Brexit et transferts de données dans le cadre du RGPD
L’Union européenne a accordé au Royaume-Uni un report du Brexit jusqu’au 12 avril. A l’issue de cette date, deux
Catégorie : Flux transfrontières
Protection et collecte de données sur Internet : 5e Assises de l’AUSIM
La 5ème édition des « Assises de l’AUSIM » qui s’est tenue les 24, 25 et 26 octobre 2018 à Marrakech, avait pour thème « Le Maroc vers une ère digitale disruptive ». Dans le cadre de cette conférence, une table ronde était organisée sur le thème : « La protection et la collecte de données sur Internet et les défis juridiques et politiques », à laquelle participait Frédéric Forster. 5ème Assises de l’AUSIM à Marrakech L’occasion d’aborder ce que les différentes législations comme le Règlement général sur la protection des données personnelles (RGPD) en Europe, prévoient afin de sensibiliser l’audience quant à l’utilisation des données d’autrui. Au Maroc, le cadre légal est fixé par la loi marocaine 09-08 du 18 février 2009 et la directive nationale de la sécurité des systèmes d’information du Royaume du Maroc de décembre 2013. Ont également été abordés le droit à l’oubli face aux géants du Net (GAFA ou BATX) ainsi que la...
Lancement de l’adoption de la décision d’adéquation UE-Japon
Le 5 septembre 2018, la Commission européenne a lancé l’adoption de la décision d’adéquation concernant le Japon.
Quel avenir pour le EU-US Privacy shield ?
Depuis l’application du RGPD, le EU-US privacy shield est contesté, les parties au contrat doivent s’y préparer.
La localisation des données en Europe dans le cadre du RGPD
Le cabinet a organisé le 15 mars 2018 un petit-déjeuner débat sur la localisation des données en Europe dans le cadre du
Le réseau Lexing® vous informe sur le décryptage du RGPD
Ce numéro spécial international dresse le bilan de la 6e conférence annuelle du Réseau Lexing® sur le décryptage du
Mise en demeure publique de Microsoft par la Cnil
Microsoft a été mise en demeure publiquement par la Cnil en raison de manquements à la Loi Informatique et
Fin du Safe Harbor, premières sanctions en Allemagne
L’Autorité d’Hambourg a sanctionné les sociétés qui n’avaient pas pris en compte l’invalidation du Safe Harbor.
La décision d’adéquation pour l’EU-US Privacy Shield
La commission européenne vient d’adopter, le 12 juillet 2016, une décision d’adéquation visant à reconnaître aux
Le groupe de l’article 29 attend la communication du Privacy Shield
Le groupe de l’article 29 a accueilli favorablement la conclusion de l’accord « EU-US Privacy Shield ».
Etat des lieux sur l’invalidation du Safe Harbor par la CJUE
La Cour de justice de l’Union européenne (CJUE) a invalidé le mécanisme d’adéquation « Safe Harbor », le 6 octobre 2015 (1).
Données personnelles : invalidation de l’accord Safe Harbor
La Cour de justice européenne a invalidé, par décision du 6 octobre 2015, le mécanisme d’adéquation « Safe Harbor ».
Lettre Juristendances Informatique et libertés 65-2015
L’édito de la Lettre juristendances porte sur la décision de la CJUE invalidant le mécanisme d’adéquation « Safe Harbor ».
Cnil : simplification des formalités liées aux flux transfrontières
La Cnil annonce une simplification des formalités pour les multinationales qui mettent en œuvre des flux transfrontières
Niveau de protection des données en Nouvelle-Zélande
Niveau de protection des données en Nouvelle-Zélande. Sur le fondement de l’article 25 §6 de la directive 95/46/CE, la
Nouveau dispositif encadrant les flux transfrontières Asie-Pacifique
Un nouveau dispositif encadre les flux transfrontières avec l’Asie-Pacifique. Les 21 Etats membres de l’APEC (Forum de Coopération économique pour l’Asie-Pacifique),
Israël devient pays adéquat pour le transfert de données
Par décision du 31 janvier 2011 (1), la Commission européenne a reconnu à l’Etat d’Israël un niveau de protection adéquat pour les transferts de données à caractère personnel en dehors de l’Union européenne. Rappelons qu’aucune restriction ne peut être émise sur des flux transfrontières de données à caractère personnel effectués au sein de l’Union européenne. En revanche, est en principe interdit un tel transfert de données vers un Etat destinataire situé en dehors de l’Union européenne (2), à moins que cet Etat destinataire se soit vu reconnaître un niveau de protection adéquat des données personnelles par la Commission européenne (3).
