[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fIEHSvAl5Y11fssPZo2Az_eJFOKKVi09E4v7S83I-1co":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":7,"nbDownloads":11,"excerpt":12,"lang":13,"url":14,"intro":15,"featured":4,"state":16,"author":17,"authorId":18,"datePublication":21,"dateCreation":22,"dateUpdate":23,"mainCategory":24,"categories":39,"metaDatas":66,"imageUrl":67,"imageThumbUrls":68,"id":76},false,"L ’application des [8 règles d’or du RGPD](https://www.dastra.eu/fr/guide/8-regles-d'or-de-la-conformite-RGPD/357) est le fondement de la protection des données en Europe. Ces règles protectrices doivent être respectées y compris quand les données sortent de l’Union européenne (UE) et de l'Espace Economique Européen (EEE).\r\n\r\nAinsi, le RGPD pose le principe fondamental selon lequel **tout transfert de données personnelles en dehors de l'UE/EEE est interdit !**\r\n\r\nSauf sous certaines exceptions... La plus importante d’entre elles est **le consentement de la personne**, qui permet de traiter ses données et de les transférer en dehors de l’UE alors même que les autres conditions plus strictes ne seraient pas remplies.\r\n\r\nLe responsable du traitement devra informer la personne concernée de **l'existence ou non d’une décision d’adéquation** ou de toute autre mesure protectrice de ses droits.\r\n\r\nMais en pratique, se fonder sur le consentement de la personne est quasi impossible, c’est pourquoi il faudra **justifier le transfert par le biais d’un autre moyen** (voir plus en avant section « Sous quelles conditions peut être autorisé un transfert de données hors UE ? »).\r\n\r\nLes [articles 44 et suivants du RGPD](https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e4284-1-1) posent les autres règles pour transférer des données.\r\n\r\nL’idée ici est de répondre aux enjeux d'un monde globalisé en **permettant les transferts de données** tout en **protégeant les [données à caractère personnel](https://www.dastra.eu/fr/guide/donnee-a-caractere-personnel/382) des résidents européens**. Plusieurs États dans le monde adaptent leur législation pour \"coller\" au RGPD afin de favoriser les transferts et bénéficier du marché européen.\r\n\r\n## Définition et identification des données faisant l'objet d'un transfert hors UE\r\n\r\n### Définition du transfert hors UE\r\n\r\nIl n'en existe pas de définition légale. La CNIL le définit comme *tout transfert de données, effectué par tout moyen de communication, copie ou déplacement de données par l’intermédiaire d’un réseau ou d’un support, quel que soit le type de support, depuis le territoire européen vers un pays situé en dehors de l’Union européenne*.\r\n\r\nLe Comité européen de protection des données a récemment publié des lignes directices sur la notion de transfert par lesquelles il donne une définition.\r\n\r\nLes orientations définissent trois critères cumulatifs pour déterminer s'il s'agit d'un transfert de données personnelles vers un pays tiers. Cela signifie que si un traitement répond à ces trois critères, il constituera un transfert au sens du chapitre V du RGPD.\r\n\r\nLes trois critères sont les suivants :\r\n\r\n- Un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement donné.\r\n- Ce responsable du traitement ou ce sous-traitant (\"exportateur\") divulgue par transmission ou met autrement à la disposition d'un autre responsable du traitement, d'un responsable conjoint du traitement ou d'un sous-traitant (\"importateur\") des données à caractère personnel faisant l'objet de ce traitement.\r\n- L'importateur se trouve dans un pays tiers ou est une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement donné conformément à l'article 3.\r\n\r\n### Méthodologie\r\n\r\nLa CNIL nous donne ses **recommandations pour identifier et traiter les transferts hors UE**: recenser les transferts en vérifiant ses outils numériques et ses contrats, déterminer la criticité des traitements pour l'entreprise, évaluer si les transferts disposent d'une base légale, tout en se dotant d'un outil permettant de suivre tous les transferts hors UE.