet, vous devez voir ce principe comme difficile à mettre en œuvre. En effet, les personnes ne vous informent pas d’un mariage ou d’une modification d’adresse mail, vous ne pouvez pas empêcher les personnes de se tromper en tapant leur mail dans vos formulaires …

Comme nous l’avons précisé en début d’article, le RGPD n’est pas un texte punitif, les obligations sont raisonnables et nuancées. En effet, il est spécifié que vous devez prendre les mesures « raisonnables », ainsi inutile de se lancer dans une mise à jour par contact direct de l’intégralité de votre registre de 100 ou 100 000 clients/ prospects. En revanche, envoyer des informations de temps en temps pour rappeler aux personnes que vous traitez leurs données et leur demander de confirmer qu’elles sont toujours exactes est une mesure « raisonnable ».

 


Le principe de limitation de la conservation des données :

Ce principe fait nécessairement appel au droit à l’oubli et pourtant il est capital de ne pas confondre ces deux éléments.

Le principe de limitation de la conservation des données, correspond au fait de ne pas conserver plus longtemps que nécessaire ou obligatoire les données personnelles que vous avez recueillies.

Ainsi vous devez déterminer le temps de conservation selon deux éléments la nécessité de traiter ces données pour répondre à la finalité poursuivie et les obligations légales de conservation.

Vous pourrez retrouver les délais de conservation légaux pour les données liées à la gestion des ressources humaines dans le chapitre « RGPD et RH ».  

Le droit à l’oubli, correspond à l’obligation dans certains cas de supprimer les données personnelles à la demande de la personne concernée. La différence est donc le rôle de la personne concernée, en effet dans le cadre de la minimisation de la conservation, la personne n’a rien a demander contrairement au droit à l’oubli où la non rétention est provoquée par une demande de la personne.

 


Le principe d'intégrité et de confidentialité :

D’après la loi informatique et liberté et le RGPD, vous avez l’obligation de garantir par des mesures organisationnelles et techniques la confidentialités et l’intégrité des données. Il s’agit là certainement du concept le plus simple à comprendre : vous devez vous assurer de la sécurité des données que vous traitez. Cependant ce principe est également un des plus complexes à mettre en œuvre.

Les mesures techniques pouvant vous permettre de respecter ce principe sont nombreuses, nous pouvons cependant citer, la gestion logique des accès, la nécessité d’utiliser un mot de passe propre à chaque personne pour accéder aux données, le chiffrement, le cloisonnement, l’archivage, la lutte contre les logiciels malveillants ou encore la journalisation des évènements.

Les mesures organisationnelles peuvent être : la gestion des risques notamment à l’aide d’une analyse d’impact sur la vie privée, la rédaction d’une politique interne sur la protection des données (Cf article RGPD correspondant sur notre blog), la standardisation des réactions en cas de violation des données, la désignation d’un pilote de la protection des données (DPO), la sensibilisation de vos collaborateurs, la gestion de vos sous-traitants … Nous vous proposons une liste de la documentation pouvant remplir ce rôle dans le chapitre « La documentation obligatoire du RGPD ».

 


Le principe de responsabilité :

Ce principe est une grande nouveauté du RGPD. Avant la mise en application le 25 mai 2018, du RGPD, vous deviez déclarer vos fichiers de données auprès de la CNIL. A partir de cette date ce n’est plus le cas, vous êtes maintenant obligé de tenir un registre des traitements et avez la responsabilité de la conformité de vos traitements.

De plus vos sous-traitants ont été ajoutés à la chaîne de responsabilité de la protection des données et ont eux aussi des obligations quant à la manière dont ils traitent les données que vous leur avez confiées.  

 

RGPD et droit des personnes 

Après avoir défini les termes principaux et présenté la philosophie RGPD à l’aide des principes du règlement, nous vous proposons un tour d’horizons des droits des personnes concernées. Afin de vous communiquer des informations précises, un certain nombre des éléments présent dans cette partie sont directement issu du RGPD et n’ont subi que quelques modifications facilitant la compréhension. 

 

Le droit à l'information :

Conformément à l’article 13 du chapitre 3 du RGPD relatif au droit à l’information, les personnes concernées ont le droit de demander les informations suivantes concernant les traitements effectués sur leurs données personnelles :

« a) L’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement

b) les coordonnées du délégué à la protection des données ;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d) lorsque le traitement est fondé sur la base de l’intérêt légitime : les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

e) les catégories de données personnelles traitées

f) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent ; et

g) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;


h) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;

i) l'existence d'une prise de décision automatisée, y compris un profilage et des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée. »

Vous devez donc être en mesures de communiquer l’ensemble de ces informations aux personnes concernées aux moments du recueil ou en cas de demande de leur part.