Guide Cnil sur les transferts internationaux de données
La globalisation des échanges et l’utilisation croissante des nouvelles technologies ont conduit à une augmentation des transferts de données à caractère personnel en dehors de l’Union européenne. Prenant acte de cette évolution, la Cnil a publié, en septembre 2010, un nouveau guide dédié aux transferts de données à caractère personnel vers des pays tiers à l’Union.
Les conditions d’application des clauses contractuelles types
Le groupe de travail de l’article 29 a adopté, le 12 juillet 2010, un document apportant d’utiles précisions quant à l’application des clauses contractuelles types issues de la décision 2010/87/UE du 5 février 2010. En particulier, il rappelle le principe selon lequel les clauses contractuelles type sont inapplicables dans la situation dans laquelle le responsable et le sous-traitant sont établis dans l’EEE
Adoption par la Commission européenne de nouvelles clauses contractuelles types
Informatique et libertés Flux transfrontières Flux transfrontières : de nouvelles clauses contractuelles types La Commission européenne a adopté, le 5 février 2010, de nouvelles clauses contractuelles permettant d’encadrer les flux transfrontières de données à caractère personnel vers des sous-traitants établis dans un pays n’offrant pas un niveau de protection adéquat. En permettant d’encadrer les transferts de « sous-traitant » vers « sous-traitant », les nouvelles clauses, prennent mieux en compte le recours croissant à l’externalisation et au « cloud computing » (littéralement, informatique dans les nuages). Ces nouvelles clauses remplaceront, à compter du 15 mai 2010, les clauses contractuelles types résultant de la décision 2002/16/CE du 27 décembre 2001. Aux termes de ces clauses un sous-traitant qui souhaite à son tour sous-traiter le traitement des données à caractère personnel devra au préalable obtenir l’accord écrit de l’exportateur pour le compte duquel les données sont transférées hors Union européenne. Par ailleurs,...
Les règles internes de flux transfrontières intra groupe
Informatique et libertés Flux transfrontières Etablir des règles internes de flux transfrontières intra groupe : le G29 prescrit des règles Pour aider les entreprises à établir des règles internes d’entreprise contraignantes (BCR ou Binding Corporate Rules) conformes aux exigences européennes, le groupe de travail « article 29 », organe consultatif européen indépendant sur la protection des données et de la vie privée, a publié, le 24 juin 2008, deux documents de travail récapitulant l’ensemble des obligations leur incombant. Le premier document de travail WP 153 est un tableau récapitulatif permettant de visualiser les informations qui doivent impérativement figurer dans les règles internes (BCR) et les informations qui doivent être transmises à l’autorité compétente en matière de protection des données en vue de l’approbation des règles internes, à savoir la Cnil. Le second document de travail WP 154, présente le squelette de règles internes (BCR) qui pourraient être adoptées au regard...
L’outsourcing de données à caractère personnel
Informatique et libertés Flux transfrontières Une nouvelle clause pour encadrer l’« outsourcing » de données à caractère personnel Les transferts internationaux de données à caractère personnel hors de l’Union européenne ou vers des pays n’ayant pas fait l’objet d’une reconnaissance par la Commission européenne d’une protection adéquate, nécessitent un encadrement spécifique. Sont notamment concernés le recours à un centre d’appels étranger avec transfert du fichier correspondant pour réaliser les opérations de prospection ou encore la centralisation d’une base de données CRM ou RH. De tels flux doivent faire l’objet d’une autorisation de la Cnil, qui demande à ce titre la conclusion d’une convention de flux de transfert de données, établie à partie de clauses contractuelles types élaborées par la Commission européenne (1). Confronté au phénomène croissant de l’externalisation des données personnelles vers des pays tiers, le G 29 (Groupe de l’article 29) a constaté que les sous-traitants procédaient eux-mêmes à...
Les flux transfrontières de données personnelles
Informatique et libertés Flux transfrontières Les flux transfrontières de données personnelles La loi Informatique et libertés impose une réglementation stricte pour l’exportation des données à caractère personnel hors Union européenne dans les pays n’ayant pas une protection suffisante. Or, il existe de nombreuses situations susceptibles de générer des transferts internationaux de données et dont il faut tenir compte lors de la déclaration de traitement et surtout, de son exploitation. Des entreprises françaises qui communiquent avec des partenaires, des sociétés filiales ou mères ou qui ont des activités situées hors de l’Union européenne sont des situations dans lesquelles se produiront des transferts internationaux de données à caractère personnel. De même, la centralisation intra-groupe de la base de données de gestion des commandes, de la comptabilité clients, ou de la gestion des ressources humaines d’un groupe multinational, ou encore la délocalisation de centres d’appel constituent autant de situations qui entraîneront des transferts...