L'ajout de cookie est désactivé sur votre navigateur, vous devez l'activer pour pouvoir naviguer sur ce site internet.
UpUp, la 1ère plateforme de mutualisation de formations.

Transfert des données hors UE

Données personnelles

Transfert des données hors UE

Droit des affaires > Données personnelles

Objectifs

  • Intégrer les modalités de transfert de données personnelles hors de l’Union européenne dans vos procédures dans le cadre du respect du RGPD mais aussi pour protéger vos data.
  • Anticiper les formalités à effectuer avant la mise en œuvre du transfert.
  • Assurer les liaisons intra groupe et avec vos prestataires étrangers.

Le programme de la formation

Sécurisation des ressortissants européens MAIS AUSSI des entreprises européennes.

 

Avec la globalisation et la mondialisation des échanges, l'utilisation croissante des nouvelles technologies, le nombre de transferts de données hors de France ne cesse de croître.

 

La globalisation des échanges et la croissance des solutions informatiques externalisées, notamment via le cloud, ont un impact direct sur les traitements des données personnelles qu’une entreprise est amenée à mettre en œuvre. Filiales de sociétés étrangères et clients de sous-traitants étrangers (service de paie, service de maintenance) chaque société doit appréhender cette problématique avant tout transfert de ces données hors de France en tenant compte de la sécurisation et de la confidentialité posées par le RGPD.

 

En outre, Le congrès américain a voté le CLOUD ACT alors que le RGPD est entré en vigueur le 25 mai  2018 en Europe, entraînant de nombreuses incertitudes sur l’utilisation de nos données hors EU et notamment via les USA.

 

Le CLOUD Act donne la possibilité à une puissance étrangère, en l'occurrence les Etats-Unis d'Amérique, d'accéder aux données dès lors qu'elles sont hébergées par des Cloud Providers américains, sans que les utilisateurs en soient informés, quand bien même ces données seraient stockées en France ou concerneraient un ressortissant européen, et ce sans passer par les tribunaux.

 

Introduction

 

Rappel du  cadre règlementaire avant le RGPD

 

Intégrer les dispositions européennes et françaises applicables au transfert de données personnelles hors de France  en UE et hors EU

Maîtriser le périmètre du transfert de données personnelles dans l’Union européenne

  • Présentation des grands principes du nouveau cadre réglementaire : RGPD, LIL 3 ....etc
  • Définir le transfert de données au sein de l’Union européenne
    • Application du droit national par chaque État membre
      Maîtriser le périmètre du transfert de données personnelles hors de l’Union européenne
  • La qualification juridique du destinataire des données
    • La définition du " responsable du traitement " et du " sous-traitant "
    • Les obligations réciproques incombant au responsable du traitement et au sous-traitant
    • Le cas particulier des transferts intra-groupes
    • Le cas particulier de l’hébergement de données de santé
  • La nature des données transférées et les finalités envisagées
    • Application du principe de proportionnalité
    • Le cas particulier du transfert de données sensibles

 

Les mécanismes et outils pour transférer les données hors de l’UE

 

Les nouveaux outils du RGPD

  • La décision d’adéquation : notion 
  • A défaut des « garanties appropriées » : garanties prises sur le fondement des décisions des autorités de contrôle et qui sont prises à la lumière des engagements des organismes concernés
  • A défaut de garantie, l’autorisation du transfert par dérogation

Les mécanismes actuels continuant à s’appliquer 

  • Transfert fondé sur une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat
  • Transfert fondé sur des clauses contractuelles types (CCT) de la Commission européenne
  • Transfert fondé sur des règles internes d’entreprises (BCR)
  • Transfert fondé sur des clauses contractuelles spécifiques (considérées comme conformes aux modèles de clauses de la Commission européenne)
  • Atelier : Cas pratiques entreprise

Les clauses contractuelles types (CTT) de la Commission Européenne

 

La mise en place des clauses contractuelles types

  • Identifier les parties
  • Compléter les Clauses contractuelles types
  • Distinction entre les différentes CTT : quel modèle utiliser ?
    • Le CTT encadrant les transferts entre deux responsables de traitement 
    • Le CTT encadrant le transfert entre un responsable de traitement et un sous-traitant
  • Effectuer les démarches auprès de la CNIL.
  • Atelier : Elaboration de clauses contractuelles types.

Le Privacy Shield : le Bouclier de Protection des Données

 

Explications nécessaires à la compréhension du Privacy Shield

La nécessité de s’y référer pour transférer des données personnelles vers les Etats-Unis

L’obligation formelle pour les entreprises destinataires de données

Les obligations et les garanties de fond prévues par le Privacy Shield dont le respect est nécessaire

 

L’autorisation de la CNIL : le rôle de la CNIL 

 

Les cas échappant à l’autorisation de la CNIL :

  • Des clauses contractuelles types de protection des données adoptées par la Commission européenne ou par une autorité de contrôle avec approbation de la Commission européenne
  • Des BCR
  • Un code de conduite approuvé par une autorité de contrôle
  • Un mécanisme de certification par une autorité de contrôle ou par un organisme de certification agréé par une autorité de contrôle ou un organisme national d’accréditation
  • Des instruments juridiques contraignants entre autorités publiques

Les cas nécessitant l’autorisation de la CNIL 

  • Des clauses contractuelles spécifiques entre le responsable d'un fichier ou un sous-traitant et un autre responsable de fichier, un sous-traitant ou un destinataire des données dans le pays tiers ou l'organisation internationale
  • Des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

 

Conclusion

 

Point pratique et retour sur les bonnes pratiques à intégrer dans votre entreprise

 

 

Public et Pré-requis de la formation

Responsables juridiques et Juristes, Référents et DPO, Chargés d’affaires juridiques...

Méthode pédagogique de la formation

Alternance d'apports théoriques, d'exercices pratiques et d'études de cas.

Notre consultant, avocat de formation, a une longue expérience des réglementations liées à la protection des données et en outre une excellente connaissance des entreprises ainsi que de tous les différents droits qui peuvent gérer ses contrats et obligations légales.

12 Commentaires