\r\n\r\n> [Avec l’outil de registre Dastra, le pilotage facilité de vos traitements vous permet de suivre au mieux vos transferts hors UE pour être en conformité](https://www.dastra.eu/fr/data-processing)\r\n\r\n### Identification des données faisant l'objet du transfert\r\n\r\nLe RGPD s’applique aux [données personnelles](https://www.dastra.eu/fr/guide/donnee-a-caractere-personnel/382), y compris celles qui sont codées et chiffrées, mais ne concerne pas les données anonymisées.\r\n\r\nLa **bulle de protection doit suivre les données**, peu importe où elles sont transmises, et le RGPD doit être respecté par tous les destinataires successifs.\r\n\r\n## Sous quelles conditions peuvent être autorisés les transferts de données personnelles hors UE ?\r\n\r\nLa Commission Européenne maintient une [**liste recensant les pays ayant un niveau d’adéquation avec le RGPD**](https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en). Cette adéquation est fonction du **niveau de protection accordé par l'Etat**, qui en encadre la collecte, la conservation et l'utilisation des données personnelles.\r\n\r\n### Liste des pays adéquats\r\n\r\n**Pays adéquats** :\r\n\r\n- Andorre,\r\n- Argentine,\r\n- Suisse,\r\n- Iles Féroé,\r\n- Guernesey,\r\n- Israël,\r\n- Ile de Man,\r\n- Nouvelle-Zélande,\r\n- Uruguay,\r\n- Japon,\r\n- Royaume Uni\r\n\r\n**Pays en adéquation partielle** :\r\n\r\n- Canada pour le secteur commercial\r\n\r\n**Pays non adéquats** = Etats-Unis, Russie, Australie, Inde…\r\n\r\n### Transfert vers un pays non adéquat\r\n\r\nLorsque le pays de transfert n’est pas adéquat, le transfert de données personnelles vers ce pays nécessite d’être encadré par des **outils de transfert**, qui sont résumés dans le diagramme suivant :\r\n\r\n![image](https://static.dastra.eu/richtextbackoffice/1d22bd5d-2dc5-4d7b-aaa6-fbcb71673eb6/diagramme-vierge-4.png)\r\n\r\nEn surplus de ces encadrements, en France, l’autorisation préalable de la CNIL est nécessaire dans 2 cas :• L’accord **modifie la substance des clauses principales des CCT** prises par la Commission• Les dispositions sont à intégrer dans des **arrangements administratifs entre les autorités publiques ou organismes publics** qui prévoient des droits opposables et effectifs pour les personnes concernées.\r\n\r\n**Transfert vers un pays adéquat**Dès lors qu'une **décision d'adéquation à été prise**, les données peuvent être transférées vers une autre entreprise établie dans un pays tiers sans que l’exportateur des données ne doive fournir d’autres garanties ou être soumis à d’autres conditions. Autrement dit, les transferts vers un pays tiers «adéquat» **seront assimilés à un transfert de données au sein de l’UE.**\r\n\r\nToutefois, tout transfert de données hors de l’UE **doit être indiqué dans le registre des traitements**, et le responsable de traitement devra veiller à l’inclure dans **l’information qu’il fournit aux personnes**, au titre des articles 13 et 14 du RGPD.\r\n\r\n## Les évolutions des règles autours du transfert de données hors UE\r\n\r\nDepuis l’**arrêt Schrems II du 16 juillet 2020**, un réexamen des clauses contractuelles types est nécessaire. En effet, cet arrêt ayant invalidé le Privacy Shield a également conduit à remettre en cause la validité de certaines de ces clauses.\r\n\r\nDésormais, les clauses doivent être accompagnées de **mesures de protection supplémentaires** dès lors que la législation du pays tiers ne permet pas le **respect d’un niveau de protection équivalent à celui en place dans l’UE.** En effet, il revient à l'exportateur des données (celui qui envoie les données hors UE) de s'assurer que le pays destinataire a une legislation protectrice des données personnelles à un niveau au moins équivalent à celui de l'UE. En cas contraire, l'exportateur doit mettre en oeuvre des mesures pour contrebalancer les effets de la législation du pays destinataire.\r\n\r\nLe **Comité Européen de la Protection des Données** (CEPD) publie en juin 2021 une [série de recommandations](https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf) pour spécifier ce qui devrait être entendu par **\"mesures de protections supplémentaires\"**.