Le groupe de l’article 29 attend la communication du Privacy Shield
Le groupe de l’article 29 a accueilli favorablement la conclusion de l’accord « EU-US Privacy Shield ».
Flux transfrontières
Etat des lieux sur l’invalidation du Safe Harbor par la CJUE
La Cour de justice de l’Union européenne (CJUE) a invalidé le mécanisme d’adéquation « Safe Harbor », le 6 octobre 2015 (1).
Données personnelles : invalidation de l’accord Safe Harbor
La Cour de justice européenne a invalidé, par décision du 6 octobre 2015, le mécanisme d’adéquation « Safe Harbor ».
Lettre Juristendances Informatique et libertés 65-2015
L’édito de la Lettre juristendances porte sur la décision de la CJUE invalidant le mécanisme d’adéquation « Safe Harbor ».
Cnil : simplification des formalités liées aux flux transfrontières
La Cnil annonce une simplification des formalités pour les multinationales qui mettent en œuvre des flux transfrontières
Niveau de protection des données en Nouvelle-Zélande
Niveau de protection des données en Nouvelle-Zélande. Sur le fondement de l’article 25 §6 de la directive 95/46/CE, la
Nouveau dispositif encadrant les flux transfrontières Asie-Pacifique
Un nouveau dispositif encadre les flux transfrontières avec l’Asie-Pacifique. Les 21 Etats membres de l’APEC (Forum de Coopération économique pour l’Asie-Pacifique),
Flux transfrontières, Informatique et libertés
Israël devient pays adéquat pour le transfert de données
Par décision du 31 janvier 2011 (1), la Commission européenne a reconnu à l’Etat d’Israël un niveau de protection adéquat pour les transferts de données à caractère personnel en dehors de l’Union européenne. Rappelons qu’aucune restriction ne peut être émise sur des flux transfrontières de données à caractère personnel effectués au sein de l’Union européenne. En revanche, est en principe interdit un tel transfert de données vers un Etat destinataire situé en dehors de l’Union européenne (2), à moins que cet Etat destinataire se soit vu reconnaître un niveau de protection adéquat des données personnelles par la Commission européenne (3).
Flux transfrontières, Informatique et libertés
Guide Cnil sur les transferts internationaux de données
La globalisation des échanges et l’utilisation croissante des nouvelles technologies ont conduit à une augmentation des transferts de données à caractère personnel en dehors de l’Union européenne. Prenant acte de cette évolution, la Cnil a publié, en septembre 2010, un nouveau guide dédié aux transferts de données à caractère personnel vers des pays tiers à l’Union.
Flux transfrontières, Informatique et libertés
Les conditions d’application des clauses contractuelles types
Le groupe de travail de l’article 29 a adopté, le 12 juillet 2010, un document apportant d’utiles précisions quant à l’application des clauses contractuelles types issues de la décision 2010/87/UE du 5 février 2010. En particulier, il rappelle le principe selon lequel les clauses contractuelles type sont inapplicables dans la situation dans laquelle le responsable et le sous-traitant sont établis dans l’EEE
Flux transfrontières, Informatique et libertés
Adoption par la Commission européenne de nouvelles clauses contractuelles types
Informatique et libertés Flux transfrontières Flux transfrontières : de nouvelles clauses contractuelles types La Commission européenne a adopté, le 5 février 2010, de nouvelles clauses contractuelles permettant d’encadrer les flux transfrontières de données à caractère personnel vers des sous-traitants établis dans un pays n’offrant pas un niveau de protection adéquat. En permettant d’encadrer les transferts de « sous-traitant » vers « sous-traitant », les nouvelles clauses, prennent mieux en compte le recours croissant à l’externalisation et au « cloud computing » (littéralement, informatique dans les nuages). Ces nouvelles clauses remplaceront, à compter du 15 mai 2010, les clauses contractuelles types résultant de la décision 2002/16/CE du 27 décembre 2001. Aux termes de ces clauses un sous-traitant qui souhaite à son tour sous-traiter le traitement des données à caractère personnel devra au préalable obtenir l’accord écrit de l’exportateur pour le compte duquel les données sont transférées hors Union européenne. Par ailleurs, le contrat conclu entre le sous-traitant initial et le sous-traitant ultérieur devra imposer à ce dernier les mêmes obligations que celles auxquelles le sous-traitant initial est soumis. Un audit des contrats de sous-traitance devra donc être réalisé afin d’assurer, le cas échéant, leur mise en conformité à ces nouvelles dispositions. De même, un avenant aux conventions de flux transfrontières conclues avec des sous-traitants avant le 15 mai 2010 devra être rédigé, afin de prendre en compte le cas d’une sous-traitance ultérieure effectuée dans un pays tiers. Décision 2010/87/UE de la Commission européenne du 5 février 2010
Flux transfrontières, Informatique et libertés
Les règles internes de flux transfrontières intra groupe
Informatique et libertés Flux transfrontières Etablir des règles internes de flux transfrontières intra groupe : le G29 prescrit des règles Pour aider les entreprises à établir des règles internes d’entreprise contraignantes (BCR ou Binding Corporate Rules) conformes aux exigences européennes, le groupe de travail « article 29 », organe consultatif européen indépendant sur la protection des données et de la vie privée, a publié, le 24 juin 2008, deux documents de travail récapitulant l’ensemble des obligations leur incombant. Le premier document de travail WP 153 est un tableau récapitulatif permettant de visualiser les informations qui doivent impérativement figurer dans les règles internes (BCR) et les informations qui doivent être transmises à l’autorité compétente en matière de protection des données en vue de l’approbation des règles internes, à savoir la Cnil. Le second document de travail WP 154, présente le squelette de règles internes (BCR) qui pourraient être adoptées au regard de l’ensemble des informations impératives présentées dans le premier document. Les BCR devront être adaptées afin de prendre en compte la structure du groupe auquel elles s’appliquent, les opérations de traitement que les filiales effectuent et les politiques et procédures qu’elles mettent en oeuvre pour protéger les données à caractère personnel. Document de travail WP 153 du 24 juin 2008 Document de travail WP 154 du 24 juin 2008 (Mise en ligne Novembre 2008)
