Casse-tête RGPD : Comment transférer des données personnelles hors UE ?

Le Règlement Général sur la Protection des Données (RGPD) renforce les obligations des entreprises pour protéger les données personnelles des Européens. Or de nombreuses sociétés sous-traitent aujourd’hui une partie de leurs traitements à des prestataires situés hors de l’Union Européenne, notamment aux États-Unis. Se pose alors la question de la conformité de ces transferts de données.

Lors d'un webinaire organisé par Leto, la consultante privacy Garance est revenue sur ce sujet épineux. Elle a rappelé que seuls 13 pays disposent à ce jour d'une décision d’adéquation de la Commission Européenne reconnaissant leur législation comme équivalente au RGPD en termes de protection des données. Les États-Unis ne font plus partie de cette liste depuis 2020.

Les entreprises utilisant des services cloud comme AWS, Microsoft Azure ou même l’outil d’analytics Google Analytics sont donc particulièrement concernées. Certains cas récents ont défrayé la chronique, comme celui de la start-up de prise de rendez-vous médicaux Doctolib qui stockait des données de vaccination Covid-19 sur les serveurs d’AWS.

Heureusement, différentes mesures existent pour sécuriser les transferts, à commencer par la négociation de garanties spécifiques dans les contrats des sous-traitants. Le chiffrement ou la minimisation des données envoyées sont également vivement conseillés pour réduire les risques.

Si le sujet peut sembler complexe pour les non-spécialistes, suivre une démarche proactive et documenter ses efforts sont déjà un bon début pour tendre vers la meilleure protection possible des données personnelles.