Nouvelle publication de la CPVP.

La CPVP (Commission de la protection de la vie privée) à publier

Un guide pour préparer les petites et moyennes entreprises (PME) au Règlement Général sur la Protection des Données.

Ce RGPD vade-mecum pour les PME est disponible en téléchargement à l’adresse suivante :

En français : https://www.privacycommission.be/sites/privacycommission/files/documents/PME_FR.pdf

En Néerlandais : https://www.privacycommission.be/sites/privacycommission/files/documents/KMO_NL.pdf

 

Voici un exemple tiré de ce document :

4 Où vont vos données ?

Parfois, une PME obtient des données à caractère personnel en Belgique mais pour le traitement ultérieur de ces
données, elle fait appel aux services d’un sous-traitant dont les serveurs se trouvent à l’étranger. Au sein de l’Union
européenne, toutes les données à caractère personnel peuvent circuler librement. Si le traitement de données a lieu
en Allemagne par exemple, la PME ne doit pas exiger de garanties supplémentaires. Si le traitement de données a
lieu en dehors de l’Union européenne, le transfert des données à caractère personnel ne peut se faire que sous des
conditions strictes.

Le transfert vers un «pays tiers» en dehors de l’Union européenne est autorisé :
• lorsque cette destination est reconnue par la Commission européenne comme étant une destination offrant
un niveau de protection similaire (décision d’adéquation). La liste des destinations reconnues est disponible sur
ce site Internet;
• lorsque le sous-traitant offre des garanties appropriées supplémentaires dans le contrat pour assurer un niveau
de protection similaire de manière contractuelle. Cela est possible en ajoutant des dispositions type que la
Commission européenne ou l’APD a approuvées ;

Ces mécanismes garantissent la sécurité des données à caractère personnel et veillent à ce que les personnes
concernées puissent exercer leurs droits, même si le traitement a lieu dans un pays ayant un autre type de législation
en matière de protection de la vie privée.

Le RGPD prévoit encore plusieurs autres mécanismes afin de permettre des transferts vers un pays tiers (des règles
d’entreprise contraignantes, des codes de conduite, des dérogations pour des situations spécifiques, etc.). Ceux-ci
21 dépassent toutefois le cadre de la présente brochure. Il importe surtout qu’une PME sache où vont ses données et
qu’elle comprenne qu’un transfert en dehors de l’Union européenne exige des garanties supplémentaires.

EXEMPLE : une PME a recours à un sous-traitant suisse pour gérer le trafic de courriers électroniques (fournir des
adresses e-mail, enregistrer les courriers électroniques, etc.). Le soustraitant conserve les courriers électroniques
sur des serveurs qui se trouvent en Suisse. Ce transfert de données à caractère personnel n’exige pas de garanties
complémentaires car la Suisse est reconnue par la Commission européenne comme une destination offrant un
niveau de protection similaire.

TO DO
Contrôlez si votre sous-traitant traite les données à caractère personnel en dehors de l’Union européenne.
1) Si oui, contrôlez alors si cette destination est reprise dans la liste de destinations présentant un niveau de protection
adéquat qui ont été reconnues par la Commission européenne.
2) Si la destination ne figure pas sur cette liste, vous devez négocier des garanties contractuelles supplémentaires.

Source :CPVP page 20 du guide pour PME.

Tagged with:
%d blogueurs aiment cette page :