 

Droit d'accès et de rectification : 

Conformément aux articles 15 et 16 du chapitre 3 du règlement européen sur la protection des données (RGPD), les personnes concernées ont le droit d’accéder à leurs données personnelles en possession d’un responsable de traitements et d’obtenir de sa part la rectification de leurs données qui seraient incorrectes.

En fonction des finalités de traitements, ce droit permet également d’obtenir que des données incomplètes soient complétées, y compris à travers la fourniture d’une déclaration supplémentaire.

 


Droit à l'oubli :

Le droit à l’oubli ou droit à l’effacement fait référence au droit à la suppression des données personnelles.

Ainsi conformément à l’article 17 du chapitre 3 du RGPD, le droit à l’oubli peut être exercé dans les cas suivants :

- « Les données à caractères personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou sont traitées d’une autre manière.

- La personne s’oppose au traitement dans la limite de son droit d’opposition.
Les données ont fait l’objet d’un traitement illicite. Par exemple, la personne n’a pas été prévenu, le traitement n’est basé sur aucune base juridique ou les données n’étaient pas nécessaires au traitement.

- Les données doivent être effacées pour respecter une obligation légale prévue par le droit Français ou Européen.»

Ce droit ne s’applique par dans les cas où le traitement est nécessaire :

- Au respect d’une obligation légale (registre des traitements, établissement d’un contrat …)

- A des fins archivistes dans l’intérêt public, à des fins de recherche scientifique, historique ou statistique

 

Droit de limitation du traitement : 

Conformément à l’article 18 du chapitre 3 du règlement général sur la protection des données (RGPD), il est possible pour une personne concernée de demander la limitation du traitement de ses données. Tout d’abord, la limitation du traitement de données correspond au fait qu’en dehors de la conservation dans le cadre légal, ces données ne pourront plus faire l’objet d’un traitement et ce quel qu’il soit (enregistrement, consultation, chargement …).

Selon le RGPD, le droit à la limitation s’applique dans un des cas suivants :

- « La personne concernée conteste l’exactitude de ses données à caractère personnel pendant une durée permettant au responsable de vérifier leur exactitude.

- Le traitement des données est illicite et la personne s’oppose à leur effacement en exigeant à la place la limitation de leur traitement.

- Le responsable de traitement n’a plus besoin des données mais elles sont nécessaires pour la constatation, l’exercice ou la défense des droits de la personne concernée en justice.

- Durant la période nécessaire aux vérifications portant sur le point de savoir si les motifs légitimes poursuivi par le responsable du traitement prévalent sur de la personne dans le cas où elle s’est opposée au traitement de ses données. »

 

Droit d’opposition : 

D’après le RGPD, une personne concernée a le droit de « s’opposer au traitement de ses données à tout moment et pour des raisons tenant à sa situation particulière si le traitement est basé sur l’intérêt légitime poursuivis par le responsable de traitement ». Dans ce cas, le responsable du traitement « ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. »

 

Droit à la portabilité :

L’article 20 du chapitre 3 du RGPD, présente le droit à la portabilité. Ce droit permet de demander au responsable de traitement de rendre les données qui lui ont été fournies « sous un format structuré, couramment utilisé et lisible par machine ».

Attention ce droit ne concerne que les données qui ont été fournies par la personne concernée.

De plus la personne pourra communiquer librement ces données à un autre responsable de traitement.

Le droit à la portabilité ne peut être exercé que s’il n’engendre pas l’altération de principe du RGPD tel que la minimisation des délais de conservation. En d’autres termes si un responsable n’a plus l’obligation ou l’utilité de conserver des données, il ne pourra pas être contraint à fournir ces données à une personne qui les demanderais.

 

Droit de ne pas faire l'objet d'une décision individuelle automatisée

Conformément à l’article 22 du chapitre 3 du RGPD, « les personnes concernées ont le droit de ne pas faire l’objet d’une décision individuelle fondée uniquement sur un traitement automatisé, y compris le profilage pouvant l’affecter de manière significative ou produire des effets juridiques ».

