Alors que l’externalisation est une solution adoptée par une grande partie des entreprises françaises, la Cnil a publié un guide « Les questions posées pour la protection des données personnelles par l’externalisation hors de l’Union européenne des traitements informatiques ».
Ce guide tente d’accompagner les entreprises dans la mise en conformité des transferts qu’elles effectuent vers des pays qui ne sont pas situés au sein de l’Union européenne. En effet, en externalisant des services en dehors de l’Union Européenne, les entreprises sont soumises à de fortes obligations nées de la réglementation applicable en matière informatique et libertés, sous peine de sanctions pénales.
Il donc prudent, avant la mise en œuvre d’un service externalisé (filiales ou sous-traitants) d’analyser la situation afin de :
- déterminer si la société est responsable de traitement ou non ;
- prévoir des clauses spécifiques (sécurité, conformité à la législation, …) à intégrer au contrat d’externalisation ;
- s’assurer de la réalisation des formalités préalables adaptées ;
- prévoir des conventions de flux transfrontières avec ses sous-traitants ;
- le cas échéant, prévoir la mise en place de règles internes au sein de la société qui aurait des filiales en dehors de l’Union Européenne.
Source : Village Justice, "La CNIL s’intéresse à l’externalisation" par Yaël Cohen-Hadria, Avocat
Aucun commentaire:
Enregistrer un commentaire