allo CNIL tél : 01 53 73 22 22
lettre info CNIL je m’inscris
Le Forum de coopération économique de la région Asie-Pacifique (APEC) s’est réuni en septembre à San Francisco. Il a finalisé un dispositif d’encadrement du transfert de données personnelles au sein de ses pays membres (dénommé "Cross-Border Privacy...
Créée en avril 2010 à l'initiative de la commission des Lois et de la commission des Affaires culturelles, la mission d'information de l'Assemblée nationale sur les droits de l'individu dans la révolution numérique a publié, le 22 juin 2011, les...
La CNIL a modifié son autorisation unique AU 003 concernant les traitements mis en œuvre par des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme. Les responsables de traitements concernés...
La CNIL dispense de déclaration les traitements effectués, dans le domaine des ressources humaines et de la gestion des clients et des prospects, par des prestataires français agissant pour le compte d'entreprises établies hors de l'Union européenne.
Le recours croissant à l'externalisation par les sociétés françaises implique un nombre important de transferts de données personnelles vers des pays n'appartenant pas à l'Union européenne. Ces pays n'assurant pas un niveau de protection des données...
Le site internet de la CNIL propose un nouveau mode d'emploi entièrement consacré aux transferts internationaux. Il comporte une liste des questions les plus fréquemment posées et des conseils pratiques à l'attention des entreprises et de leurs...
Le 7 juillet, le Parlement européen a approuvé le nouvel accord entre l'UE et les Etats-Unis sur le transfert à l'administration américaine de données financières relatives à des citoyens européens. En dépit de garanties supplémentaires apportées,...
Un transfert de données à caractère personnel n'est autorisé que si : le transfert a lieu vers un pays reconnu par la Commission européenne comme "adéquat". C'est le cas du Canada, de la Suisse, de l'Argentine, des territoires de Guernesey, de Jersey et de l'Isle de Man. ou des Clauses contractuelles types de la Commission Européenne sont signées entre deux entreprises ou des Règles internes d'entreprises (BCR) sont adoptées au sein d'un groupe ou l'entreprise destinataire adhère au Safe Harbor, ou des exceptions de l’article 69 de la loi Informatique et Libertés sont invoquées
Partage de données personnelles de clients avec la filiale d’un groupe établie en Tunisie afin de gérer les relances téléphoniques. Envoi des données personnelles des employés vers un sous-traitant situé en Inde afin d’optimiser la gestion de la paie.
Les sanctions en cas de non respect des règles en matière de transferts peuvent aller de 300 000 euros d’amende à 5 ans d’emprisonnement. (Art. 226-16 et 226-16 A du Code pénal et l’Art. 226-22-1 du même Code)
Les entreprises concernées sont les multinationales exportant des données depuis leurs filiales situées au sein de l’Union européenne vers des pays tiers n’assurant pas un niveau de protection équivalent à celui de l’Union européenne.
Les BCR constituent une alternative aux clauses contractuelles types puisqu’elles permettent d’assurer un niveau de protection suffisant aux données transférées hors EU au regard des données personnelles et des droits fondamentaux. En ce sens, elles constituent également une alternative aux principes du Safe Harbor pour les transferts vers les Etats-Unis.
Les BCRs permettent… d’être en conformité avec les principes de la directive européenne 95/46/CE.d’uniformiser les pratiques relatives à la protection des données personnelles au sein d’un groupe.de prévenir les risques inhérents aux transferts de données personnelles vers des pays tiers. d’éviter de conclure autant de contrats qu’il existe de transferts au sein d’un groupe. de communiquer sur la politique d’entreprise en matière de protection des données personnelles auprès de ses clients, partenaires et salariés et de leur assurer un niveau de protection satisfaisant lors des transferts de leurs données personnelles. de constituer un guide interne en matière de gestion des données personnelles.de placer la protection des données au rang des préoccupations éthiques du groupe.