Les données à caractère personnel englobent toutes les informations relatives à une personne identifiée ou identifiable. Aucune distinction n’est faite entre les rôles privé, public et professionnel d’une personne. Les données personnelles peuvent prendre plusieurs formes : nom, adresse, numéro de téléphone, adresse e-mail, numéro de passeport/CNI, numéro de sécurité sociale (ou équivalent), informations médicales, données de localisation/GPS, cookies, etc. 

Précédemment, nous vous parlions des 6 étapes à respecter pour être conforme au RGPD. Dans cet article, Openhost, certifié “Solution Partner for Modern Work”, vous apporte de précieux conseils pour vous aider à respecter vos obligations envers le RGPD grâce aux produits Microsoft 365 et Azure.  

Rappel sur le RGPD

Le RGPD, ou Règlement général sur la Protection des Données, est une législation de l’Union européenne qui est entrée en vigueur le 25 mai 2018. Son objectif principal est de renforcer la protection des données personnelles des citoyens de l’Union européenne (UE) et de l’Espace économique européen (EEE). Le RGPD remplace la directive sur la protection des données de 1995 et introduit des règles plus strictes en matière de collecte, de traitement et de stockage des données personnelles. 

Voici quelques points clé à retenir sur le RGPD : 

• Portée extraterritoriale : Le RGPD s’applique non seulement aux entreprises établies dans l’UE, mais aussi à celles situées en dehors de l’UE qui traitent les données personnelles de résidents de l’UE. C’est le cas de Microsoft. 
   
• Consentement : Les entreprises doivent obtenir un consentement explicite et spécifique avant de collecter, traiter ou stocker des données personnelles. 
  Par exemple, une case à cocher à la fin d’un formulaire de contact “En soumettant ce formulaire, j’accepte que les informations saisies dans ce formulaire soient utilisées, exploitées, traitées pour permettre de me recontacter.” 
   
• Droits des personnes concernées : Les individus ont le droit d’accéder à leurs données personnelles, de les corriger, de les supprimer et de s’opposer à leur traitement. 
   
• Responsabilité des entreprises : Les entreprises sont tenues de mettre en place des mesures de sécurité appropriées pour protéger les données personnelles, et elles doivent notifier les violations de données dans les 72 heures suivant leur découverte. Les solutions Microsoft 365 et Azure peuvent vous aider pour cela. 
   
• Délégué à la protection des données (DPD) : Certains organismes sont tenus de nommer un DPD chargé de superviser la conformité au RGPD. C’est notamment le cas des grands groupes.

Le RGPD vise à garantir aux individus un meilleur contrôle sur leurs données personnelles tout en imposant des obligations plus strictes aux entreprises qui traitent ces données. 

Stop aux idées reçues ! 🛑

« Le RGPD est une norme de certification. »

➡️ C’est faux : Le RGPD est une loi qui impose aux entreprises de respecter un certain nombre d’obligations sous peine de sanctions. 


« Si mon organisation ne se situe pas dans l’Union européenne, je ne suis pas concerné(e) par le RGPD. »
➡️ C’est faux : Le RGPD s’applique aux traitements des données à caractère personnel, que le traitement ait lieu ou non sur le territoire de l’UE, dès lors que le traitement s’applique à des données relatives à des personnes se trouvant sur le territoire de l’Union européenne. 


« Le RGPD ne s’applique pas aux données BtoB. »

➡️ C’est faux : Si les coordonnées d’une personne morale n’entrent pas dans le périmètre du RGPD, les coordonnées du représentant légal, du chef de projet, ou du commercial avec qui vous êtes en contact constituent bien des données à caractère personnel. Exemple : Une adresse email générique comme “contact@entreprise.fr” ne constitue pas une donnée à caractère personnel, alors que nom.prenom@entreprise.fr en est une. 

Quelles sont vos obligations en tant qu’entreprise dans le traitement des données personnelles ? 

Le RGPD vise à protéger les droits fondamentaux et les libertés des personnes physiques en ce qui concerne le traitement de leurs données personnelles. Il impose des obligations aux organisations qui collectent, traitent et stockent ces données, afin de garantir un traitement transparent, équitable et légitime des informations personnelles.  

