Trois questions à Aurélie Banck, Directeur du département Conformité RGPD Banque Assurance, Lexing et Alain Bensoussan Avoxcats Lexing.
Quelles sont les nouveautés en matière de transfert de données dans le cadre du RGPD ?
Le RGPD s’inscrit dans le droit fil de la Directive 95/46/CE en matière de transfert de données. Ces deux textes visent non seulement à protéger les données à caractère personnel mais également à permettre leur « libre circulation ». La philosophie de la protection des données en Europe n’est donc pas simplement basée sur la protection des droits fondamentaux des individus mais également sur le besoin d’éviter les barrières à la circulation des données personnelles.
Les transferts vers un pays ne présentant pas un niveau adéquat de protection des données restent soumis à des conditions restrictives. Le RGPD prévoit cependant de nouveaux outils permettant de les encadrer : on peut citer les codes de conduite, les mécanismes de certification ou les clauses contractuelles types qui peuvent désormais être adoptées des autorités de protection des données et plus uniquement par la Commission européenne.
Par ailleurs, les transferts reposant sur l’utilisation de ce type de clause ne nécessitent plus l’obtention d’une autorisation de la part de l’autorité de protection des données, ce qui devrait alléger le poids des formalités relatives aux transferts.
A noter également que suite à l’affaire du Safe Harbor, le RGPD prévoit un mécanisme de revue des décisions d’adéquation a minima tous les quatre ans.
Quelles tendances constate-t-on dans les entreprises ?
La mise en conformité au RGPD impose la mise en place d’un programme de gouvernance à l’échelle globale notamment dans les groupes internationaux, plus sensibles aux questions de transferts de par leur organisation et leur structuration.
Dans ce contexte, la mise en place de Binding Corporate rules (BCR) constitue un instrument pertinent permettant d’encadrer les transferts entre les entités européennes et non-européennes mais également entre les entités non-européennes. Ce cadre de référence permet de déployer une même politique au sein du groupe et de servir la mise en conformité au RGPD, voire de simplifier le contrôle de la conformité qui doit être effectué par le DPO.
Le RGPD prévoit également la possibilité de mettre en place des BCR entre des entreprises engagées dans une activité économique commune. La mise en place de BCR n’est donc plus limitée à un groupe d’entreprise.
Quelles sont, dans ce contexte, les conséquences du Brexit ?
En cas de sortie du Royaume Uni de l’Union européenne, celui-ci deviendra un pays tiers à l’Europe, alors même que le Data Protection Act intègre déjà les dispositions du RGPD. Dans la mesure où le Royaume Uni sera qualifié de pays tiers, les transferts à destination du UK seront par définition interdits à défaut de mise en place de garanties appropriées comme des clauses contractuelles types.
Le Royaume Uni devra cependant solliciter l’obtention d’une décision d’adéquation de la part de la Commission européenne. L’obtention de cette décision ne devrait pas poser de difficultés techniques dans la mesure où le niveau de protection offert au Royaume Uni est d’ores et déjà aligné sur celui du RGPD, elle pourrait cependant prendre du temps.
En effet, à cette date, il n’est pas prévu que cette décision fasse partie de l’accord de retrait. Il conviendra donc de gérer la période transitoire via des clauses contractuelles types par exemple.
