Responsables de traitement : comment identifier et traiter des transferts de données hors UE ?
À la suite de la décision de la Cour de justice de l'Union européenne dite « Schrems II », chaque organisme doit vérifier la légalité des transferts de données personnelles hors de l’Union européenne et notamment les éventuels transferts vers les États-Unis.
La méthode proposée ci-dessous par la CNIL n’est donnée qu’à titre indicatif, afin d’aider les responsables de traitement à identifier et traiter les transferts de données personnelles hors UE.
-
Recensez les transferts de données personnelles liés à vos outils numériques
Le recensement doit permettre de mettre en évidence les éventuels transferts de données personnelles hors de l'Union européenne réalisés dans le cadre de vos activités métier (orientées clients/usagers) et de vos fonctions support.
Personnes concernées :
- votre délégué(e) à la protection des données (si vous en avez désigné un) ou votre référent(e) données personnelles, qui dispose notamment des informations portées dans votre registre RGPD ;
- votre direction des systèmes d’information, qui dispose de la documentation et de la connaissance technique sur le fonctionnement des outils numériques ;
- votre direction des achats ;
- les responsables opérationnels des différents services ;
- vos prestataires numériques pour préciser le périmètre des éventuels transferts.
Vérifiez vos outils numériques (volet technique)
Vérifiez vos contrats (volet juridique)
Complétez ou constituez votre outil de suivi des transferts hors UE
-
Définissez un plan d’action
Déterminez la criticité pour votre organisation
Pour pouvoir prioriser les actions à conduire, évaluez plus finement les risques pesant sur votre activité en tenant compte notamment des critères suivants :
- risques liés aux données personnelles, notamment si les flux portent sur des données sensibles : impact sur les personnes concernées (tiers ou employés) ;
- risques sur la disponibilité et la sécurité de votre système d’information : impact opérationnel sur le métier et le fonctionnement de l’organisme, impact sur des tiers (clients, fournisseurs, prestataires, partenaires), impact sur la sécurité du système ;
- risque d’image associé.
Évaluez si les transferts disposent d’une base légale et les solutions envisageables
En particulier, il sera nécessaire :
- d’identifier l’encadrement des transferts et les outils de transferts mis en place ;
- d’évaluer l’efficacité de l’outil utilisé par rapport à la législation du pays vers lequel vous transférez les données. Dans le cas où l’efficacité de l’outil est susceptible d’être diminuée du fait de l’application de la législation du pays tiers, vous devez envisager la mise en place de mesures additionnelles ;
- en fonction de votre analyse juridique et de l’évaluation des risques conduite, 3 options s’offriront à vous :
- Poursuivre les transferts de données hors UE.
- Poursuivre les transferts hors UE en définissant de nouvelles garanties :
- mesures techniques complémentaires (ex. : chiffrement, pseudonymisation, etc.) ;
- mesures contractuelles complémentaires (ajout de clauses validées par le CEPD dans vos contrats, révision des conventions art. 28 RGPD avec vos sous-traitants, etc.) ;
- mesures organisationnelles complémentaires (sensibilisation des équipes, documentation interne, etc.).
- Mettre fin aux transferts sans base légale et redéfinir votre politique de gestion de données.
Faites valider les solutions dégagées par le responsable de votre organisation et assurez un suivi
- Soumettez votre analyse et votre plan d’action (actions immédiates, actions de moyen et long termes) au responsable de votre organisation.
Votre plan doit préciser les priorités d’action identifiées, en fonction de la criticité évaluée et des ressources que vous pouvez mobiliser.
- Mettez en place une revue régulière de vos flux hors UE et de leur légalité
Dans ce cadre, documentez les analyses des législations qui sont le cas échéant faites par votre organisation, ainsi que les mesures mises en place. Cette documentation devra être revue et ré-évaluée régulièrement, en particulier à l’occasion de chaque nouvel achat de service ou d’équipement numérique, pour vérifier notamment :
- si vos transferts ont évolué (nouveaux prestataires, nouvelle structure de votre organisme ou au contraire résiliation de contrats, etc.) ;
- si la législation du pays tiers a évolué.
Pour vous aider : la carte de la protection des données dans le monde.