\r\n\r\n## Mesures complémentaires\r\n\r\nLes mesures complémentaires peuvent être de trois types : techniques, organisationnelles et contractuelles. Le CEPD nous donne les exemples suivants, à replacer dans le bon contexte (loi locale + conditions du transfert) :\r\n\r\n### Les mesures techniques :\r\n\r\n- Le chiffrement des données hébergées hors UE ou transitant par un pays tiers.\r\n- La pseudonymisation des données exportées.\r\n- La division des données entre plusieurs sous-traitants.\r\n\r\n### Les mesures contractuelles :\r\n\r\n- Obliger l'importateur à mettre en oeuvre des mesures de chiffrement\r\n- Obliger l'importateur à informer sur la législation locale et à la réalisation de due diligences sur ce sujet\r\n- Imposer l'absence de backdoor dans les outils servant au traitement et une certification de la part de l'importateur\r\n- Renforcer la clause d'audit\r\n- Imposer une veille sur tout changement législatif\r\n- Imposer la garantie du canari (\"warrant canary\"), qui consiste à envoyer des messages réguliers tant qu'une demande d'acès par les autorités du pays n'est pas faite\r\n- Imposer la contestation de toute demande d'accès par une autorité\r\n- Imposer l'information à l'autorité de l'incompatibilité de la demande d'accès avec le RGPD\r\n- renforcer l'exercice des droits des personnes par un contrôle renforcé de la personne concerné sur les données transférées ou par l'obligation d'informer la personne concernée lors d'une demande par une autorité, dans la mesure du possible, voire la cessation du transfert\r\n- l'assistance de la personne concernée dans la contestation de l'accès aux données\r\n\r\n### Les mesures organisationnelles\r\n\r\n- Mettre en oeuvre des poltiques et procédures internes sur la gouvernance des transferts\r\n- Documenter les demandes d'accès et les réponses apportées\r\n- Publier des rapports de transparence régulièrement\r\n- Adopter des procédures strictes de confidentialité des données en interne (besoin d'en savoir)\r\n- Informer le DPO et les équipes privacy en temps et en heure\r\n- Adopter des politiques de sécurité à l'état de l'art européen (ISO ou ENISA)\r\n\r\n## Nouvelles clauses contractuelles type\r\n\r\nLa Commission **abroge ses anciennes clauses contractuelles types (CCT)** le 4 juin 2021 pour en adopter de [nouvelles](https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr), avec une période de transition pour que les personnes concernées puissent modifier leurs contrats jusqu’au 27 septembre 2021. Les traitements existants avant cette dernière date et basés sur des CCT reste valables jusqu’au 27 septembre 2022.\r\n\r\nParmi les modifications remarquables, on note la **possibilité pour les tiers d’adhérer aux CCT**, en tant qu’importateur ou exportateur de données.\r\n\r\nDe plus, elles prévoient maintenant également un certain nombre d’obligations pour l’importateur :\r\n\r\n- **Evaluer la législation du pays tiers en matière d’ingérence** des autorités publiques dans l’accès aux données, et d’en informer l’exportateur.\r\n- **Notifier l’exportateur de tout accès ou demande d’accès** de la part des autorités publiques de l’Etat destinataire,\r\n- S’il y a demande d’accès de la part d’une autorité publique,**s’interroger sur la légalité d’une telle demande de la part de ladite autorité publique** avant de lui divulguer les données, et éventuellement s’y opposer en cas de contrariété avec la législation du pays de destination ou avec le droit international.\r\n\r\nLe 13 janvier 2021, l’Autorité de protection des données autrichienne (DSB) rend une décision sur le fondement de l'arrêt Schrems II pour condamner une entreprise concernant l'utilisation de **Google Analytics**. En effectuant des transferts de données à visée d'analyse de fréquentation et de suivi des utilisateurs vers les Etats Unis, une entreprise autrichienne effectue un transfert illégal car il n'y avait **pas un niveau de protection adéquat pour les données personnelles.