En tant qu’entreprise, vous jouez un rôle essentiel dans le traitement des données appartenant à vos employés, vos clients, vos prospects, vos utilisateurs, vos patients, etc. Le respect de la vie privée, la sécurité des données et la conformité aux réglementations en vigueur sont des responsabilités importantes pour tout dirigeant d’entreprise ou responsable de données. Microsoft ne fait pas exception à cette règle : 

• Consentement et transparence : Vous devez obtenir le consentement des individus concernés avant de collecter, traiter ou stocker leurs données personnelles. Il est également primordial d’être transparent sur la manière dont les données seront utilisées.  
• Gestion des accès et des autorisations : Vous devez mettre en place des contrôles d’accès pour vous assurer que seules les personnes autorisées ont accès aux données. Cela implique de définir et de gérer les niveaux d’autorisation en fonction des rôles et des responsabilités au sein de votre organisation.  
• Sécurité des données : Vous devez mettre en œuvre des mesures de sécurité pour protéger les données contre les accès non autorisés, les pertes de données et les cyberattaques. Cela peut inclure le chiffrement, la gestion des mots de passe, la surveillance des activités suspectes, etc.  
• Gestion des risques : Vous devez évaluer régulièrement les risques associés à la collecte et au traitement des données. Cela implique de mettre en place des procédures de gestion des risques, d’identifier les vulnérabilités potentielles et de prendre des mesures pour les atténuer.  
• Formation et sensibilisation : Vous devez former vos équipes aux meilleures pratiques en matière de protection des données et les sensibiliser à l’importance de la confidentialité et de la sécurité des données.  
• Réponse aux incidents : En cas de violation de données ou d’incident de sécurité, vous devez mettre en œuvre un plan de continuité, notifier les parties concernées et coopérer avec les autorités de réglementation selon les exigences légales.  

Les entreprises peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu, pour non-respect de certaines exigences du RGPD. D’autres recours peuvent augmenter votre risque si vous ne parvenez pas à respecter les exigences du RGPD. 

Comment Openhost peut vous aider à respecter vos obligations envers le RGPD grâce aux solutions Microsoft ? 

En tant que partenaire Microsoft, certifié Solution Partner for Modern Work, le rôle d’Openhost est d’accompagner ses clients dans le respect de leurs obligations en matière de sécurité, de confidentialité et de conformité grâce aux solutions Microsoft 365 et Azure.  

Les données personnelles peuvent inclure des informations stockées dans les bases de données client, les formulaires d’enquêtes, le contenu de messagerie, des photos ou des vidéos, des programmes de fidélité ou des enregistrements RH. Les données personnelles pouvant être situées dans de nombreux endroits différents, la création d’un inventaire complet est un défi important. 

Les solutions de travail modernes de Microsoft incluent des outils et des services permettant aux entreprises de simplifier le processus et de mettre en place des mesures de protection adaptées à leurs propres problématiques RGPD. 

Gestionnaire de conformité Microsoft Purview 

Le gestionnaire de conformité Microsoft Purview (Microsoft Compliance Manager) est un outil spécifique développé par Microsoft pour aider les organisations à gérer leur conformité aux réglementations telles que le Règlement Général sur la Protection des données (RGPD). 

Ce service fait partie des solutions de conformité plus larges fournies par Microsoft 365. Voici quelques détails clé sur le Microsoft Compliance Manager : 

• Évaluations : Compliance Manager (CM) permet aux organisations d’effectuer des évaluations de conformité, en se basant sur des normes et des réglementations existantes, notamment le Règlement Général sur la Protection des Données.  
  Remarque : Vos administrateurs peuvent également utiliser l’évaluation personnalisée pour répondre aux besoins de conformité propres à votre entreprise. 
   
• Actions recommandées : CM fournit des recommandations spécifiques sur les actions à entreprendre par vos administrateurs pour améliorer la conformité de votre organisation. Certaines actions sont également gérées directement par Microsoft. 
   
• Tableau de bord et rapports : Le tableau de bord du gestionnaire de conformité affiche le score de conformité actuel de l’organisation et permet aux administrateurs d’affecter, de tester et de surveiller les activités de conformité. 
   