Flux transfrontières, Informatique et libertés
L’outsourcing de données à caractère personnel
Informatique et libertés Flux transfrontières Une nouvelle clause pour encadrer l’« outsourcing » de données à caractère personnel Les transferts internationaux de données à caractère personnel hors de l’Union européenne ou vers des pays n’ayant pas fait l’objet d’une reconnaissance par la Commission européenne d’une protection adéquate, nécessitent un encadrement spécifique. Sont notamment concernés le recours à un centre d’appels étranger avec transfert du fichier correspondant pour réaliser les opérations de prospection ou encore la centralisation d’une base de données CRM ou RH. De tels flux doivent faire l’objet d’une autorisation de la Cnil, qui demande à ce titre la conclusion d’une convention de flux de transfert de données, établie à partie de clauses contractuelles types élaborées par la Commission européenne (1). Confronté au phénomène croissant de l’externalisation des données personnelles vers des pays tiers, le G 29 (Groupe de l’article 29) a constaté que les sous-traitants procédaient eux-mêmes à des transferts ultérieurs des données vers des « sous-sous-traitants » établis hors de l’Union européenne. Or, les clauses contractuelles types ne prévoient pas de tels transferts complexes. Cette situation est particulièrement dangereuse lorsque des données sensibles sont transférées. Par conséquent, la Commission européenne (2) propose d’insérer dans les clauses contractuelles types une clause « sous-traitance » qui imposerait : d’obtenir le consentement préalable écrit de l’exportateur de données ; d’effectuer le traitement pour le compte de l’exportateur selon ses instructions ; de conclure un contrat écrit avec le sous-traitant mettant à la charge de ce dernier les mêmes obligations que celles mises à la charge de l’importateur des données. Par ailleurs, lorsque le sous-traitant manque à ses obligations en matière de protection des données, conformément au contrat écrit, l’importateur de données assume l’entière responsabilité à l’égard de l’exportateur. La décision finale de la Commission ne devrait pas être prise avant plusieurs mois, mais il est recommandé d’adapter les conventions déjà conclues. (1) Clauses contractuelles types 2002/16/CE (2) G29 WP 161 Avis 3/2009 du 5 mars 2009 Paru dans la JTIT n°88/2009 p.7 (Mise en ligne Mai 2009)
Flux transfrontières, Informatique et libertés
Les flux transfrontières de données personnelles
Informatique et libertés Flux transfrontières Les flux transfrontières de données personnelles La loi Informatique et libertés impose une réglementation stricte pour l’exportation des données à caractère personnel hors Union européenne dans les pays n’ayant pas une protection suffisante. Or, il existe de nombreuses situations susceptibles de générer des transferts internationaux de données et dont il faut tenir compte lors de la déclaration de traitement et surtout, de son exploitation. Des entreprises françaises qui communiquent avec des partenaires, des sociétés filiales ou mères ou qui ont des activités situées hors de l’Union européenne sont des situations dans lesquelles se produiront des transferts internationaux de données à caractère personnel. De même, la centralisation intra-groupe de la base de données de gestion des commandes, de la comptabilité clients, ou de la gestion des ressources humaines d’un groupe multinational, ou encore la délocalisation de centres d’appel constituent autant de situations qui entraîneront des transferts de données à caractère personnel hors des frontières communautaires. La Commission européenne a établi une liste des pays accordant une protection adéquate. Il s’agit des vingt-cinq pays de l’Union européenne, des pays membres de l’Espace Economique Européen (1), des pays ayant fait l’objet d’une reconnaissance de protection adéquate (2). En ce qui concerne les Etats-Unis, un accord au titre du Safe Harbor, a été négocié. La Cnil n’a pas à autoriser les transferts vers les pays dont la protection est jugée adéquate. Cette situation est gérée lors des formalités déclaratives. Pour les pays tiers n’ayant pas une protection suffisante, l’opération de transfert n’est possible que si elle entre dans les dérogations définies de manière restrictive à l’article 69 de la loi de 1978, à défaut de quoi, une autorisation de la Cnil est nécessaire. L’autorisation s’obtient en encadrant le flux d’échanges par une convention de flux transfrontières ou des règles internes. Enfin, il convient d’ajouter que les règles internes (codes de bonne conduite, chartes) constituent pour les groupes de sociétés une alternative à la convention de flux. Adoptées de manière unilatérale par la direction du groupe, elles évitent de conclure autant de contrats qu’il existe de transferts de données en son sein. (1) Islande, Liechtenstein, Norvège. (2) Argentine, Canada, Guernesey, Ile de Man, Suisse, entreprises américaines adhérentes au Safe Harbor (Déc. CE 2000/520 du 26/7/2000). (Mise en ligne Avril 2008)