Ce droit ne s’applique pas lorsque la décision :

- « Est nécessaire à la conclusion ou à l’exécution d’un contrat.

- Est autorisé par le droit du l’Union ou de la France et que celui-ci prévoit des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée.»

Vous pourrez trouver d’autres éléments plus opérationnels sur les droits des personnes dans notre article RGPD dédié.

Essai gratuit

La documentation obligatoire du RGPD

Dans le cadre du RGPD, certains documents sont obligatoires d’autres sont indirectement rendus nécessaires. Nous vous proposons donc une check liste de cette documentation de la conformité RGPD.

- Registre des traitements
- Clauses contractuelles types pour la protection des données
- Contrat sous-traitant à jour
- Analyse d’impact (si obligatoire)
- Document de recueil du consentement
- Mention d’information des personnes concernées
- Fiche de poste et curriculum vitae de votre délégué à la protection des données ou à défaut de la personne en charge du sujet.
- Attestation de déclaration du DPO auprès de l’autorité compétente (CNIL en France).
- Procédure en cas de violation des données
- Description ou procédure d’exercice du droit des personnes
- Règles et clauses contractuelles en cas de transfert en dehors de l’union Européenne
- Documentation décrivant l’encadrement des transferts de données personnelles hors UE

Certains documents ne sont pas rendus obligatoires par le RGPD mais sont vivement recommandés durant la phase de mise en conformité et afin de maintenir un niveau de sécurité conforme :

- Cartographie des accès aux données
- Politique relative à la protection des données personnelles
- Plan de reprise d’activité
- Politique d’archivage
- Procédure interne encadrant le stockage des données
- Procédure interne encadrant la mise en œuvre d’un nouveau traitement ou la modification d’une partie d’un traitement existant
- Procédure interne encadrant les transferts de fichiers contenant des données personnelles
- Et toutes autres procédures encadrant des activités récurrentes au sein de votre structure ayant attrait au traitement de données personnelle.

Cette liste n’est pas exhaustive, la liste de la documentation rendue obligatoire par le RGPD dépend bien entendu de votre situation particulière. Cependant, vous pouvez vous servir de cette check liste comme d’un base de travail. En effet, si vous pouvez cocher tous les documents présents dans cette liste, vous êtes en bonne voie de conformité RGPD.

 

RGPD et RH

Toutes les organisations et tous les secteurs d’activités sont impactés par le RGPD. Les ressources humaines n’échappent pas à cette affirmation, elles font même partie des services les plus concernées.

Alors, quel est l’impact du RGPD sur les RH ?

Il semble impossible de résumer les conséquences de cette règlementation sur la gestion du personnel en un seul impact, il s’agit en réalité de plusieurs impacts plus ou moins important et dont l’ampleur varie en fonction du contexte de l’organisation.

Cependant, nous pouvons établir une liste, une fois de plus non exhaustive de ces conséquences.

Tout d’abord la modification de la logique de conservation des données, avant le RGPD, les organisations devaient conserver au minimum les données selon les délais légaux ; après le RGPD elles doivent les conserver au maximum selon les délais légaux. Résumé en une phrase cela parait extrêmement simple : pour respecter cette obligation RGPD, il suffit donc de supprimer les données selon les délais légaux. Dans la pratique, la chose est moins aisée. Il faut tout d’abord connaître l’intégralité des délais légaux de conservation et cela peut vite devenir un casse-tête de recouper toutes les informations et de choisir le bon délai de rétention. Puis il faut trouver un moyen d’automatiser cette suppression. Imaginez pour une société de taille moyenne devoir supprimer ou anonymiser les données une par une dès que le délai est atteint. Il faudrait suivre les dates de réception des candidatures, de départ des salariés et penser à supprimer les déclarations de temps de travail … Les outils SIRH sont un début de réponse à ce case tête RGPD.

Afin que vous puissiez vérifier que les délais proposés par votre actuel prestataire ou si vous ne disposez pas d’un outil SIRH, nous vous proposons ici une synthèse de ces délais dans le cadre des ressources humaines.

 

Document

Délai de rétention

CVthèque

2 ans à compter du dernier échange avec le candidat

Registre du personnel

5 ans à compter du départ du salarié

Copie des bulletins de paye

5 ans

Données de géolocalisation

2 mois

Document concernant les contrats de travail, salaires, primes, indemnités, soldes de tout compte, régimes de retraite.

