Transferts internationaux de données : il est temps de repenser les règles d’entreprise contraignantes

par

Ceci est un extrait de l’article récemment publié par la présidente du Center for Information Policy Leadership (« CIPL »), Bojana Bellamy. pièce dans le blog IAPP « Privacy Perspectives », et sont les opinions de l’auteur.

Les transferts internationaux de données continuent d’être un problème juridique et de conformité majeur pour les organisations européennes et mondiales, nécessitant une réévaluation continue et des ressources croissantes.

Dans ses récentes orientations de décembre 2022, le comité européen de la protection des données (le « EDPB ») a fourni un projet d’orientations avec des interprétations et des exigences mises à jour concernant l’utilisation du mécanisme de transfert des règles d’entreprise contraignantes (« BCR »). Ce faisant, l’EDPB a raté une occasion d’aborder les BCR de manière systématique, stratégique et avant-gardiste, et de permettre à cet important mécanisme de transfert d’évoluer en un outil plus évolutif, puissant et pertinent à l’échelle mondiale pour des transferts de données internationaux durables.

Il est grand temps de reconsidérer et de faire évoluer les BCR à la lumière du RGPD et des nouvelles lois, ainsi que des nombreux nouveaux développements dans les transferts internationaux de données en Europe et au-delà. Pour réaliser de manière efficace et efficiente le potentiel des RBC, les décideurs doivent :

  1. Promouvoir, motiver et reconnaître leur nature particulière. La Commission européenne, le CEPD et les autres autorités de contrôle devraient promouvoir de manière proactive l’adoption à grande échelle des BCR et rendre plus facile et plus attrayante l’obtention de l’approbation des BCR par les groupes d’entreprises de toutes tailles. Les exigences des BCR ne peuvent pas être plus strictes que pour d’autres mécanismes de transfert et doivent refléter la nature unique de ce mécanisme de transfert.
  2. Simplifiez et même transformez le processus d’approbation. Pour faciliter leur utilisation plus large, les BCR doivent être évolutives et configurables pour les organisations de toutes tailles et structures d’entreprise. Les autorités de protection des données doivent lire la charge administrative globale et les délais du processus de demande de RCB et fournir des critères clairs et réalisables.
  3. Garantir une approche fondée sur les risques pour les évaluations des risques. Les BCR représentent un engagement contraignant envers un niveau uniforme de protection de la vie privée dans l’ensemble d’un groupe d’entreprises. Les décideurs doivent donc veiller à ce que les orientations et les exigences relatives aux évaluations des risques de transfert dans le cadre des BCR n’aient pas de normes plus élevées que d’autres mécanismes de transfert, telles que les clauses contractuelles types. Au lieu de cela, la même approche contextuelle basée sur les risques devrait s’appliquer aux BCR. Sinon, les entreprises qui ont investi dans un niveau de conformité plus élevé, c’est à direLes BCR sont effectivement pénalisées et découragées de le faire à l’avenir.
  4. Rendre les BCR interopérables et mutuellement reconnues entre les juridictions. À l’heure actuelle, les organisations sont confrontées à un processus redondant consistant à passer par la même procédure d’approbation des BCR dans l’UE et au Royaume-Uni sans aucune différence dans les exigences de fond. Une reconnaissance mutuelle informelle devrait être étendue au Royaume-Uni, tout comme l’expansion passée pour la Suisse, par exemple. En outre, la Global Privacy Assembly devrait travailler sur un projet de reconnaissance mutuelle, en tout ou en partie, pour les BCR approuvées dans des pays hors de l’UE en vertu de lois similaires sur la protection des données, comme le Brésil, Singapour et l’Australie.
  5. Reconnaître les transferts des BCR vers les entreprises approuvées par les BCR. Aujourd’hui, les groupes d’entreprises disposant de BCR ne peuvent s’appuyer sur les BCR que pour les transferts de données intragroupe, c’est à dire, aux responsables du traitement et aux sous-traitants au sein du groupe de sociétés. Étant donné que les BCR sont examinées et approuvées par les régulateurs dans le cadre du RGPD et représentent un programme de conformité complet qui offre un niveau élevé de protection des données pour toutes les données une fois qu’elles entrent dans un groupe d’entreprises, les entreprises avec des BCR devraient être en mesure de faciliter les transferts vers d’autres sociétés approuvées par les BCR. .

