RGPD : Principe d’Accountability & transfert de données

L’avènement du RGPD le 25 mai 2018, oblige les entreprises à mettre en oeuvre notamment le principe d’Accountability et de respecter les cadres juridiques pour l’envoi de données en pays-tiers.

Nous faisons aujourd’hui le focus sur ces  2 points essentiels du RGPD pour votre conformité.

Le principe d’Accountability

Dans le cadre de la conformité au RGPD, obligation est donnée au Responsable de Traitement (l’entreprise qui traite des données personnelles), de documenter sa conformité, pour être en mesure de la démontrer, via les documents suivants, pour conserver les traces
des actions entreprises :

– Le registre des traitements de données à caractère personnel
– Les documents contractuels des relations avec les tiers (fournisseurs, sous-traitants…)
– Les supports de sensibilisation et de formation des manipulateurs de données
– Les procédures de traitements de données
– Les labels de conformité obtenus
– Les audits de traitements de données
– Le statut, la formation et la lettre de mission du DPO (Délégué à la Protection des Données)
– Les documents garantissant les droits des personnes
– Les mentions d’informations obligatoires & recueil du consentement
– Les études d’impact sur la Vie Privée dites EIVP ou PIA
– Les politiques et procédures liées à la sécurité des données

Le transfert de données en pays tiers

Un transfert de données à caractère personnel, pour y subir par la suite un traitement, « ne peut avoir lieu que si, sous réserve des autres
dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le
sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ d’un pays tiers ou de l’organisation
internationale vers un autre pays tiers ou à une autre organisation internationale […] ».

chapitre 5 Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales.

Les différents cadres juridiques

1. Au sein de l’UE et de l’EEE, les transferts sont possibles
2. En dehors de l’UE, si le pays dispose d’un accord adéquation avec l’UE
3. Les modèles de contrats-types transfert de données en pays tiers :
protection contractuelle dans un pays sans législation
4. Les Binding Corporate Rules : transfert de données au sein d’un
groupe d’entreprises, via un contrat
5. L’Accord Privacy Shield framework entre l’UE et les USA.
Les entreprises signataires s’engagent à respecter le RGPD

En l’absence d’un cadre juridique, ou du consentement explicite, le transfert est possible si le traitement est nécessaire pour :

– l’exécution d’un contrat, ou la mise en oeuvre de mesures pré-contractuelles pour la personne concernée
– la conclusion ou l’exécution d’un contrat conclu dans l’intérêt de la personne
– des motifs importants d’intérêt public
– la constatation, à l’exercice ou à la défense de droits en justice
– la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne

 

 

0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *