Par décision du 31 janvier 2011 (1), la Commission européenne a reconnu à l’Etat d’Israël un niveau de protection adéquat pour les transferts de données à caractère personnel en dehors de l’Union européenne. Rappelons qu’aucune restriction ne peut être émise sur des flux transfrontières de données à caractère personnel effectués au sein de l’Union européenne. En revanche, est en principe interdit un tel transfert de données vers un Etat destinataire situé en dehors de l’Union européenne (2), à moins que cet Etat destinataire se soit vu reconnaître un niveau de protection adéquat des données personnelles par la Commission européenne (3).

La globalisation des échanges et l’utilisation croissante des nouvelles technologies ont conduit à une augmentation des transferts de données à caractère personnel en dehors de l’Union européenne. Prenant acte de cette évolution, la Cnil a publié, en septembre 2010, un nouveau guide dédié aux transferts de données à caractère personnel vers des pays tiers à l’Union.

Le groupe de travail de l’article 29 a adopté, le 12 juillet 2010, un document apportant d’utiles précisions quant à l’application des clauses contractuelles types issues de la décision 2010/87/UE du 5 février 2010. En particulier, il rappelle le principe selon lequel les clauses contractuelles type sont inapplicables dans la situation dans laquelle le responsable et le sous-traitant sont établis dans l’EEE

Informatique et libertés Flux transfrontières Flux transfrontières : de nouvelles clauses contractuelles types La Commission européenne a adopté, le 5 février 2010, de nouvelles clauses contractuelles permettant d’encadrer les flux transfrontières de données à caractère personnel vers des sous-traitants établis dans un pays n’offrant pas un niveau de protection adéquat. En permettant d’encadrer les transferts de « sous-traitant » vers « sous-traitant », les nouvelles clauses, prennent mieux en compte le recours croissant à l’externalisation et au « cloud computing » (littéralement, informatique dans les nuages). Ces nouvelles clauses remplaceront, à compter du 15 mai 2010, les clauses contractuelles types résultant de la décision 2002/16/CE du 27 décembre 2001. Aux termes de ces clauses un sous-traitant qui souhaite à son tour sous-traiter le traitement des données à caractère personnel devra au préalable obtenir l’accord écrit de l’exportateur pour le compte duquel les données sont transférées hors Union européenne. Par ailleurs,...

Informatique et libertés Flux transfrontières Etablir des règles internes de flux transfrontières intra groupe : le G29 prescrit des règles Pour aider les entreprises à établir des règles internes d’entreprise contraignantes (BCR ou Binding Corporate Rules) conformes aux exigences européennes, le groupe de travail « article 29 », organe consultatif européen indépendant sur la protection des données et de la vie privée, a publié, le 24 juin 2008, deux documents de travail récapitulant l’ensemble des obligations leur incombant. Le premier document de travail WP 153 est un tableau récapitulatif permettant de visualiser les informations qui doivent impérativement figurer dans les règles internes (BCR) et les informations qui doivent être transmises à l’autorité compétente en matière de protection des données en vue de l’approbation des règles internes, à savoir la Cnil. Le second document de travail WP 154, présente le squelette de règles internes (BCR) qui pourraient être adoptées au regard...

Informatique et libertés Flux transfrontières Les flux transfrontières de données personnelles La loi Informatique et libertés impose une réglementation stricte pour l’exportation des données à caractère personnel hors Union européenne dans les pays n’ayant pas une protection suffisante. Or, il existe de nombreuses situations susceptibles de générer des transferts internationaux de données et dont il faut tenir compte lors de la déclaration de traitement et surtout, de son exploitation. Des entreprises françaises qui communiquent avec des partenaires, des sociétés filiales ou mères ou qui ont des activités situées hors de l’Union européenne sont des situations dans lesquelles se produiront des transferts internationaux de données à caractère personnel. De même, la centralisation intra-groupe de la base de données de gestion des commandes, de la comptabilité clients, ou de la gestion des ressources humaines d’un groupe multinational, ou encore la délocalisation de centres d’appel constituent autant de situations qui entraîneront des transferts...