Un nombre croissant de juridictions adoptent des dispositions similaires aux BCR. Cela représente une opportunité urgente pour les décideurs politiques d’encourager l’adoption des BCR, en gardant un œil sur l’accessibilité pour les organisations de toutes tailles et la reconnaissance mutuelle entre les organisations approuvées par les BCR au sein de la même juridiction et au-delà.

We use cookies to personalise content and ads, to provide social media features and to analyse our traffic. We also share information about your use of our site with our social media, advertising and analytics partners. View more
Cookies settings
Accept
Privacy & Cookie policy
Privacy & Cookies policy
Cookies list
Cookie name Active
diudei.fr Photo de la page Informations légales

Politique de confidentialité:

CGU certifiées à la RGPD

Quelle durée de mémorisation de vos données:

Au cas où vous enregistrez un texte, le texte et ses données complémentaires sont classés indéfiniment. Cela suppose de rapporter et approuver mécaniquement les commentaires consécutifs au lieu de les maintenir dans la queue de modération.Lorsque les espaces personnels qui s’inscrivent sur notre site (au cas où), nous sauvegardons aussi les informations privées signalées dans leur espace privatif. La totalité des espaces individuels savent voir, modifier ou supprimer leurs datas privées n'importe quand. Les responsables du site peuvent aussi agir sur ces datas.

Protection sur vos informations:

Au cas où vous avez un profil ou si vous avez laissé des commentaires sur le site, vous pouvez de demander à réceptionner un dossier numérique introduisant toutes les données individuelles que nous détenons à votre propos, contenant celles que vous nous avez partagées. Vous avez le droit également de réclamer l'effacement des informations personnelles à votre sujet. Cette fonctionnalité ne concerne pas les informations engrangées à des fins de statistiques, légales ou avec pour objectif de sécurité.

Médias:

Si vous uploadez des photographies sur le site, nous vous recommandons de ne pas le faire des photos incluant des tags EXIF de positionnement GPS. Les personnes surfant sur ce site ont la possibilité de capter des informations de détection à partir de ces fichiers.

Utilisation de vos données privatives:

Tous commentaires des internautes peuvent être contrôlés en utilisant un système mécanisé de détection des commentaires suspects.

Contenu emporté depuis d’autres sites:

Les posts de ce site sont susceptibles d'insérer des datas placées (par exemple des vidéos, images, passages…). Le contenu embarqué à partir d’autres sites se comporte de la même manière que si l'utilisateur explorait cet autre site.Ces sites web ont la possibilité de charger des datas vous concernant, utiliser des cookies, télécharger des programmes de contrôles autres, poursuivre vos interventions avec ces contenus emportés si vous avez un compte interfacé sur leur site internet.

Emploi et communication de vos informations privées:

Lorsque vous voulez une désactivation de votre password, votre adresse IP sera comprise dans l’e-mail de désactivation.

A propos des cookies:

Lorsque vous déposez un texte sur le site, vous serez amenés à enregistrer votre nom, e-mail et site dans des cookies. C’est uniquement pour votre facilité d'utilisation afin de ne pas avoir à redonner ces informations si vous déposez un nouveau texte ultérieurement. Ces cookies cessent au terme d’un an.Quand vous vous rendez sur la partie de connexion, un cookie transitoire va se provoqué afin de repérer si votre programme de navigation admets les cookies. Il ne comprend pas de datas privatives et sera ôté automatiquement dès vous arrêterez votre logiciel de navigation.Au cas où vous vous connectez, nous animons certains cookies afin d'identifier vos datas de connexion et vos préférences d'utilisation. La longévité d'existence d’un cookie de connexion est de deux jours, celle d’un cookie de navigation est de l'ordre de l'année. Au cas où vous validez « Se souvenir de moi », le cookie de l'enregistrement sera stocké durant plusieurs jours. Au cas où vous vous déconnectez de votre espace personnel, le cookie de login sera perdu.Au cas où vous modifiez ou en publiant une page, un cookie additif sera admis dans votre logiciel de navigation. Ce cookie n'est constitué d'aucune information privée. Il dit simplement le numéro de l'article que vous avez décidé de corriger. Il disparaît au bout de 24 heures.

Les textes :

Quand vous écrivez un texte sur ce site, les données insérées dans le formulaire électronique, ainsi que votre adresse IP et l’agent usager de votre logiciel de navigation sont collectés avec pour objectif de nous donner la possibilité de détecter des textes interdits.
Save settings
Cookies settings