**\r\n\r\n## Les transferts de données non autorisés\r\n\r\n**Le non-respect** des dispositions sur les transferts des données personnelles en dehors de l’union européenne est **passible d’une amende de 20 000 000 euros et de 4% du chiffre d’affaires annuel mondial.**\r\n\r\nIl est donc nécessaire dès l’origine et de manière suivie d’**identifier les cas de flux transfrontières dans ses traitements.**\r\n\r\nLes options qui s’offrent aux entreprises pour se mettre en conformité restent complexes :\r\n\r\n1. La **mise en place de règles d’entreprises contraignante (BCT)** est dans les faits longue et complexe : instruction au niveau national, demande d’avis à d’autres autorités dans la phase de coopération puis avis du CEPD, le tout pouvant prendre jusqu'à un an et demi.\r\n2. Si des CCT sont adoptées, il faudra d’abord **convaincre des partenaires étranger de signer ce contrat imposé par la Commission Européenne**. Il faudra en plus en compléter les annexes avec les informations ad hoc (nécessité de détailler les traitements transférés, mais avec quelle granularité ?) et les actualiser tout au long du développement des relations contractuelles et des traitements\r\n\r\nUne des solutions pourrait être à trouver dans la **relocalisation des données à l'intérieur de l'UE.**","\u003Cp>L ’application des \u003Ca href=\"https://www.dastra.eu/fr/guide/8-regles-d%27or-de-la-conformite-RGPD/357\">8 règles d’or du RGPD\u003C/a> est le fondement de la protection des données en Europe. Ces règles protectrices doivent être respectées y compris quand les données sortent de l’Union européenne (UE) et de l'Espace Economique Européen (EEE).\u003C/p>\n\u003Cp>Ainsi, le RGPD pose le principe fondamental selon lequel \u003Cstrong>tout transfert de données personnelles en dehors de l'UE/EEE est interdit !\u003C/strong>\u003C/p>\n\u003Cp>Sauf sous certaines exceptions... La plus importante d’entre elles est \u003Cstrong>le consentement de la personne\u003C/strong>, qui permet de traiter ses données et de les transférer en dehors de l’UE alors même que les autres conditions plus strictes ne seraient pas remplies.\u003C/p>\n\u003Cp>Le responsable du traitement devra informer la personne concernée de \u003Cstrong>l'existence ou non d’une décision d’adéquation\u003C/strong> ou de toute autre mesure protectrice de ses droits.\u003C/p>\n\u003Cp>Mais en pratique, se fonder sur le consentement de la personne est quasi impossible, c’est pourquoi il faudra \u003Cstrong>justifier le transfert par le biais d’un autre moyen\u003C/strong> (voir plus en avant section « Sous quelles conditions peut être autorisé un transfert de données hors UE ? »).\u003C/p>\n\u003Cp>Les \u003Ca href=\"https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679#d1e4284-1-1\" rel=\"nofollow\">articles 44 et suivants du RGPD\u003C/a> posent les autres règles pour transférer des données.\u003C/p>\n\u003Cp>L’idée ici est de répondre aux enjeux d'un monde globalisé en \u003Cstrong>permettant les transferts de données\u003C/strong> tout en \u003Cstrong>protégeant les \u003Ca href=\"https://www.dastra.eu/fr/guide/donnee-a-caractere-personnel/382\">données à caractère personnel\u003C/a> des résidents européens\u003C/strong>. Plusieurs États dans le monde adaptent leur législation pour \"coller\" au RGPD afin de favoriser les transferts et bénéficier du marché européen.\u003C/p>\n\u003Ch2 id=\"definition-et-identification-des-donnees-faisant-lobjet-dun-transfert-hors-ue\">Définition et identification des données faisant l'objet d'un transfert hors UE\u003C/h2>\n\u003Ch3 id=\"definition-du-transfert-hors-ue\">Définition du transfert hors UE\u003C/h3>\n\u003Cp>Il n'en existe pas de définition légale. La CNIL le définit comme \u003Cem>tout transfert de données, effectué par tout moyen de communication, copie ou déplacement de données par l’intermédiaire d’un réseau ou d’un support, quel que soit le type de support, depuis le territoire européen vers un pays situé en dehors de l’Union européenne\u003C/em>.