• Mises à jour continues : Microsoft met régulièrement à jour Compliance Manager pour refléter les changements dans les réglementations et les meilleures pratiques, ce qui est crucial compte tenu de l’évolution constante du paysage réglementaire. 

Quelques outils mis à disposition par Microsoft pour améliorer votre mise en conformité au RGPD 

Voici quelques actions recommandées et rendues possibles par Microsoft pour faciliter votre mise en conformité au RGPD :

• Activez l’Authentification Multifacteur pour tous les comptes utilisateurs et administrateurs. 
   
• Déployez Microsoft Defender for Endpoints sur tous les ordinateurs en guise de protection contre les virus, de prévention des fuites de données, ainsi que de réponse à ces attaques. 
   
• Configurez des stratégies de protection contre la perte de données (DLP) pour identifier, surveiller et protéger automatiquement les données sensibles comprises dans : 
  • Les services Microsoft 365 (Teams, Exchange, SharePoint, OneDrive…) 
  • Les applications Office (Word, Excel, PowerPoint…) 
  • Les applications Cloud non-Microsoft 
  • PowerBi, 
  • Etc. 

Exemple : Vous pouvez créer une politique de sécurité personnalisée permettant le blocage des emails sortants qui contiendraient des n° de sécurité sociale, n° de carte d’identité, n° de passeport, n° de carte bleue. Ainsi, si un email contient ne serait-ce qu’une seule de ces infos dans le corps du mail ou dans une PJ, alors le mail sera refusé à l’envoi et votre administrateur en sera notifié. 

• Implémentez Microsoft Defender pour Office 365 pour protéger votre boîte de réception des emails de phishing et des documents Office contenant des pièces jointes et d’autres liens malveillants. 
   
• Protégez les données stockées sur tous les appareils que vos salariés utilisent grâce à Microsoft Intune. 
   
• Déployez des stratégies d’accès conditionnel dans Microsoft Entra ID (anciennement Azure Active Directory) pour vous assurer que les informations sensibles sont stockées et consultées conformément à votre stratégie d’entreprise. 
   
• Utilisez des étiquettes de confidentialité pour identifier automatiquement les informations personnelles dans les messages électroniques et les documents et mettez en place des stratégies de rétention pour conserver les données personnelles aussi longtemps que nécessaire. 

À travers ses solutions intégrées et ses outils dédiés à la confidentialité des données, Microsoft simplifie significativement la tâche des organisations cherchant à respecter les normes strictes en matière de protection des données. En tant que partenaire Microsoft de confiance et certifié, Openhost facilite l’appréhension de ces outils 

L’article RGPD et conformité : comment Microsoft facilite le respect du Règlement Général sur la Protection des Données ? est apparu en premier sur Openhost.

Important

Grâce à Microsoft 365 et Azure, vous disposez d’une multitude d’outils pour répondre aux obligations imposées par la RGPD.

> En savoir plus

Voici la liste des 6 étapes à respecter pour être conforme au RGPD !

6 étapes pour une entreprise conforme avec le RGPD

L’application du RGPD entraine la disparition de nombreuses formalités déjà présentes auprès de la CNIL. Non le RGPD n’est pas un big bang car il existait donc déjà une certaine régulation sur les données personnelles. Cependant il est essentiel de bien comprendre les bases de ce nouveau règlement européen sur la protection des données pour partir du bon pied et éviter une confusion générale.

La responsabilité des organisations et entreprises sur les données privées est renforcée avec le RGPD. Il sera donc nécessaire de déployer une gestion raisonnée des données, d’assurer une protection optimale de ces données et être en mesure de le démontrer en documentant votre conformité.

1 – Désignez votre délégué à la protection des données personnelles (DPO)

La gouvernance des données personnelles de votre organisation doit être centralisée auprès d’un personnage central : le DPO, le délégué à la protection des données. Ce DPO agit comme responsable du RGPD dans le sens où il a une mission d’information, de conseil et de contrôles avec tous vos collaborateurs en interne. Il est impératif de réaliser un comité de consultation et de prise de décision sur le RGPD dont le DPO sera bien évidemment une pierre centrale.

