La CNIL propose une méthode pour identifier et traiter les transferts de données hors UE

Actualité
Direction RGPD

À la suite de la décision de la CJUE dite « Schrems II », l’employeur doit vérifier la légalité des transferts de données personnelles hors de l’Union européenne et notamment les éventuels transferts vers les États-Unis.

La CNIL propose une méthode pour identifier et traiter les transferts de données hors UE
Publié le
Télécharger en PDF

La CNIL propose une méthode afin d’aider les responsables de traitement à identifier et traiter les transferts de données personnelles hors UE.

Recensez les transferts de données personnelles liés à vos outils numériques

Le recensement doit permettre de mettre en évidence les éventuels transferts de données personnelles hors de l'Union européenne réalisés dans le cadre de vos activités métier (orientées clients/usagers) et de vos fonctions support.

Personnes concernées :

  •  votre délégué(e) à la protection des données (si vous en avez désigné un) ou votre référent(e) données personnelles, qui dispose notamment des informations portées dans votre registre RGPD ;
  •  votre direction des systèmes d’information, qui dispose de la documentation et de la connaissance technique sur le fonctionnement des outils numériques ;
  • votre direction des achats ;
  • les responsables opérationnels des différents services ;
  • vos prestataires numériques pour préciser le périmètre des éventuels transferts.

Vérifiez vos outils numériques (volet technique) :

Le recensement des transferts hors UE s’appuie sur la revue des outils suivants avec, pour chacun d’eux, une vérification des paramétrages existants.

Conseil : si vos moyens sont limités, concentrez vos efforts de recensement sur les outils que vous estimez les plus critiques pour votre organisation.

Outils métier transverses (bureautique et télécommunications) :

  • Identification des outils utilisés de manière transverse dans l’organisation :

emails ;
bureautique : traitements de texte, tableurs, etc. ;
numérisation et reprographie ;
applications mobiles ;
téléphonie fixe et mobile ;
autres services de communications : chat, visioconférence, stockage de fichiers.

  • Vérification des fonctionnalités prévoyant des flux de données vers l’éditeur ou un tiers fournisseur de SDK/Framework ; vérification de la création de comptes obligatoires pour l’utilisation du service (ex. : téléphonie mobile).

Outils des fonctions transverses :

Les outils spécifiques sont les outils utilisés par certaines fonctions de l’organisation. A noter que, pour certains de ces outils, il convient de vérifier la présence de données personnelles : dans le cas d’un ERP de production ou de chaîne d’approvisionnement ou d’un logiciel de gestion des fournitures, les traitements de données personnelles peuvent être limités.

Ces outils concernent au moins les fonctions suivantes :

  • RH : gestion du personnel, paie, recrutement ;
  • communication (dont réseaux sociaux) : production de contenus, recours aux médias, infolettres ;
  • documentation : veille, etc. ;
  • relation client : CRM, etc. ;
  • gestion fournisseurs, chaîne de production : ERP, etc. ;
  • services généraux : comptabilité, gestion des fournitures, édition de badges, restauration, etc. ;
  • sûreté : contrôles d’accès, vidéosurveillance, etc. ;
  • sondages en ligne.

Applications spécifiques à l’activité de l’organisme :

 Applications développées en interne

  • Identification des applications développées en interne.

Quel lieu et prestataire de stockage de l’application ?

  • Identification des outils utilisés pour le développement :

environnement de développement ;
SDK ;
framework ;
logiciels.

Applications tierces installées au sein du réseau

  • Identification des applications tierces installées au sein du réseau :
  • vérification de l’existence de flux vers le fournisseur (mise à jour, télémétrie, etc.) ;
  • vérification de l’accès distant accordé au fournisseur.

Applications tierces installées dans un cloud privé

  • Identification des applications externes installées dans un cloud privé :

vérification de la localisation de l’installation et des sauvegardes ;
vérification des éventuels accès distants par le fournisseur ou ses sous-traitants.

Applications externes installées dans un cloud public

  • Identification des applications externes installées dans un cloud public :

vérification de la localisation de l’installation et des sauvegardes ;
vérification des éventuels accès distants par le fournisseur ou ses sous-traitants.

  • Services de cloud :

services IaaS souscrits ;
services PaaS souscrits ;
services SaaS souscrits.

Infrastructures informatiques (pare-feu, proxy, antivirus, etc.) :

  • Identification des équipements du réseau :

pare-feu ;
proxy ;
reverse proxy ;
antivirus ;
outils d’analyse réseau.

  • Identification des équipements du système :

serveurs de fichiers ;
serveurs de base de données ;
serveurs applicatifs ;
serveurs web ;
système de virtualisation ;
système de sauvegarde.

  • Identification des systèmes de gestion du support informatique :

logiciels de gestion des tickets internes.
Pour chaque système/équipement/logiciel, déterminer si les données sont conservées localement, transmises au prestataire et, le cas échéant, à un sous-traitant ou à une autre société de niveau 2.

Réseaux sociaux et publicité :

Domaines d’attention :

  • réseaux sociaux utilisés pour la communication du responsable de traitement (comptes, pages dédiées, chatbot hébergé sur le réseau social, messageries)
  • widgets intégrés sur le site web (boutons réseaux sociaux) ;
  • boutons connect intégrés sur les formulaires ;
  • traitements réalisés à des fins publicitaires, notamment ceux qui reposent sur une collecte de données en ligne (cookies, RTB, etc.) ;
  • achat de publicité ciblée avec transmission de données de ciblage (emails, numéros de téléphone, données issues d’une CMP…).