\u003C/p>\n\u003Cp>Le Comité européen de protection des données a récemment publié des lignes directices sur la notion de transfert par lesquelles il donne une définition.\u003C/p>\n\u003Cp>Les orientations définissent trois critères cumulatifs pour déterminer s'il s'agit d'un transfert de données personnelles vers un pays tiers. Cela signifie que si un traitement répond à ces trois critères, il constituera un transfert au sens du chapitre V du RGPD.\u003C/p>\n\u003Cp>Les trois critères sont les suivants :\u003C/p>\n\u003Cul>\n\u003Cli>Un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement donné.\u003C/li>\n\u003Cli>Ce responsable du traitement ou ce sous-traitant (\"exportateur\") divulgue par transmission ou met autrement à la disposition d'un autre responsable du traitement, d'un responsable conjoint du traitement ou d'un sous-traitant (\"importateur\") des données à caractère personnel faisant l'objet de ce traitement.\u003C/li>\n\u003Cli>L'importateur se trouve dans un pays tiers ou est une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement donné conformément à l'article 3.\u003C/li>\n\u003C/ul>\n\u003Ch3 id=\"methodologie\">Méthodologie\u003C/h3>\n\u003Cp>La CNIL nous donne ses \u003Cstrong>recommandations pour identifier et traiter les transferts hors UE\u003C/strong>: recenser les transferts en vérifiant ses outils numériques et ses contrats, déterminer la criticité des traitements pour l'entreprise, évaluer si les transferts disposent d'une base légale, tout en se dotant d'un outil permettant de suivre tous les transferts hors UE.\u003C/p>\n\u003Cblockquote>\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/data-processing\">Avec l’outil de registre Dastra, le pilotage facilité de vos traitements vous permet de suivre au mieux vos transferts hors UE pour être en conformité\u003C/a>\u003C/p>\n\u003C/blockquote>\n\u003Ch3 id=\"identification-des-donnees-faisant-lobjet-du-transfert\">Identification des données faisant l'objet du transfert\u003C/h3>\n\u003Cp>Le RGPD s’applique aux \u003Ca href=\"https://www.dastra.eu/fr/guide/donnee-a-caractere-personnel/382\">données personnelles\u003C/a>, y compris celles qui sont codées et chiffrées, mais ne concerne pas les données anonymisées.\u003C/p>\n\u003Cp>La \u003Cstrong>bulle de protection doit suivre les données\u003C/strong>, peu importe où elles sont transmises, et le RGPD doit être respecté par tous les destinataires successifs.\u003C/p>\n\u003Ch2 id=\"sous-quelles-conditions-peuvent-etre-autorises-les-transferts-de-donnees-personnelles-hors-ue\">Sous quelles conditions peuvent être autorisés les transferts de données personnelles hors UE ?\u003C/h2>\n\u003Cp>La Commission Européenne maintient une \u003Ca href=\"https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en\" rel=\"nofollow\">\u003Cstrong>liste recensant les pays ayant un niveau d’adéquation avec le RGPD\u003C/strong>\u003C/a>. Cette adéquation est fonction du \u003Cstrong>niveau de protection accordé par l'Etat\u003C/strong>, qui en encadre la collecte, la conservation et l'utilisation des données personnelles.\u003C/p>\n\u003Ch3 id=\"liste-des-pays-adequats\">Liste des pays adéquats\u003C/h3>\n\u003Cp>\u003Cstrong>Pays adéquats\u003C/strong> :\u003C/p>\n\u003Cul>\n\u003Cli>Andorre,\u003C/li>\n\u003Cli>Argentine,\u003C/li>\n\u003Cli>Suisse,\u003C/li>\n\u003Cli>Iles Féroé,\u003C/li>\n\u003Cli>Guernesey,\u003C/li>\n\u003Cli>Israël,\u003C/li>\n\u003Cli>Ile de Man,\u003C/li>\n\u003Cli>Nouvelle-Zélande,\u003C/li>\n\u003Cli>Uruguay,\u003C/li>\n\u003Cli>Japon,\u003C/li>\n\u003Cli>Royaume Uni\u003C/li>\n\u003C/ul>\n\u003Cp>\u003Cstrong>Pays en adéquation partielle\u003C/strong> :\u003C/p>\n\u003Cul>\n\u003Cli>Canada pour le secteur commercial\u003C/li>\n\u003C/ul>\n\u003Cp>\u003Cstrong>Pays non adéquats\u003C/strong> = Etats-Unis, Russie, Australie, Inde…\u003C/p>\n\u003Ch3 id=\"transfert-vers-un-pays-non-adequat\">Transfert vers un pays non adéquat\u003C/h3>\n\u003Cp>Lorsque le pays de transfert n’est pas adéquat, le transfert de données personnelles vers ce pays nécessite