La désignation d’un délégué à la protection des données DPO n’est pas une obligation légale mais elle est fortement recommandée pour des structures de plus de 50 collaborateurs dont la gestion du RGPD est essentielle. Cette personne s’assure donc de la mise en conformité au RGPD. Votre délégué sera une pierre centrale pour assimiler et respecter les obligations de ce nouveau règlement européen. Il pourra ainsi dialoguer de manière sereine avec les autorités de régulation des traitements et ainsi diminuer les risques de non conformité.

Le rôle du DPO (Délégué à la protection des données)

Le délégué à la protection des données possède plusieurs missions principales, à savoir :

• Informer et conseiller le personnel en interne mais aussi dialoguer avec les sous-traitants pour réunir les informations nécessaires.
• Communiquer sur votre conformité auprès des clients : la mise en conformité au RGPD est spécifique en fonction de la situation de votre entreprise et secteur d’activité, notamment au niveau des responsabilités qui vous incombent. Il est donc essentiel d’avoir une personne suffisamment compétente pour attester de votre bonne conformité !

• Contrôler et vérifier le respect du règlement RGPD au niveau de la protection des données personnelles.
• Conseiller l’entreprise : Votre DPO sera en mesure de préconiser les meilleures études d’impact sur la gestion des données personnelles et de veiller à leur bonne exécution.
• Communiquer avec les autorités de contrôle : Il est en effet essentiel de pouvoir répondre efficacement aux demandes de bonne conformité.

Le délégué à la protection des données personnelles se doit donc de pouvoir s’informer sur les nouvelles obligations, de se former à la méthodologie de mise en conformité et évaluation de celle-ci, de réaliser un inventaire des traitements des données personnelles et de sensibiliser les responsables de chaque pôle pour mettre en place des actions efficaces.

2 – Cartographiez les traitements des données personnelles

Recenser de manière précise tous les traitements de données personnelles réalisées par votre entreprise est un des premiers chantiers à réaliser pour le DPO. Pour récapituler tous ces traitements de données réalisés en interne, il est nécessaire de réaliser un registre des traitements pour être transparent sur ce sujet.

Les entreprises devront donc à l’avenir tenir une documentation complète interne sur les traitements des données personnelles ayant lieu dans leur périmètre d’activité. L’idée est de pouvoir identifier les traitements, de connaitre les sous-traitants intervenant sur ces traitements et de s’assurer que ces traitements respectent les obligations du RGPD.

Pour résumer, il sera donc nécessaire de recenser ces différents points :

• Les traitements des données personnelles ;
• Les catégories de données ;
• Les objectifs concernant le traitement de ces différentes données (le RGPD impose un principe de mesure quant à la récolte des données) ;
• Les acteurs internes et externes qui traitent les données faisant l’objet de traitements par votre entreprise (dans le cas de Openhost le périmètre est donc l’hébergement des données et la manière dont elles transitent sur nos infrastructures, nous garantissons une clause de confidentialité de 100% au niveau des données) ;
• Les flux de données : de l’origine jusqu’à la destination pour mettre en lumière des éventuelles sorties hors de l’Union européenne.

Chacun de ces traitements de données poussent donc à se poser de multiples questions :

• Qui ? : Il faut donc inscrire nom/prénom/coordonnées du responsable du traitement et représentant légal de l’entreprise ; Identifiez les responsables des services concernés en interne ; Listez les sous-traitants de ces traitements.
• Quoi ? : Listez les catégories de données traitées et identifiez les données de natures sensibles (données sur la santé, infractions probables, etc.)
• Pourquoi ? : Finalités qui justifient la récolte de ces données (demandes commerciales, gestion RH,…)
• Où ? : Lieux où sont hébergées les données (en France pour Openhost !), indiquez les pays où sont transférées les données si nécessaire.
• Jusque quand ? : Durée de conservation des données pour chaque catégories.
• Comment ? : Mesures de sécurité mises en œuvre pour limiter les risques d’accès à ces données personnelles aux personnes non autorisées. Par exemple, chez Openhost, nous avons un dispositif de haute sécurité pour l’accès physique à nos datacenters mais aussi des mesures de sécurité pour l’accès aux serveurs comme le MFA une stratégie gestion des mots de passe, etc..

