Alerte RGPD de CRANIUM : préparez-vous aux nouvelles CCT et évitez les amendes !

La période de transition pour la mise en œuvre des nouvelles CCT pour les transferts de données expire le 27/12

Bruxelles, le 30 novembre 2022 - CRANIUM, le spécialiste belge qui assiste les organisations en toute matière de protection, sécurité et gestion des données, avertit les entreprises et organisations quant aux nouvelles Clauses Contractuelles Types (CCT) pour les transferts de données entre les pays conformes au RGPD et ceux qui ne le sont pas. La période de transition pour la mise en œuvre de ces nouvelles clauses, fixée par la Commission européenne en juin 2021, expire le 27 décembre.

Audrey Malaise, privacy consultant chez CRANIUM
Audrey Malaise, privacy consultant chez CRANIUM

Votre organisation utilise-t-elle un fournisseur basé aux États-Unis comme Mailchimp, Hubspot, Microsoft, Google, Slack ou Jira (Atlassian) ? Travaillez-vous via Teams avec vos collègues ? Votre service d'assistance est-il situé en Asie ? Utilisez-vous Google Analytics sur votre site Web ? Ou peut-être votre fournisseur de cloud est-il situé en dehors de l'Espace économique européen ? Si la réponse à l’une de ces questions est oui, il y est question de transferts internationaux de données. Et, pour ces transferts, de nouvelles clauses contractuelles types doivent être utilisées à partir du 27 décembre, selon la décision de la Commission Européenne.

Transferts internationaux de données : quid ?

Depuis 2018, un transfert de données à caractère personnel au sein de l'Espace économique européen (EEE) doit suivre les règles du RGPD. Aucune mesure supplémentaire n’est alors nécessaire. Il en va de même pour une liste de pays considérés par la Commission européenne comme offrant un niveau de protection adéquat au regard du RGPD. Cette liste inclut l’Andorre, l’Argentine, le Canada (organisation commerciale), les Îles Féroé, le Guernesey, Israël, l’Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni (sous le RGPD et la LED), et l'Uruguay.

Si par contre le traitement a lieu (en partie) en dehors de l'EEE ou de ces pays conformes au RGPD, comme c'est souvent le cas pour un service d'assistance, une équipe de support, de débogage, un centre d'appels, un service d'escalade des problèmes et ainsi de suite, il est considéré comme un transfert international de données. Des mesures supplémentaires sont alors requises.

Le mécanisme le plus utilisé pour ces transferts internationaux est l'intégration de Clauses Contractuelles Types ou CCT dans les contrats. Ces clauses prescrivent les mesures que l'exportateur et l'importateur de données doivent prendre pour assurer un niveau de protection adéquat. Afin de se conformer au RGPD, ces CCT ont été modifiées l’année dernière.

Aujourd'hui au niveau mondial, très peu d'organisations traitent l’entièreté de leurs données personnelles dans le pays dans lequel elles sont établies. Et, même si elles le font, il y a de fortes chances que leurs sous-traitants ne le fassent pas, et qu’il y ait donc des transferts de données vers des pays qui ne sont pas conformes au RGPD. Cependant, de nombreuses entreprises et organisations ne savent pas que les clauses contractuelles types (CCT), généralement utilisées pour ces transferts, ont été modifiées par la Commission européenne l'année dernière et ne seront donc plus en vigueur à l'expiration de la période de transition, le 27 décembre”, déclare Audrey Malaise, privacy consultant chez CRANIUM.

Éviter les amendes

Afin d’éviter les amendes, les entreprises et les organisations doivent mettre en œuvre ces clauses modernisées pour tous les transferts de données entre les pays soumis au RGPD et les pays n’ayant pas reçu de décision d’adéquation au sens du RGPD.

Voici les différentes étapes à suivre.


ÉTAPE 1 : Évaluez vos transferts internationaux de données

Dans la première étape, il s’agit d'identifier les cas concernés. Il est question d’un transfert international de données lorsque :

  • Vos fournisseurs ont accès à des données personnelles provenant de l'extérieur de l'EEE ;
  • Vous avez des filiales étrangères (situées en dehors de l'EEE) qui ont accès aux données personnelles ;
  • Vous envoyez des données à caractère personnel à des clients situés en dehors de l'EEE ou vous en recevez de leur part ;
  • Le fournisseur, la société affiliée étrangère et/ou le client sont situés dans un pays en dehors de l'EEE qui ne fournit pas un niveau de protection adéquat. ​ 

Si tel est le cas, vous êtes tenu de vous assurer que les mesures appropriées sont prises pour rester en conformité. 


ÉTAPE 2 : Mettez à jour vos contrats

Contactez tous vos fournisseurs, affiliés et/ou clients en dehors de l'EEE ou des pays conformes au RGPD pour mettre à jour les contrats avec les clauses modernisées.


ÉTAPE 3 : Réalisez une évaluation de l'impact des transferts ou TIA

Inclure les nouvelles CCT dans vos contrats ne suffit pas pour se conformer au RGPD : des analyses d'impact sur le transfert ou Transfer Impact Assessment (TIA) sont requises pour toutes les activités de traitement ayant lieu en dehors de l'EEE. Ces évaluations ont pour but d'évaluer le niveau de protection du transfert et de déterminer si l'utilisation d'un mécanisme de transfert (notamment les CCT) est suffisante.

Mieux vaut prévenir que payer

Faute de mesures appropriées, des enquêtes peuvent être ouvertes par les autorités de surveillance, ce qui, comme toute autre violation, peut entraîner des amendes salées - il suffit de penser aux 400 millions de pénalités infligés à Instagram en Irlande au début de cette année. Un autre risque potentiel concerne votre réputation et vos relations commerciales. La protection de la vie privée fait l'objet d'une attention croissante dans le débat public, et la négligence à cet égard aura des répercussions négatives sur votre organisation. C'est une autre raison pour laquelle il est conseillé de mettre à jour vos CCT”, conclut Audrey Malaise, privacy consultant chez CRANIUM.

 

À propos de CRANIUM

CRANIUM est une ​​organisation internationale de conseil spécialisée dans la vie privée, la sécurité et la gestion des données, fondée en Belgique en 2016. En fournissant des solutions “end to end” aux petites, moyennes et grandes entreprises pour gérer, protéger et sécuriser leurs données privées, l’équipe multidisciplinaire de la scale-up aide ses clients à maintenir la continuité de leurs activités et à générer de la valeur. En outre, ils aident leurs clients à se conformer aux différentes lois sur la protection de la vie privée. Grâce à un large éventail de solutions et à une approche globale des données, CRANIUM contribue à un monde plus (cyber)sûr.

Depuis sa création en 2016, le spécialiste de la protection des données est devenu une équipe de plus de 75 consultants de différents horizons, dont des juristes et profils spécialisés en informatique. Ensemble, ils ont travaillé sur plus de 1 500 projets pour 750 clients (inter)nationaux depuis leurs bureaux en Belgique, aux Pays-Bas, au Luxembourg.

Charlotte Bourguignon

Communications & Marketing Officer, CRANIUM
Paul Geens

Paul Geens

PR consultant, Evoke

Recevez des mises à jour par e-mail

En cliquant sur « S'abonner », je confirme avoir lu et accepté la Politique de confidentialité.

À propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Contact

Witte Patersstraat 4 1040 Brussel

+32 486 42 90 91

[email protected]

www.evokepr.be