QU EST-CE QU UN TRANSFERT DE DONNÉES? Constitue un transfert de données vers un pays tiers : toute communication, copie ou déplacement de données par l'intermédiaire d'un réseau, ou toute communication, copie ou déplacement de ces données d'un support à un autre, quel que soit le type de ce support, et dans la mesure où ces données ont vocation à faire l objet d un traitement dans le pays destinataire.
COMMENT ENCADRER LES TRANSFERTS? Principe: Les transferts de données en dehors de l Espace Economique Européen (EEE = UE + Islande, Norvège, Liechtenstein) sont interdits. Exception: sauf si le pays ou l entreprise destinataire assure un niveau de protection suffisant.
COMMENT ASSURER UN NIVEAU DE PROTECTION SUFFISANT? Transfert vers des pays reconnus par la CE comme offrant un niveau de protection suffisant; Transfert vers une entreprise américaine adhérente au Safe Harbor; Transfert encadré par des Clauses contractuelles types; Transfert encadré par des règles d entreprise contraignantes (BCR); Transfert couvert par une exceptionde l article 69 de la loi Informatique et Libertés.
PAYS TIERS OFFRANT UN NIVEAU DE PROTECTION SUFFISANT Article 25(6) de la directive 95/46/CE : La Commission européenne a le pouvoir de décider si un pays tiers offre un niveau de protection des données adéquat en raison de sa législation interne Les 11 pays adéquats au 19 décembre 2012 : Andorre, Argentine, Canada, Ile de Man, Iles Féroé, Israël, Jersey, Guernesey, Nouvelle Zélande, Suisse, Uruguay
LE SAFE HARBOR Depuis la décision du 6 octobre 2015 de la CJUE invalidant la décision 2000/520/CE de la Commission européenne du 26 juillet 2000, le Safe Harbor ne peut plus être utilisé. Principes de protection des données personnelles auxquels des entreprises établies aux Etats-Unisadhèrent afin de pouvoir recevoir des données en provenance de l UE. La liste de ces entreprises est disponible en ligne sur le site du Département du commerce américain (http://safeharbor.export.gov/list.aspx ) Vérifier que l entreprise destinataire du transfert figure dans la liste, que son certificat n est pas périmé, que son statut est actif et que les données objets du transfert sont couvertes par la certification Safe Harbor.
LES CLAUSES CONTRACTUELLES TYPES Objectif :faciliter la mise en œuvre de contrats de transferts Deux types de clauses : Clauses couvrant les transferts de responsable de traitement à responsable de traitement (2001/2004) Clauses couvrant les transferts de responsable de traitement à sous-traitant (2010)
L ENCADREMENT DES CHAÎNES DE SOUS-TRAITANCE
TRANSFERTS VERS UN ST HORS UE PUIS VERS UN AUTRE ST HORS UE A Responsable de traitement Transfert de données B Sous-traitant Transfert de données C Sous-traitant Information et accord préalable du RT avant tout transfert ultérieur Clauses contractuelles types de responsable de traitement à soustraitant (2010) Contrat entre B et C reprenant les obligations principales du contrat entre A et B
TRANSFERTS VERS UN ST AU SEIN DE L UE PUIS VERS UN AUTRE ST HORS UE : Option 1 A Responsable de traitement Transfert de données B Sous-traitant Transfert de données C Sous-traitant Clauses contractuelles types 2010
TRANSFERTS VERS UN ST AU SEIN DE L UE PUIS VERS UN AUTRE ST HORS UE : Option 2 A Responsable de traitement Transfert de données B Sous-traitant Transfert de données C Sous-traitant Adonne mandat à Bpour signer en son nom et pour son compte les clauses contractuelles types Clauses contractuelles types de RT à ST (2010) entre A et C signées par B (au nom et pour le compte de A)
TRANSFERTS SUCCESSIFS VERS DES RT HORS UE A Responsable de traitement Transfert de données B Responsable de traitement Transfert de données C Responsable de traitement Clauses contractuelles types de RT à RT (2001 ou 2004) Contrat entre B et C reprenant les obligations des Clauses contractuelles types de RT à RT (2001 ou 2004)
LE CLOUD COMPUTING ET LA LOI «INFORMATIQUE ET LIBERTES» Enjeux Juridiques En matière de sécurité Actions entreprises par la CNIL Entretiens Consultation publique Synthèse de la consultation et recommandations Avis WP196 du G29 Normalisation (e.g., travaux en cours sur 27017/27018) Groupes de travail
OBJECTIFS DES RECOMMANDATIONS DE LA CNIL Aider les organismes clients de services de cloud, notamment les PME, à faire les bons choix au regard de la loi «Informatique et Libertés» Fournir des pistes de réflexion Proposer des outils pratiques www.cnil.fr/fileadmin/images/la_cnil/actualite/recommandations_pour_les_entreprises_qui_envis agent_de_souscrire_a_des_services_de_cloud.pdf
LES 7 ETAPES CLES 1. Cartographie des données et des traitements 2. Définition des exigences de sécurité technique et juridique 3. Analyse de risques 4. Choix des modèles de services et de déploiement pertinents 5. Choix d un prestataire présentant des garanties suffisantes 6. Révision de la politique de sécurité interne 7. Surveillance des évolutions
DÉTERMINER LA QUALIFICATION DU PRESTATAIRE Analyse factuelle: Faible niveau d instructions Absence de pouvoirs de contrôle Offres standardisées Contrats d adhésion La responsabilité conjointe: Définition et portée Nécessaire partage des responsabilités entre les parties
CLOUD COMPUTING ET TRANSFERTS DE DONNEES Localisation des centres de données: Information des personnes concernées Encadrement des transferts Formalités CNIL relatives aux transferts Accès par des autorités étrangères
LES EXCEPTIONS : une interprétation restrictive Article 69 de la loi Informatique et Libertés Consentement, exécution d un contrat, intérêt de la personne concernée, etc. Absence totale de protection des données Interprétation stricte et application très rare réservée aux transferts qui ne sont pas massifs, structurels, ou répétitifs (cf. WP114 du G29, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_fr.pdf)
LES BINDING CORPORATE RULES (BCR) ou règles d entreprise contraignantes: les RCE pour les pays de l espace francophone: Code de conduite définissant la politique globale d une entreprise en matière de transferts de données personnelles hors de l EEE. Outil qui permet d encadrer les transferts internationaux au sein de groupes internationaux.
POUR QUI? Lesmultinationalesqui exportent des données depuis l EEE vers d autres entités du groupe situées dans des pays tiersn assurant pas un niveau de protection équivalent à celui de l Union européenne. Plus de 66 groupes ont déjà adopté des BCR :Sanofi Aventis, Michelin, Safran, BP, Hyatt, e-bay, IMS Health, Hewlett Packard, Hermès, LVMH, Novartis, Philips, Société Générale
BCR «RESPONSABLE DE TRAITEMENT» vs.bcr «SOUS-TRAITANT» Jusqu à fin 2012, possibilité d adopter des BCR permettant d encadrer des transferts pour lesquels le groupe agit en qualité de responsable de traitement Depuis le 1er janvier 2013, il est possible d adopter des BCR permettant d encadrer des transferts pour lesquels le groupe agit en qualité de soustraitant Un même groupe peut adopter les 2 types de BCR pour couvrir à la fois les traitements dont il est RT et ceux dont il est ST
BCR «SOUS- TRAITANT» Centre de données (sous-traitance ultérieure) Client (responsable de traitement) Prestataire de services (sous-traitant) Centre de données (sous-traitance ultérieure) Centre de données (sous-traitance ultérieure) Contrat de prestation de services («Service agreement») avec BCR ST en annexe Centre de données (sous-traitance ultérieure)
POURQUOI METTRE EN PLACE DES BCR? Espagne Brésil Chine Mali Suède Tunisie Maison mère France Mexique Pologne Inde Grande- Bretagne Maroc Belgique
DE MULTIPLES TRANSFERTS COUVERTS PAR UNE SEULE POLITIQUE GROUPE Brésil Chine Mali Espagne Tunisie Maison mère France Mexique Suède Pologne Inde Grande- Bretagne Maroc Belgique
OBJECTIFS DES BCR Assurerun niveau de protection suffisant aux données transférées hors EEE et donc limiter les risques juridiques, Eviter de conclure un contrat pour chacun des transferts, Uniformiserles pratiques relatives à la protection des données personnelles au sein d un groupe, Prévenir les risquesinhérents aux transferts de données personnelles vers des pays tiers, Communiquer sur la politique d entreprise en matière de protection des données personnelles, Constituer unguide interneen matière de gestion des données personnelles, Placer la protection des données au rang des préoccupations éthiques au même titre que la protection de l environnement.
LE GUIDE TRANSFERTS: un outil pour mieux comprendre les transferts Unlexique 5grandsthèmes Des questions théoriques et pratiques pour chaque grand thème Des schémas Des exemples concrets www.cnil.fr/fileadmin/documents/vos_responsabilites/transferts/guide-transferts-integral.pdf