2. Le RGPD, cadre juridique européen unifié
• Protection des personnes physiques à l'égard du
traitement des données à caractère personnel.
• Libre circulation des données à caractère personnel
dans l’Union (+ EEE: Norvège, Islande, Liechtenstein).
• Mécanisme du guichet unique:
Ø Etablissement principal.
Ø Autorité « cheffe de file ».
• Comité européen de la protection des données (CEPD)
3. Le RGPD au-delà de l’Union
• Evolution majeure du cadre juridique européen:
protection des personnes sur le territoire de l’Union et
égalité de traitement entre les acteurs internationaux.
• Champ d’application territorial:
Ø Critère de l’établissement.
Ø Critère de ciblage.
§ Offre de bien ou de service.
§ Suivi du comportement.
4. Transferts de données en dehors de l’UE
• Principe général: s’assurer que le niveau de protection
des personnes physiques garanti par le RGPD ne soit
pas compromis.
• Les outils de transferts du RGPD:
• Décision d’adéquation;
• Règles contraignantes d’entreprises (BCR);
• Clauses contractuelles types (CCT);
• Dérogations (Art. 49 RGPD).
5. Les pays dits « adéquats »
• Décision d’adéquation prise par la Commission
européenne.
Ø Evaluation du niveau de protection dans un pays tiers;
Ø Les transferts ne nécessitent pas d’encadrement
juridique supplémentaire;
Ø Adéquation totale ou partielle.
• Les pays concernés:
Ø Etats-Unis, Japon, Canada, Suisse, Israël, Argentine,
Uruguay, Nouvelle-Zélande, Andorre, Jersey,
Guernesey, Ile de Man, Iles Féroé.
6. Les clauses contractuelles types
• Contrat pour les transferts de données hors UE entre
deux responsables du traitement.
• Contrat pour les transferts de données hors UE entre un
responsable du traitement et un sous-traitant.
Ø En complément du contrat de sous-traitance (Art. 28
RGPD.
• Modèles et mise en place:
Ø https://www.cnil.fr/fr/les-clauses-contractuelles-types-
de-la-commision-europeenne
7. Scénarios et solutions
• Start up parisienne et sous-traitant américain
Ø Adéquation « Privacy Shield »
Ø Liste des entités américaines affiliées
§ https://www.privacyshield.gov/list
• Entreprise en France et filiale au Maroc
Ø Clause Contractuel Type
• Dans tous les cas: l’information aux personnes
concernées
Ø https://www.cnil.fr/fr/conformite-rgpd-information-des-
personnes-et-transparence
8. La Protection des données dans le monde
https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
9. Les enjeux et perspectives au niveau
international
• Le RGPD, outil d’influence européen et de « diplomatie
de la donnée ».
Ø Nouvelles décisions d’adéquations à venir.
• Flux de données internationaux et gouvernance
internationale du numérique, accès aux données par les
autorités de pays tiers.
• La jurisprudence à venir de la Cour de Justice de l’Union
Européenne (Schrems II).
10. L’accompagnement de la CNIL à
l’international
• En ligne sur www.cnil.fr
Ø https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
• Par téléphone, tous les mercredi de 14.00 à 16.00
Ø 01 53 73 22 22
Merci de votre attention !