Logiciels et services utilisés par les employés :

Logiciels installables par les employés sur leurs postes

Dans l’hypothèse où votre politique informatique permet aux employés d’installer des logiciels sur leur poste, une revue des logiciels installés et des transferts associés doit être engagée.

Services en ligne souscrits

Une revue de l’ensemble des services en ligne souscrits par les employés peut permettre d’identifier d’autres sources de transferts de données hors UE. Un tour d’horizon des directions métiers et des achats peut être nécessaire, de même, le cas échéant, qu’un examen des flux réseaux.   

Vérifiez vos contrats (volet juridique) :

Vérifiez, au moins dans vos contrats les plus critiques pour votre activité et si possible pour l’ensemble de vos contrats, si des transferts de données personnelles hors de l’UE sont prévus ou non.

Points à relever figurant dans les contrats :

  • l’identité du prestataire/cocontractant B to B avec sa nationalité et sa localisation (adresse) ;
  • l’identité du cocontractant B to B avec sa nationalité et sa localisation (adresse) ;
  • la description du service ;
  • les lieux d’hébergement des données personnelles ;
  • les lieux de support technique et la nature des données remontées au support ;
  • la base légale invoquée (clauses contractuelles types validées par la Commission européenne, Privacy shield, règles internes contraignantes « BCR »...) pour les transferts de données hors UE ;
  • la loi applicable au contrat.

Complétez ou constituez votre outil de suivi des transferts hors UE :

La revue que vous conduisez sur les plans technique et juridique doit conduire à mettre en place ou, s’il existe, à compléter un document synthétique recensant les flux hors UE de données personnelles mis en œuvre dans le cadre de vos activités.

Exemples :

  • tableur spécifique recensant les outils numériques concernés, les contrats et prestataires, l’existence de flux de données hors UE, leur destination, ainsi que l’encadrement juridique de ces flux (base légale) ;
  • un diagramme des flux de données maintenu à jour.

Ce document, vous servira ensuite, au fil de l’eau, à suivre l’ensemble des transferts concernant vos activités, en complément de votre registre RGPD ou en s’insérant dans ce registre.

Nombre d’organisations en disposent déjà afin de piloter leur conformité et délivrer l’information requise aux personnes concernées dans le cadre de leur « politique de protection des données personnelles » (privacy policy).

Définissez un plan d’action

Déterminez la criticité pour votre organisation :

Pour pouvoir prioriser les actions à conduire, évaluez plus finement les risques pesant sur votre activité en tenant compte notamment des critères suivants :

  • risques liés aux données personnelles, notamment si les flux portent sur des données sensibles : impact sur les personnes concernées (tiers ou employés) ;
  • risques sur la disponibilité et la sécurité de votre système d’information : impact opérationnel sur le métier et le fonctionnement de l’organisme, impact sur des tiers (clients, fournisseurs, prestataires, partenaires), impact sur la sécurité du système ;
  • risque d’image associé.

Évaluez si les transferts disposent d’une base légale et les solutions envisageables :

Consultez les FAQ de la CNIL.

En particulier, il sera nécessaire :

  • d’identifier l’encadrement des transferts et les outils de transferts mis en place ;
  • d’évaluer l’efficacité de l’outil utilisé par rapport à la législation du pays vers lequel vous transférez les données. Dans le cas où l’efficacité de l’outil est susceptible d’être diminuée du fait de l’application de la législation du pays tiers, vous devez envisager la mise en place de mesures additionnelles ;
  • en fonction de votre analyse juridique et de l’évaluation des risques conduite, 3 options s’offriront à vous :
  1. Poursuivre les transferts de données hors UE.               
  2. Poursuivre les transferts hors UE en définissant de nouvelles garanties :
  • mesures techniques complémentaires (ex. : chiffrement, pseudonymisation, etc.) ;
  • mesures contractuelles complémentaires (ajout de clauses validées par le CEPD dans vos contrats, révision des conventions art. 28 RGP avec vos sous-traitants, etc.) ;
  • mesures organisationnelles complémentaires (sensibilisation des équipes, documentation interne, etc.).
  1. Mettre fin aux transferts sans base légale et redéfinir votre politique de gestion de données.

Faites valider les solutions dégagées par le responsable de votre organisation et assurez un suivi :

  • Soumettez votre analyse et votre plan d’action (actions immédiates, actions de moyen et long termes) au responsable de votre organisation.

Votre plan doit préciser les priorités d’action identifiées, en fonction de la criticité évaluée et des ressources que vous pouvez mobiliser.

  • Mettez en place une revue régulière de vos flux hors UE et de leur légalité

Dans ce cadre, documentez les analyses des législations qui sont le cas échéant faites par votre organisation, ainsi que les mesures mises en place. Cette documentation devra être revue et ré-évaluée régulièrement, en particulier à l’occasion de chaque nouvel achat de service ou d’équipement numérique, pour vérifier notamment :

  • si vos transferts ont évolué (nouveaux prestataires, nouvelle structure de votre organisme ou au contraire résiliation de contrats, etc.) ;
  • si la législation du pays tiers a évolué.

Référence

CNIL – publication du 23 juin 2021