Modèle d'auditTransferts hors UE - Garantie

RGPD

Déterminez la garantie appropriée pour votre transfert hors UE/EEE

1. Identification d'un transfert hors UE

1.1. Le traitement pour lequel il est envisagé qu'un transfert de données soit réalisé remplit ces conditions :

Le traitement de données concernent des 'informations se rapportant à des personnes physiques identifiées ou identifiables" au sens du RGPD

Un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement donné.

Ce responsable du traitement ou ce sous-traitant ("exportateur") divulgue par transmission ou met autrement à la disposition d'un autre responsable du traitement, d'un responsable conjoint du traitement ou d'un sous-traitant ("importateur") des données à caractère personnel faisant l'objet de ce traitement.

L'importateur se trouve dans un pays tiers ou est une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement donné conformément à l'article 3.

2. Transferts autorisés par principe

2.1. Le transfert se fait-t-il dans des pays suivants ?

Pays membre de l'Union européenne

Andorre

Argentine

Canada

Iles Féroé

Ile de Man

Israël

Guernesey

Japon

Jersey

Nouvelle Zélande

Suisse

Uruguay

Aucun de ces pays

2.2. Le transfert porte-il sur des activités commerciales uniquement ?

La décision d'adéquation sur le Canada ne porte que sur les traitements soumis à la loi canadienne « Personal Information Protection and Electronic Documentation Act » (PIPEDA) dont relève les activités commerciales.

Oui

Non

3. Existence d'outils pour bénéficier de garanties appropriées (art 46 RGPD)

3.1. En l'absence de décision d'adéquation, le traitement repose sur l'un des outils suivant :

un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics

des règles d'entreprise contraignantes conformément à l'article 47

des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d'examen visée à l'article 93.2 RGPD

des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d'examen visée à l'article 93,.2

Un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées

Un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

Aucun de ces outils n'est mis en place

3.2. En cas d'utilisation d'un de ces outils, le responsable de traitement devra s'interroger sur le niveau de protection des données personnelles du pays de destination :

Ce niveau est inférieur à celui de l'UE mais la mise en place de cet outil de transfert permet de compenser l'insuffisance de la protection offerte par ce pays

Ce niveau est inférieur à celui de l'UE et la mise en place de cet outil de transfert ne permet pas de compenser l'insuffisance de la protection offerte par ce pays

Le responsable de traitement ne s'est pas informé sur les garanties offertes par la loi du pays d'importation

4. Conditions particulières exigeant l'accord préalables de la CNIL

4.1. En ce qui concerne l'accord trouvé pour exporter les données, :

Il modifie la substance des clauses principales des CCT prises par la Commission

Les dispositions sont à intégrer dans des arrangements administratifs entre les autorités publiques ou organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Il n'est pas concerné par l'un des deux aspects qui précèdent.

5. Existence de dérogations pour des situations particulières (art 49 RGPD)

5.1. En l'absence de décision d'adéquation, ou de garanties appropriées, y compris des règles d'entreprise contraignantes, le transfert a lieu à l'une des conditions suivantes :

La personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées

Le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée

Lle transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale

Le transfert est nécessaire pour des motifs importants d'intérêt public

Le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice

Le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement

Le transfert a lieu au départ d'un registre qui, conformément au droit de l'UE ou au droit d'un État membre, est destiné à fournir des 'informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d'un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l'Union ou le droit de l'État membre sont remplies dans le cas d'espèce.

Mon transfert n'a lieu sous aucun des conditions énumérées précédemment

5.2. Les articles 45 et 46 ne trouvent pas à s'appliquer, tout comme les dérogations particulières, mais :

orsqu'un transfert ne peut pas être fondé sur une disposition de l'article 45 ou 46, y compris les dispositions relatives aux règles d'entreprise contraignantes, et qu'aucune des dérogations pour des situations particulières visées au premier alinéa du présent paragraphe n'est applicable, un transfert vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si ce transfert ne revêt pas de caractère répétitif, ne touche qu'un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel. Le responsable du traitement informe l'autorité de contrôle du transfert. Outre qu'il fournit les informations visées aux articles 13 et 14, le responsable du traitement informe la personne concernée du transfert et des intérêts légitimes impérieux qu'il poursuit.

Le transfert ne revêt pas de caractère répétitif

Le transfert touche un nombre limité de personnes

Le transfert est nécessaire aux fins des intérêts légitimes et impérieux poursuivis par le responsable de traitement sur lesquels ne prévalent pas les intérêts ou droits et libertés des personnes concernées

Le responsable de traitement a évalué toutes les circonstances entourant le transfert et a offert sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données personnelles

Le responsable de traitement a informé l'autorité de contrôle du transfert ainsi que les personnes concernées. Ces personnes sont également informées de l'intérêt légitime impérieux poursuivi par le responsable de traitement.

L'une des conditions précédentes n'est pas remplie pour mon traitement