Sans le savoir, vous réalisez sûrement de nombreux transferts de données vers l’international. Soyez prudent ! 

Ils ne sont sûrement pas conformes. 

Négliger cette conformité, c’est s’exposer à des conséquences significatives :

• passer à côté d’opportunités contractuelles immanquables 

• repousser des clients soucieux de la sécurité de leurs données
• contribuer soi-même à  sa mauvaise réputation

Mon Expert RGPD vous aide à ne pas passer à côté de ces opportunités.

Mais déjà, c’est quoi un transfert de données ? 

Un transfert de données, selon le RGPD, c’est lorsque des données personnelles, telles que le nom, prénom ou adresse mail de citoyens européens sont envoyés à un destinataire tiers.  

Lorsque ce transfert s’opère vers des organismes situés en dehors de l’Union Européenne,  des règles particulières s’imposent.

Ces organismes étant situés en dehors de l’Union Européenne, ils ne sont pas soumis au RGPD. Et cela crée des incertitudes quant au niveau de protection qui sera accordé aux données. 

En effet, chaque pays tiers dispose de sa propre réglementation en matière de données personnelles. Celles-ci peuvent présenter des niveaux de protection inférieurs à ceux prévus par le RGPD. 

Mais les transferts de données hors UE ne sont pas strictement prohibés. Ils peuvent être réalisés, mais selon certaines conditions. 

Les types de transferts fréquemment réalisés 

Les transferts de données peuvent prendre plusieurs formes. Qu’ils soient réalisés dans le cadre d’un contrat conclu entre deux organismes, ou dans l’utilisation d’une plateforme ou d’un service hébergé en dehors de l’Union Européenne, un transfert de données personnelles est réalisé, et doit de ce simple fait être conforme au RGPD. 

Parmi les transferts les plus fréquemments réalisés par les TPE/PME, on retrouve : 

• Les transferts opérés avec des sous-traitants : Très souvent, les TPE/PME n’ont pas une vision claire de ce qu’inclut la notion de sous-traitant selon le RGPD. Un sous-traitant, c’est une personne (ou une entité) qui gère des données pour le compte d’une autre personne (entité). Toute personne amenée à gérer des données selon vos directives, que ce soit un fournisseur, une agence marketing, un comptable, un avocat, un informaticien… est considérée comme un sous-traitant, ce qui implique qu’un transfert de données est opéré si celui-ci est en dehors de l’UE ! 

• Les transferts opérés lors de l’utilisation de services de stockage en ligne, hébergement, logiciels : L’utilisation de services cloud ou de solutions de stockage externe peut impliquer des transferts de données hors UE, en fonction de leur localisation. L’utilisation de logiciels également : un logiciel de gestion peut être considéré comme un sous-traitant, et impliqué de ce fait un transfert de données. 

• Les transferts opérés avec un client situé dans un pays non soumis à l’application du RGPD : Il est possible que certains de vos clients soient dans des pays non soumis au RGPD. C’est le cas de la Suisse par exemple. Dans ce cas, un transfert de données personnelles hors UE est réalisé. Mais pas de panique ! La Suisse bénéficie d’une décision d’adéquation. En effet, l’Union Européenne a déterminé que la réglementation suisse en matière de données personnelles (LPD) offrait une protection équivalente (ou du moins adéquate) à celle prévue par le RGPD. De ce fait, les transferts vers la Suisse sont autorisés ! 

Cet article pourrait également vous intéresser : Sécurisez Votre Levée de Fonds avec le RGPD : Les bonnes pratiques.

9 conseils pour organiser vos transferts de données

Maintenant que vous avez acquis une compréhension des transferts de données, découvrez nos 9 conseils pour mieux organiser vos transferts de données, selon les règles dictées par le RGPD. 

1. Cartographier les transferts : Identifiez l’ensemble des transferts que votre organisme réalise (vous pouvez vous aider des exemples mentionnés ci-dessus !).

2. Étudier les transferts : Une fois vos transferts identifiés, déterminez quels transferts sont les plus à risques, quels transferts sont utiles, quels traitements et quelles données sont concernés par ces transferts, quelles mesures de sécurité sont mises en place, etc. 

3. Déterminer / évaluer les bases légales : Assurez-vous que chaque transfert est justifié par une base légale appropriée (consentement, contrat, intérêt légitime, obligation légale…).

4. Informer et renseigner : Vérifiez que tous vos transferts soient correctement identifiés et renseignés dans vos fiches de traitement. En cas de transfert hors UE, veillez à ce que les personnes concernées par ces transferts en soient averties. 

5. Privilégier la sécurité  : Revoyez et adaptez régulièrement les mesures de sécurité appliquées lors des transferts, afin de protéger les données personnelles des personnes concernées.

Cet article pourrait vous intéresser : RGPD : Des Mesures Pratiques pour la Sécurité de vos Appareils Mobiles.

6. Avoir une documentation adaptée : Vérifiez si l’ensemble de vos contrats contiennent les clauses contractuelles appropriées pour vos transferts de données. Veillez également à avoir la documentation adaptée (Data Processing Agreement) en cas de transfert hors UE. 

7. Former ses collaborateurs : Sensibilisez votre équipe aux règles du RGPD et aux bonnes pratiques à réaliser lors de ces transferts de données.

8. Faire des audits réguliers : Effectuez des vérifications périodiques des transferts réalisés.

9. Tenir une documentation actualisée : Veillez à mettre à jour précisément vos transferts de données.