Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Transfert dans le cadre de bureaux à l'étranger

JeremieB

Bonjour à tous,

Nous avons nos bureaux à Londres au Royaume-Uni mais notre entreprise est française et le siège est à Paris. Est ce que je dois déclarer un transfert ?

Merci et bonne journée !

tristanbales-763

Bonjour Jérémie !

Tout d’abord, un transfert hors UE est défini comme « tout transfert de données, effectué par tout moyen de communication, copie ou déplacement de données par l’intermédiaire d’un réseau ou d’un support, quel que soit le type de support, depuis le territoire européen vers un pays situé en dehors de l’Union européenne. »
On s’attache donc à la localisation de la donnée et à son déplacement vers un pays en dehors des frontières de l’UE pour le qualifier.

Si votre entreprise a son siège social basé à Paris, il est certain que vos opérationnels dans vos bureaux à Londres reçoivent des données personnelles en provenance de la France.

Mais en pratique, pour que la qualification de transfert joue, il faudra une ou des opérations entre un importateur et un exportateur différent. Ici, il semble que vous soyez un responsable de traitement unique qui possède des bureaux à Paris et à Londres. Il n’y aura donc pas de transfert mais vous serez soumis au RGPD pour tous ces traitements, y compris pour vos activités à Londres puisque votre siège social est situé en France.

Si vous veniez à effectuer un transfert hors UE, sachez qu’il devra être indiqué dans le registre des traitements, et le responsable de traitement devra veiller à l’inclure dans l’information qu’il fournit aux personnes, au titre des articles 13 et 14 du RGPD.

Pratiquement, dans l’application Dastra, l’inscription de cette mention s’effectue à la création ou à la modification d’un traitement de données dans le registre. Lors de l’étape 8 « destinataires », à la création d’un destinataire, la dernière option est “ajouter un transfert hors UE / EEE”

Concernant l’information des autorités de contrôle ou la prise de mesures supplémentaires, elles ne sont pas nécessaires dès lors que le pays de transfert est jugé adéquat. C’est-à-dire qu’il dispose de garanties équivalentes, en ce qui concerne la protection des personnes et de leurs données, à celles en vigueur dans l’UE. Le Royaume Uni est selon la Commission Européenne un pays adéquat. Pour vos futurs transferts, vous pouvez trouver cette liste ici : [https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde]

JeremieB

Merci beaucoup pour votre réponse Tristan et bonne journée !