Transferts de données personnelles : mise à jour des outils
RGPD : évolutions de certains outils à disposition des professionnels
Les professionnels sont autorisés par le Règlement général pour la protection des données (RGPD) à procéder à des transferts, entre eux, des données personnelles qu’ils traitent. Cependant, cela ne peut pas se faire dans n’importe quelles conditions.
Entre autres prérequis, il faut évidemment que le traitement soit autorisé par la loi et que la personne concernée soit informée. Mais il faut aussi s’assurer que ce transfert puisse se faire en toute sécurité, notamment lorsque le destinataire des données se trouve dans un pays situé hors de l’Union européenne.
Des outils existent justement pour permettre aux professionnels de garantir qu’un niveau de sécurité suffisant est atteint au regard du RGPD et ce, que le transfert se fasse auprès d’une société d’un même groupe ou d’une société tierce.
Les Binding corporate rules (BCR) ou « règles d’entreprises contraignantes » peuvent ainsi être utilisées par un groupement d’entreprises engagées dans une activité économique commune, une fois approuvées par le Comité européen de la protection des données (CEPD). Ces règles permettent aux entreprises du groupe de transférer des données entre elles avec l’assurance, pour les personnes concernées, qu’une sécurité équivalente aux règles du RGPD est respectée.
Depuis 2018, le CEPD met à disposition des recommandations relatives aux contenus des BCR et à leur procédure d’approbation, permettant aux professionnels souhaitant passer le cap, de bénéficier d’un référentiel des bonnes pratiques.
Depuis le 14 novembre 2022, ces recommandations ont été mises à jour et regroupées en un seul document.
Une autre évolution importante en la matière concerne les clauses contractuelles types (CCT). Ces clauses, qui sont des modèles de clauses types permettant d’établir un niveau de sécurité suffisant entre des cocontractants ne relevant pas d’un même groupe, ont été mises à jour en juin 2021.
Depuis le 27 décembre 2022, il n’est plus possible d’utiliser les anciennes CCT. Seules celles adoptées en 2021 sont désormais valables.
- Actualité de la CNIL du 20 décembre 2022 : « Le CEPD met à jour le référentiel BCR « responsable de traitement » »
- Actualité de la CNIL du 21 décembre 2022 : « Transfert de données hors UE : les anciennes clauses contractuelles types (CCT) ne sont plus valables »