3 – Définissez et organisez les actions de conformité à mener

Après avoir désigné un responsable et listé les traitements des données dans l’entreprise et auprès des sous-traitants, il est nécessaire de mettre en place des actions de conformité au RGPD. Il est nécessaire de prioriser les chantiers en fonction des risques que les traitements font peser sur les droits et libertés des personnes.

Pour cela, voici une liste des points sur lesquels il est nécessaire de se pencher :

• Collecte des données raisonnée : seules les données nécessaires aux objectifs définis doivent être collectées ;
• Noter la base juridique sur laquelle se positionne ce traitement : consentement de la personne pour une newsletter, intérêt légitime car prospection sur un secteur d’activité, demande commerciale,…
• Révisez les mentions d’informations : Article 12,12 & 14 du règlement
• Vérifiez que les sous-traitants connaissent bien les nouvelles obligations et soient conscients de la mise en place de procédures si nécessaire Par exemple pour un hébergeur tel que Openhost ce pourrait être le fait de bien identifier les lieux d’hébergement des données : sur nos datacenters en France, sur le cloud Azure en fonction des besoins du projet (en Europe ou hors de l’UE, il est nécessaire de le notifier), etc. Des clauses contractuelles rappelant les obligations des sous-traitants doivent être intégrées pour la sécurité, la confidentialité et la protection des données personnelles en traitement.
• Prévoir les modalités de droit d’accès des personnes à leurs propres données : droits d’accès, rectifications, retrait de consentement,… Ces actions doivent être identifiées et possibles en cas de demande.
• Mesures de sécurité mises en place pour la protection des données : sécurité des serveurs, protection des accès et autres actions mises en place pour veiller à l’intégrité des données (dans le cadre de l’ISO27001, Openhost a mis en place un plan d’actions et de mesures de sécurité pour veiller à cette intégrité).

Certaines catégories de données nécessitent une attention spécifique car elles sont considérées comme plus sensibles : données relevant de l’origine ethnique, des convictions religieuses ou politiques et philosophiques, sur la santé, génétiques ou biométriques, tout ce qui touche aux mineurs, concernant les infractions pénales et sur l’orientation sexuelle.

En cas de transfert des données hors de l’UE

Dans le cas où vos traitements impliquent l’hébergement ou le transit des données hors de l’Union Européenne, certaines mesures supplémentaires s’appliquent :

• Le pays destinataire doit figurer sur la liste des pays adéquat selon la Commission Européenne.
• Si ce n’est pas le cas, alors il est nécessaire d’encadrer les transferts de données. Vous pouvez obtenir plus de détails sur l’encadrement du transfert des données hors de l’UE sur la CNIL.

4 – Identifiez les risques avec le PIA

Une fois les différents traitements de données identifiés et organisés en fonction des risques plus ou moins élevés pour les droits et libertés des personnes, il faudra réaliser une analyse d’impact pour les données sensibles. Cet analyse d’impact sur la protection des données personnelles (PIA, Privacy Impact Assesment) conditionnera les futurs traitements de ces données.

L’analyse d’impact sur la protection des données personnelles (PIA)

Elle se présente sous la forme d’une étude visant à définir des traitements de données respectant la vie privée des personnes. Cette étude est essentielles car elle garantit une bonne partie de la conformité RGPD de votre entreprise.

Le PIA est construit sous forme d’outil d’évaluation avec 2 axes principaux :

• Principes et droits fondamentaux « non négociables » c’est-à-dire fixés par la loi, donc non modulables peu importe les circonstances ;
• Gestion des risques sur la vie privée : il faudra déterminer les risques possibles sur les données personnelles et les mesures pour les contrer (par exemple en cas de cyberattaque, comment se protéger des malwares ? : Sécuriser sa messagerie mail, avoir un centre d’administration anti-virus tel que Defender Security Center proposé par Openhost).

L’analyse d’impact PIA doit contenir :

• Description du traitement étudié et des finalités.
• Évaluation de la nécessité et de la proportionnalité des traitements sur les données au regard des finalités (doit-on forcément les déplacer d’un point à l’autre ? Autant de personnes doivent-elles y avoir accès ?…)
• Évaluation des risques pour les droits et libertés des personnes et lister les mesures de protection face aux risques.

Quand doit-on mener un PIA, pour quels traitements et données ?