d’être encadré par des \u003Cstrong>outils de transfert\u003C/strong>, qui sont résumés dans le diagramme suivant :\u003C/p>\n\u003Cp>\u003Cimg loading=\"lazy\"  src=\"https://static.dastra.eu/richtextbackoffice/1d22bd5d-2dc5-4d7b-aaa6-fbcb71673eb6/diagramme-vierge-4.png\" alt=\"image\" />\u003C/p>\n\u003Cp>En surplus de ces encadrements, en France, l’autorisation préalable de la CNIL est nécessaire dans 2 cas :• L’accord \u003Cstrong>modifie la substance des clauses principales des CCT\u003C/strong> prises par la Commission• Les dispositions sont à intégrer dans des \u003Cstrong>arrangements administratifs entre les autorités publiques ou organismes publics\u003C/strong> qui prévoient des droits opposables et effectifs pour les personnes concernées.\u003C/p>\n\u003Cp>\u003Cstrong>Transfert vers un pays adéquat\u003C/strong>Dès lors qu'une \u003Cstrong>décision d'adéquation à été prise\u003C/strong>, les données peuvent être transférées vers une autre entreprise établie dans un pays tiers sans que l’exportateur des données ne doive fournir d’autres garanties ou être soumis à d’autres conditions. Autrement dit, les transferts vers un pays tiers «adéquat» \u003Cstrong>seront assimilés à un transfert de données au sein de l’UE.\u003C/strong>\u003C/p>\n\u003Cp>Toutefois, tout transfert de données hors de l’UE \u003Cstrong>doit être indiqué dans le registre des traitements\u003C/strong>, et le responsable de traitement devra veiller à l’inclure dans \u003Cstrong>l’information qu’il fournit aux personnes\u003C/strong>, au titre des articles 13 et 14 du RGPD.\u003C/p>\n\u003Ch2 id=\"les-evolutions-des-regles-autours-du-transfert-de-donnees-hors-ue\">Les évolutions des règles autours du transfert de données hors UE\u003C/h2>\n\u003Cp>Depuis l’\u003Cstrong>arrêt Schrems II du 16 juillet 2020\u003C/strong>, un réexamen des clauses contractuelles types est nécessaire. En effet, cet arrêt ayant invalidé le Privacy Shield a également conduit à remettre en cause la validité de certaines de ces clauses.\u003C/p>\n\u003Cp>Désormais, les clauses doivent être accompagnées de \u003Cstrong>mesures de protection supplémentaires\u003C/strong> dès lors que la législation du pays tiers ne permet pas le \u003Cstrong>respect d’un niveau de protection équivalent à celui en place dans l’UE.\u003C/strong> En effet, il revient à l'exportateur des données (celui qui envoie les données hors UE) de s'assurer que le pays destinataire a une legislation protectrice des données personnelles à un niveau au moins équivalent à celui de l'UE. En cas contraire, l'exportateur doit mettre en oeuvre des mesures pour contrebalancer les effets de la législation du pays destinataire.\u003C/p>\n\u003Cp>Le \u003Cstrong>Comité Européen de la Protection des Données\u003C/strong> (CEPD) publie en juin 2021 une \u003Ca href=\"https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf\" rel=\"nofollow\">série de recommandations\u003C/a> pour spécifier ce qui devrait être entendu par \u003Cstrong>\"mesures de protections supplémentaires\"\u003C/strong>.\u003C/p>\n\u003Ch2 id=\"mesures-complementaires\">Mesures complémentaires\u003C/h2>\n\u003Cp>Les mesures complémentaires peuvent être de trois types : techniques, organisationnelles et contractuelles. Le CEPD nous donne les exemples suivants, à replacer dans le bon contexte (loi locale + conditions du transfert) :\u003C/p>\n\u003Ch3 id=\"les-mesures-techniques\">Les mesures techniques :\u003C/h3>\n\u003Cul>\n\u003Cli>Le chiffrement des données hébergées hors UE ou transitant par un pays tiers.\u003C/li>\n\u003Cli>La pseudonymisation des données exportées.\u003C/li>\n\u003Cli>La division des données entre plusieurs sous-traitants.