5 ans

Document relatif aux charges sociales et à la taxe sur les salaires

3 ans

Comptabilisation des jours de travail des salariés sous convention de forfait

3 ans

Comptabilisation des horaires des salariés, des heures d'astreinte et de leur compensation

1 an

Déclaration d'accident du travail auprès de la caisse primaire d'assurance maladie

5 ans

 

La complexité de la rétention des données, n’est pas la seule nouveauté apportée par le RGPD pour le monde des ressources humaines. Dans ce contexte, l’analyse d’impact est bien souvent obligatoire.

Reprenons tout d’abord les critères qui rendent l’analyse d’impact sur la vie privée obligatoire sur un traitement d’après le RGPD

- « Evaluation et profilage
- Décision automatique avec un effet légal ou similaire
- Surveillance systématique
- Collecte de données sensibles
- Collecte de données à grandes échelles
- Croisement de données
- Personnes vulnérables
- Usages innovants des données
- Exclusion du bénéfice d’un droit ou d’un contrat »

Dans tous les cas, un traitement RH concerne des personnes vulnérables. Les salariés étant soumis à un lien de subordination, ils entrent dans la catégorie des personnes vulnérables.

La CNIL recommande de réaliser une analyse d’impact pour les traitements qui remplissent au moins deux critères cités ci-dessus. Ainsi si vous traitez un grand nombre de données, ou si vous avez mis en place une surveillance systématique (vidéo surveillance, géolocalisation) dans le cadre du recrutement (possible exclusion d’un contrat) …. Il vous est fortement conseillé de réaliser une analyse d’impact sur la vie privée. Cette analyse d’impact est un élément majeur du RGPD, il vous est donc conseillé de la réaliser même si vos traitements ne remplissent qu’un seul des critères.

Un dernier point vient impacter les traitements de données personnelles dans le cadre de la gestion des ressources humaines, le droit à la portabilité. Comme nous l’avons présenté dans la partie dédiée aux droits des personnes d’après le RGPD, le droit à la portabilité, permet à un salarié de demander à récupérer les données qu’il vous a fourni sous un format lisible par tous. Il peut également vous demander de transférer ces données directement à un autre responsable de traitement (nouvel employeur par exemple).

Vous devrez également intégrer vos traitements RH dans la documentation obligatoire RGPD et serez soumis aux autres obligations (recueil du consentement, développement des mentions d’information, respect du droit des personnes…).

Le RGPD à l'international

Pour aborder le point du RGPD en dehors des frontières Européennes, il est nécessaire de revenir au périmètre de ce texte. Le RGPD concerne toutes les organisations dont l’établissement principal (siège) est situé dans l’Union Européenne. Cette partie est évidente, la suite l’est un peu moins, le RGPD régit les traitements réalisés par des organisations internationales, dont l’établissement principal peut être situé hors UE mais qui traitent des données de citoyens européens.

Ainsi le RGPD ne se limite pas aux frontières européennes et peu parfois être en conflit ou en opposition à la législation en vigueur dans les pays accueillant l’établissement principal de l’organisation. 

Au-delà de ce périmètre, le RGPD encadre les transferts de données en dehors de l’Union Européenne. Nous ne reprendrons pas la documentation nécessaire pour encadrer ces transferts, cependant nous allons aborder des exceptions.

Certains pays sont considérés comme adéquat (Argentine et Uruguay) les transferts de données ne nécessitent alors pas d’encadrement spécifique.

D’autres pays présentent une adéquation partielle au RGPD, dans ce cas-là, il sera nécessaire d’encadrer les traitements seulement dans certaines conditions. Par exemple, les Etats Unis sont partiellement adéquat au RGPD, seuls les transferts avec des organisations n’ayant pas adhéré au Privacy Shield doivent être encadrés. Un autre exemple est le Canada, les transferts dans le cadre d’activités commerciales sont couverts par la loi PIPEDA et ne nécessite pas d’encadrement spécifique.

Vous pourrez retrouver une carte vous permettant de connaître l’adéquation au RGPD des pays vers lesquels vous transférez des données personnelles : https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde

Essai gratuit


Pour en savoir plus sur le RGPD, téléchargez ces livres blancs gratuitement : 

- RGPD et droit d'information : comment informer mes collaborateurs ?

- RGPD - Comment mettre en place la politique interne pour la protection des données personnelles ? 

- RGPD - Comment définir la base juridique de mes traitements ?