Le PIA est à réaliser avant toute mise en place de traitements de données. Les analyses d’impact se doivent d’être revues régulièrement pour pouvoir corriger les mesures mises en place, notamment en cas de changements majeurs sur l’exécution des traitements (changement de sous-traitant par exemple si celui est concerné par le PIA).

Le PIA est obligatoire pour tous les traitements engendrant des risques élevés pour les droits et libertés des personnes donc dès lors qu’un traitement touche à des données sensibles (article 35 RGPD). Une liste de critères d’évaluation a été défini pour déterminer si un PIA est obligatoire sur un traitement, les 9 critères du PIA ont été définis dans les lignes obligatoires du G29. Si votre traitement regroupe 2 critères minimum alors il est nécessaire de réaliser un PIA.

Élaboration de l’analyse d’impact (PIA), qui dois s’en charger ?

• Responsable de traitement : valide le plan d’analyse d’impact (PIA) et s’engage à mettre en œuvre le plan d’action défini ;
• DPO Délégué à la protection des données : élabore le plan d’action et garantit son exécution ;
• Sous-traitant(s) : fournit les informations nécessaires à l’élaboration du PIA ;
• Responsables métiers (RSSI, maîtrise d’ouvrage, maîtrise d’œuvre) : fournissent les éléments nécessaires ;
• Les personnes concernées (propriétaires des données personnelles sensibles) : doivent donner leurs avis sur les traitements réalisés.

5 – Mise en place de processus internes pour le traitement des données personnelles

Mettre en place des procédures internes pour garantir un haut niveau de protection des données est un point essentiel pour assurer sa bonne conformité au RGPD. Il est nécessaire de prendre en compte un ensemble d’évènements ayant un impact sur les traitements identifiés. Ces évènements et risques sont de diverses natures : accès aux données, failles de sécurité, gérer les demandes de rectification, changements sous-traitants, etc.

Pour organiser vos processus en interne, il est donc nécessaire de :

• Prendre en compte la protection des données personnelles dès le début des collectes : « Privacy by Design » : Lors de la conception d’un site, application ou tout traitement, il faut travailler en lien étroit avec le délégué à la protection des données (pour minimiser la collecte, appliquer des durées de conservation max, recueillir le consentement,…) ;
• Sensibiliser et organiser la remontée des informations : pour cela il sera nécessaire de déployer une forte communication en interne pour vos collaborateurs et de prévoir des formations pour les personnes les plus concernées (responsables métiers par exemple) ;
• Traiter les réclamations et demandes des propriétaires des données : définir acteurs et modalités d’exercice des droits de rectification et retrait (l’exercice des droits devra pouvoir se faire via voie électronique, si les données ont été collectées par ce moyen) ;
• Anticiper les violations de données personnelles : en cas de violation des données, il est obligatoire de le notifier aux autorités de protection des données sous 72 heures et aux propriétaires des données dans les meilleurs délais possibles.

Un service de télécommunication des notifications de violations des données personnelles devrait être disponible d’ici Mai 2018 sur le site de la CNIL. En attendant voici le formulaire à remplir en cas de violation des données.

6 – Faites preuve de conformité en documentant toutes vos actions !

Documenter sa conformité est une des étapes clés pour respecter le RGPD. Il est donc nécessaire de constituer et rassembler tous les différents éléments évoqués dans notre article. Ce dossier doit être réévaluer et actualiser de manière régulière pour suivre la vie des traitements et toutes modifications qui pourraient intervenir.

La composition du dossier de conformité au RGPD

Documents sur les traitements des données personnelles :

• Registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)
• PIA – Analyses d’impact sur la protection des données : pour tous les traitements pouvant engendrer de hauts risques pour les droits et libertés des personnes concernées
• Encadrement des transferts en cas de traitements hors de l’UE

Informer les personnes propriétaires des données personnelles traitées :

• Mentions d’information
• ​Recueil du consentement des personnes concernées,
• Procédures pour l’exercice des droits de rectification et rétractation

Contrats définissant les rôles et responsabilités des acteurs :

• Contrats avec sous-traitants et clause de confidentialité
• Procédures internes en cas de violations de données
• Preuves de consentement des personnes concernées si le traitement de leurs données repose sur cette base.

