L’application de la Règlementation Générale de Protection des données s’arrête-t-elle aux portes de l’Union Européenne ?

Rédigé par un expert ITrust.

La nouvelle règlementation européenne en matière de protection des données personnelles est entrée en application le 25 mai 2018. Presque un an plus tard, on refait le point sur ce qui était attendu…

Les entreprises multinationales se penchent sur la question de ce règlement et se trouvent rapidement confrontées à la question suivante : l’application de la RGPD s’arrête-t-elle aux portes de l’Union Européenne ?

Si ces sociétés traitent ou sous-traitent des données personnelles et qu’elles en transfèrent en dehors de l’Union Européenne, elles se doivent d’encadrer ces transferts avec des outils assurant un niveau de protection suffisant et approprié des personnes concernées.

Attendez deux minutes : mais… qu’est-ce que c’est ?

Les données personnelles correspondent à toute donnée qui permet d’identifier directement ou indirectement une personne physique. Par exemple, ce peut être un prénom, une adresse, un numéro de contrat, etc.

Le traitement d’une donnée personnelle constitue toute opération sur une donnée de ce type. On citera par exemple l’enregistrement, le transfert, la modification et le rapprochement de données à caractère personnel.

Les entreprises qui déterminent les buts et les méthodes utilisés pour traiter un fichier contenant des données personnelles obtiennent le statut de « responsables de traitement ».

La plupart des entreprises sont responsables de traitement, puisqu’elles collectent par exemple les données des salariés qu’elles emploient au travers d’un fichier RH.

Maintenant que les notions primordiales du RGPD ont été abordées (données personnelles, traitement de donnée, responsable de traitement), attelons-nous à la question centrale de cet article : l’application du Règlement Général de Protection des Données (RGPD) s’arrête-t-elle aux portes de l’Union Européenne ?

La réponse est simple… Dans les cas suivants, la RGPD est applicable aux données personnelles, même en dehors de l’Union Européenne :

  • Je suis un responsable de traitement ou un sous-traitant
  • Je transfère des données personnelles en dehors de l’Union Européenne
    • Conséquence 1 : ces transferts doivent être encadrés par des règles strictes
    • Conséquence 2 : ces données personnelles sont soumises au droit de l’Union lors du transfert mais aussi lors des traitements ultérieurs de ces données.

Les transferts de données personnelles doivent être encadrés par des règles strictes

La règlementation de la protection des données personnelles européenne possède des particularités en matière de transfert international de ces données. Le transfert de données personnelles au sein de l’Espace Économique Européen est accepté par l’Union Européenne. Cependant, il est interdit de transférer des données de ce type en dehors des pays membres, sauf si le pays ou l’entreprise qui importe les données montre qu’il a un niveau de protection suffisant pour protéger les données reçues.

Pour que le pays ou l’entreprise garantisse un niveau de protection adéquat, plusieurs possibilités sont offertes :

  • la déclaration par la Commission Européenne que l’État possède les garanties suffisantes,
  • les clauses contractuelles types,
  • ou les règles d’entreprises contraignantes (aussi appelées Binding Corporate Rules).

Pays déclarés par la Commission Européenne comme disposant d’un niveau de protection des données personnelles suffisant.

Aujourd’hui, onze pays situés en dehors de l’Union Européenne ont été considérés par la Commission Européenne comme garantissant un niveau de protection suffisant. On notera parmi eux l’Argentine, le Canada, la Nouvelle Zélande, la Suisse et l’Uruguay.

Clauses contractuelles types de la Commission Européenne.

Les clauses contractuelles types sont des modèles de contrats créés par la Commission Européenne pour mettre en place des transferts de données personnelles en dehors de l’Union Européenne. Les clauses contractuelles types peuvent être mises en place entre responsables de traitement ou entre un responsable de traitement et un sous-traitant. L’avantage de la mise en place de ces clauses est de faciliter une conformité à la règlementation européenne quasiment immédiate. Cependant, chaque transfert de données doit être cartographié et faire l’objet d’un contrat. Ainsi, si une entreprise transfère des données personnelles à dix implantations au Brésil, cinq implémentations en Inde et vingt-trois au Vietnam, trente-huit contrats doivent être réalisés sur la base des clauses contractuelles types de la Commission Européenne. Il est donc possible d’utiliser ces clauses lorsque peu de transfert de données est nécessaire ou au début de la mise en conformité d’une entreprise à la règlementation européenne.

La CNIL, sur son site internet, précise d’ailleurs que les clauses contractuelles types sont les outils les plus opérationnels à court terme. Cependant, si l’entreprise effectue de nombreux transferts vers des pays dont le niveau de garantie n’est pas considéré comme suffisant en matière de protection des données personnelles, alors elle a tout intérêt à mettre en place le dernier outil de transfert des données en toute protection : les Binding Corporate Rules.

Binding Corporate Rules.

Les Binding Corporate Rules (BCR) sont un code de conduite interne à l’entreprise qui lui permet de transférer en toute légalité des données personnelles au sein des entités de son entreprise, quelles que soient leurs implantations géographiques.

La mise en place de ces BCR constitue un projet d’entreprise à part entière puisqu’il nécessite un investissement très important. L’entreprise doit rédiger ses BCR, puis désigner une autorité chef de file. Cela signifie qu’elle doit nommer une autorité nationale de protection des données personnelles, (la CNIL par exemple en France) comme autorité chef de file. La CNIL précise qu’il y a un accusé/réception des BCR par les autorités en reconnaissance mutuelle. Cela signifie que certaines autorités nationales de protection des données personnelles se sont mises d’accord sur le fait que si une autre autorité désignée acceptait les BCR, alors les autres autorités reconnaissaient automatiquement la validité des BCR validées.

La mise en place de BCR est ainsi un processus long et complexe, nécessitant un réel investissement de la part de l’entreprise qui s’engage dans cette démarche.