\u003C/li>\n\u003C/ul>\n\u003Ch3 id=\"les-mesures-contractuelles\">Les mesures contractuelles :\u003C/h3>\n\u003Cul>\n\u003Cli>Obliger l'importateur à mettre en oeuvre des mesures de chiffrement\u003C/li>\n\u003Cli>Obliger l'importateur à informer sur la législation locale et à la réalisation de due diligences sur ce sujet\u003C/li>\n\u003Cli>Imposer l'absence de backdoor dans les outils servant au traitement et une certification de la part de l'importateur\u003C/li>\n\u003Cli>Renforcer la clause d'audit\u003C/li>\n\u003Cli>Imposer une veille sur tout changement législatif\u003C/li>\n\u003Cli>Imposer la garantie du canari (\"warrant canary\"), qui consiste à envoyer des messages réguliers tant qu'une demande d'acès par les autorités du pays n'est pas faite\u003C/li>\n\u003Cli>Imposer la contestation de toute demande d'accès par une autorité\u003C/li>\n\u003Cli>Imposer l'information à l'autorité de l'incompatibilité de la demande d'accès avec le RGPD\u003C/li>\n\u003Cli>renforcer l'exercice des droits des personnes par un contrôle renforcé de la personne concerné sur les données transférées ou par l'obligation d'informer la personne concernée lors d'une demande par une autorité, dans la mesure du possible, voire la cessation du transfert\u003C/li>\n\u003Cli>l'assistance de la personne concernée dans la contestation de l'accès aux données\u003C/li>\n\u003C/ul>\n\u003Ch3 id=\"les-mesures-organisationnelles\">Les mesures organisationnelles\u003C/h3>\n\u003Cul>\n\u003Cli>Mettre en oeuvre des poltiques et procédures internes sur la gouvernance des transferts\u003C/li>\n\u003Cli>Documenter les demandes d'accès et les réponses apportées\u003C/li>\n\u003Cli>Publier des rapports de transparence régulièrement\u003C/li>\n\u003Cli>Adopter des procédures strictes de confidentialité des données en interne (besoin d'en savoir)\u003C/li>\n\u003Cli>Informer le DPO et les équipes privacy en temps et en heure\u003C/li>\n\u003Cli>Adopter des politiques de sécurité à l'état de l'art européen (ISO ou ENISA)\u003C/li>\n\u003C/ul>\n\u003Ch2 id=\"nouvelles-clauses-contractuelles-type\">Nouvelles clauses contractuelles type\u003C/h2>\n\u003Cp>La Commission \u003Cstrong>abroge ses anciennes clauses contractuelles types (CCT)\u003C/strong> le 4 juin 2021 pour en adopter de \u003Ca href=\"https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr\" rel=\"nofollow\">nouvelles\u003C/a>, avec une période de transition pour que les personnes concernées puissent modifier leurs contrats jusqu’au 27 septembre 2021. Les traitements existants avant cette dernière date et basés sur des CCT reste valables jusqu’au 27 septembre 2022.\u003C/p>\n\u003Cp>Parmi les modifications remarquables, on note la \u003Cstrong>possibilité pour les tiers d’adhérer aux CCT\u003C/strong>, en tant qu’importateur ou exportateur de données.\u003C/p>\n\u003Cp>De plus, elles prévoient maintenant également un certain nombre d’obligations pour l’importateur :\u003C/p>\n\u003Cul>\n\u003Cli>\u003Cstrong>Evaluer la législation du pays tiers en matière d’ingérence\u003C/strong> des autorités publiques dans l’accès aux données, et d’en informer l’exportateur.\u003C/li>\n\u003Cli>\u003Cstrong>Notifier l’exportateur de tout accès ou demande d’accès\u003C/strong> de la part des autorités publiques de l’Etat destinataire,\u003C/li>\n\u003Cli>S’il y a demande d’accès de la part d’une autorité publique,\u003Cstrong>s’interroger sur la légalité d’une telle demande de la part de ladite autorité publique\u003C/strong> avant de lui divulguer les données, et éventuellement s’y opposer en cas de contrariété avec la législation du pays de destination ou avec le droit international.\u003C/li>\n\u003C/ul>\n\u003Cp>Le 13 janvier 2021, l’Autorité de protection des données autrichienne (DSB) rend une décision sur le fondement de l'arrêt Schrems II pour condamner une entreprise concernant l'utilisation de \u003Cstrong>Google Analytics\u003C/strong>. En effectuant des transferts de données à visée d'analyse de fréquentation et de suivi des utilisateurs vers les Etats Unis, une entreprise autrichienne effectue un transfert illégal car il n'y avait \u003Cstrong>pas un niveau de protection adéquat pour les données personnelles.\u003C/strong>\u003C/p>\n\u003Ch2 id=\"les-transferts-de-donnees-non-autorises\">Les transferts de données non autorisés\u003C/h2>\n\u003Cp>\u003Cstrong>Le non-respect\u003C/strong> des dispositions sur les transferts des données personnelles en dehors de l’union européenne est \u003Cstrong>passible d’une amende de 20 000 000 euros et de 4% du chiffre d’affaires annuel mondial.