Une fois toutes ces étapes remplies, votre dossier documentaire démontre votre conformité au RGPD ! Si vous souhaitez aller plus loin dans l’analyse de votre sécurité informatique pour empêcher toutes intrusions et attaques informatiques, nous pouvons vous accompagner dans un audit de sécurité informatique.

Notre équipe fait tous les jours face aux problématiques de sécurisation des accès et protection des données, Openhost possède donc une expérience riche en la matière que nous serons ravi de partager en vous accompagnant sur vos projets !

L’article Guide complet pour être conforme au RGPD est apparu en premier sur Openhost.

Découvrez comment la protection contre la perte de données offerte par Microsoft 365 vous aide à vous mettre en conformité.
> En savoir plus

Transferts de données hors de l’UE : les notions fondamentales

Tout transfert de données hors de l’Union Européenne doit se faire dans le respect des conditions prévues par le RGPD. Mais que signifie vraiment la notion de transfert ? Et bien, cette notion n’est pas explicitement définie par le nouveau règlement sur la protection des données. Mais la CNIL en a donné plusieurs définitions, et la suivante est la plus pertinente et la plus simple :

« On parle de transfert de données personnelles lorsque les données personnelles sont transférées depuis le territoire européen vers un ou des pays situés hors de l’UE. Le transfert peut s’effectuer, par copie, par déplacement de données, par l’intermédiaire d’un réseau ou d’un support à un autre ».

C’est dans ces situations que les dispositions du RGPD relatives aux transferts hors de l’UE s’appliqueront.

Quelles sont les conditions à respecter lors d’un transfert de données hors de l’UE ?

Le destinataire des données offre un niveau de protection adéquat

Tout d’abord, ce type de transfert de données à caractère personnel ne pose aucun problème, c’est-à-dire, ne nécessite aucune autorisation particulière, si le pays tiers ou l’organisation internationale (destinataire) a été considéré par la Commission européenne comme offrant un niveau de protection adéquat. Les pays reconnus comme ayant un niveau de protection adéquat des données à caractère personnel sont :

• Suisse
• Canada
• Argentine
• Guernesey
• Ile de Man
• Jersey
• Andorre
• Iles Féroé
• Israël
• Uruguay
• Nouvelle-Zélande

Les états appartenant à l’espace économique européen qui sont la Norvège, l’Islande et le Liechtenstein ont aussi un niveau de protection adéquat.

Pour les entreprises américaines, celles qui appliquent les principes issus de l’accord EU-US Privacy Shield sont considérées par la Commission européenne comme offrant un niveau de protection des données adéquat.

Nécessité d’une autorisation de la CNIL

Ensuite, il y a des cas où les transferts de données hors de l’UE ne seront légaux que suite à une autorisation de la CNIL : une clause contractuelle entre le responsable du traitement (ou sous-traitant) l’organisme hors de l’UE le prévoit…

Aucune autorisation particulière ne sera pas par contre nécessaire si des mécanismes assurant des garanties appropriées ont été mis en place : existence d’un instrument juridique contraignant entre les parties concernées, existence de binding corporate rules…

Dérogations pour situations particulières

Les transferts de données hors de l’UE peuvent également être réalisés dans des situations particulières : consentement de la personne concernée, transfert indispensable à la bonne exécution du contrat entre la personne concernée et le responsable de traitement, transfert nécessaire pour la constatation, l’exercice ou la défense d’un droit devant la justice… La précédente liste n’est pas exhaustive.

Des conditions cumulatives

Si aucune des situations précédentes n’est applicable, le RGPD prévoit qu’un transfert de données à destination d’un pays ou d’une organisation hors de l’UE est possible si les conditions qui suivent sont cumulativement respectées :

• Le transfert n’a pas un caractère répétitif ;
• Le nombre de personnes concernées est limité ;
• Le transfert est indispensable aux fins des intérêts légaux et du responsable de traitement. Et ces intérêts ne sont pas en contradiction avec les intérêts et les droits et libertés des personnes concernées ;
• L’évaluation par le responsable du traitement des circonstances entourant le transfert ;
• La notification de l’autorité de contrôle ;
• L’information des personnes concernées.

L’article Encadrement des transferts de données hors de l’UE : comment rester dans le respect du RGPD ? est apparu en premier sur Openhost.