Un collaborateur qui se connecte à l’intranet ou au CRM de sa société à partir d’un pays hors UE ne constitue pas un transfert de DCP
Par Christophe CHAMPOUSSIN • Gérant ANAXIA CONSEIL • 11 juillet 2019 • LinkedIn
Discussion intéressante sur le forum de l’AFCDP sur la thématique Une consultation de données constitue-t-elle un transfert de données hors EU ?
Précisons la question par un exemple : un collaborateur se trouve hors UE dans un pays qui n’est pas considéré comme adéquat et il consulte le CRM de la société et a de ce fait accès à des données à caractère personnel de clients/prospects (imaginons que ce soit du B2C pour simplifier). Est-ce un transfert de DCP ?
Même si ce n’est pas a priori intuitif, cela ne constitue pas un transfert au sens du RGPD.
Plusieurs pistes de réflexion :
1) Les transferts hors UE doivent être encadrés par exemple par des BCR ou des CCT/CTP. Les Clauses Contractuelles Types sont signées entre un responsable de traitement ou sous-traitant (émetteur des données) et un responsable de traitement ou sous-traitant (récepteur des données). Qui serait le récepteur dans le cas évoqué ? Avec qui signer ces CCT ?
2) Un transfert doit s'entendre « vers une autre entité juridique » (RT/ST). Ce n’est pas le cas pour un collaborateur qui consulte les outils de la société à distance.
3) Comme souvent avec le RGPD, il faut creuser au-delà de la lecture des articles. Et ici il faut surtout revenir au "pourquoi" de cette réglementation sur les transferts pour clarifier cette problématique. Les transferts sont encadrés car l'UE considère que les pays hors UE (sauf pays dits adéquats) n'offrent pas, de par leur législation, des garanties suffisantes. C’est à dire qu'elles n'imposent pas aux organismes de leur pays des règles équivalentes aux nôtres. Or quand un salarié français consulte ses outils professionnels hors UE, la réglementation applicable à ces données est ... le RGPD !
4) Et un dernier raisonnement par l’absurde. S’il s’agit d’un transfert, cela a (au moins) 2 conséquences :