\u003C/strong>\u003C/p>\n\u003Cp>Il est donc nécessaire dès l’origine et de manière suivie d’\u003Cstrong>identifier les cas de flux transfrontières dans ses traitements.\u003C/strong>\u003C/p>\n\u003Cp>Les options qui s’offrent aux entreprises pour se mettre en conformité restent complexes :\u003C/p>\n\u003Col>\n\u003Cli>La \u003Cstrong>mise en place de règles d’entreprises contraignante (BCT)\u003C/strong> est dans les faits longue et complexe : instruction au niveau national, demande d’avis à d’autres autorités dans la phase de coopération puis avis du CEPD, le tout pouvant prendre jusqu'à un an et demi.\u003C/li>\n\u003Cli>Si des CCT sont adoptées, il faudra d’abord \u003Cstrong>convaincre des partenaires étranger de signer ce contrat imposé par la Commission Européenne\u003C/strong>. Il faudra en plus en compléter les annexes avec les informations ad hoc (nécessité de détailler les traitements transférés, mais avec quelle granularité ?) et les actualiser tout au long du développement des relations contractuelles et des traitements\u003C/li>\n\u003C/ol>\n\u003Cp>Une des solutions pourrait être à trouver dans la \u003Cstrong>relocalisation des données à l'intérieur de l'UE.\u003C/strong>\u003C/p>\n","RPGD : Les transferts de données hors UE","L ’application des 8 règles d’or du RGPD est le fondement de la protection des données en Europe.",2029,11,0,null,"fr","les-transferts-de-donnees-hors-ue-rgpd","L ’application des 8 règles d’or du RGPD est le fondement de la protection des données en Europe. Ces règles protectrices doivent être respectées y compris quand les données sortent de l’Union européenne (UE).","Published",{"id":18,"displayName":19,"avatarUrl":12,"bio":12,"blogUrl":12,"color":12,"userId":18,"creationDate":20},763,"2bb2b961-a995-46c5-84fe-1d6179fbb47f","2021-09-29T09:44:57","2022-04-01T10:17:00","2022-04-01T10:47:10.6056216","2026-04-20T12:22:35.9053048",{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":30},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[31,33,36],{"lang":13,"name":26,"description":32},"Une liste d'articles rédigés par la communauté",{"lang":34,"name":26,"description":35},"es","Una lista de artículos escritos por la comunidad",{"lang":37,"name":26,"description":38},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[40,45],{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":41},[42,43,44],{"lang":13,"name":26,"description":32},{"lang":34,"name":26,"description":35},{"lang":37,"name":26,"description":38},{"id":46,"name":47,"description":48,"url":49,"color":50,"parentId":25,"count":12,"imageUrl":12,"parent":51,"order":56,"translations":57},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":12,"count":12,"imageUrl":12,"parent":12,"order":11,"translations":52},[53,54,55],{"lang":13,"name":26,"description":32},{"lang":34,"name":26,"description":35},{"lang":37,"name":26,"description":38},5,[58,60,63],{"lang":13,"name":47,"description":59},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":37,"name":61,"description":62},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":34,"name":64,"description":65},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/3a0868fa-fcd2-4695-91b7-0ed0721809dc/cartography-1000.png",[69,70,71,72,73,74,75],"https://static.dastra.eu/content/3a0868fa-fcd2-4695-91b7-0ed0721809dc/cartography-1000.webp","https://static.dastra.eu/content/3a0868fa-fcd2-4695-91b7-0ed0721809dc/cartography.webp","https://static.dastra.eu/content/3a0868fa-fcd2-4695-91b7-0ed0721809dc/cartography-1500.webp","https://static.dastra.eu/content/3a0868fa-fcd2-4695-91b7-0ed0721809dc/cartography-800.webp","https://static.dastra.eu/content/3a0868fa-fcd2-4695-91b7-0ed0721809dc/cartography-600.webp","https://static.dastra.eu/content/3a0868fa-fcd2-4695-91b7-0ed0721809dc/cartography-300.webp","https://static.dastra.eu/content/3a0868fa-fcd2-4695-91b7-0ed0721809dc/cartography-100.webp",51536]