RGPD : Inconvénients des modèles de clauses et règles d'entreprise obligatoires

23. Février 2018 | Drooms Global

Les modèles de clauses et les BCR peuvent apporter une option appropriée aux entreprises de toutes tailles, mais des problèmes peuvent survenir lorsque les situations deviennent plus complexes. La nature impraticable et laborieuse de ces processus constitue leur principal inconvénient.


Les manques relatifs à la confidentialité et la protection des données ont pris une réelle importance que les organisations gouvernementales ne peuvent plus ignorer.

D'après les statistiques de la Commission européenne, seulement 15% des sondés estiment pouvoir contrôler les informations qu'ils fournissent en ligne. L'érosion de la confiance est particulièrement problématique. Par conséquent, le RGPD est bien accueilli car il a pour rôle d'unifier les règles et d'améliorer leur application.

Qu'est-ce que le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) a nécessité des années de préparation jusqu'à sa mise en application en mai 2018, date à laquelle il remplacera les lois nationales sur la protection des données dans les pays de l'UE.

Qu'il soit appliqué par une personne ou une entreprise, le RGPD régulera le traitement des données personnelles dans l'UE. Le RGPD ne régulera pas le traitement des données personnelles appartenant à des personnes décédées ou à des entités juridiques. De plus, il n'aura pas d'impact sur les données traitées par une personne pour des motifs purement personnels. Les traitements de données réalisés à domicile et sans relation avec une activité professionnelle ou commerciale ne feront pas l'objet d'une investigation.

En termes de portée, le RGPD couvre toutes les données liées à une personne vivante identifiée ou identifiable. Toute information ou partie d'une information, qui peut permettre de déterminer l'identité d'une personne constitue une donnée personnelle. La loi s'applique aux données personnelles qui ont été désidentifiés, chiffrées ou pseudonymisées, mais qui peuvent être utiles à une réidentification conformément à leur juridiction. Les informations couvertes par la loi incluent diverses données, telles que le nom d'une personne, des données liées à sa résidence, à ses revenus, à ses informations bancaires et/ou une adresse IP. Toute donnée personnelle qui a été anonymisée ne peut plus être considérée comme étant une donnée personnelle. Par exemple, une adresse e-mail qui n'indique pas l'identité de la personne n'est pas couverte par la loi. Le RGPD repose sur une approche technologiquement neutre dans le sens où elle protège les données personnelles indépendamment de la technologie utilisée ou utilisable pour traiter ces données. L'obligation de protection est toujours applicable, que les données soient ou non stockées dans le cloud, sur des bandes vidéo ou sur du papier.

Impact du RGPD

Le RGPD concerne les personnes et les entreprises. Pour les personnes, le RGPD donne plus de pouvoir aux propriétaires des données et leur permet de mieux contrôler les types de données et les méthodes utilisées par les entreprises pour les traiter. Ceci aura donc des conséquences directes sur les méthodes que les organisations utiliseront pour traiter et protéger les données personnelles. Son influence touchera non seulement les entreprises qui opèrent dans l'UE, mais aussi dans le monde entier.

En cas de non conformité ou de violation des données personnelles, les amendes imposées aux entreprises peuvent être plus lourdes. Les organisations sont donc forcées d'être plus vigilantes pour assurer la conformité et la protection des données. Mais la nouvelle réglementation a l'avantage d'unifier les règles dans tous les pays de l'UE, ce qui peut améliorer l'efficacité, l'innovation et réduire les coûts d'exploitation.

Comment assurer la conformité et une protection appropriée des données ?

Actuellement, les transferts de données personnelles vers un pays ou territoire à l'extérieur de l’Espace économique européen (EEE) sont interdits, sauf si le pays offre un niveau de protection approprié aux données et à leurs traitements. Ces protections incluent des modèles de clauses et des règles dites règles d’entreprise contraignantes ou (Binding Corporate Rules). Ces règles et ces clauses seront reconnues comme moyens formels de légitimisation des transferts interfrontaliers pour les contrôleurs (qui contrôlent les données) et les processeurs (qui traitent les données au nom d'autrui).

Que sont les modèles de clauses?

L'UE a défini des modèles de clauses contractuelles qui constituent une méthode commune et normalisée pour transférer des données personnelles à des contrôleurs ou des processeurs basés dans des pays non-conformes à l'extérieur de l’EEE. Ces modèles fonctionnent comme un contrat entre deux entités juridiques, mais sans exiger de licence. Les modèles de clauses conviennent souvent aux petites entreprises, et sont immédiatement disponibles. Ils peuvent être ajoutés à d'autres accords principaux entre deux parties.

Que sont les BCR ?

Les BCR forment un code de conduite obligatoire au sein d'un groupe d'entreprises engagées dans la même activité économique. Elles autorisent le transfert de données personnelles dans d'autres pays et nécessitent une licence. Le mécanisme d'autorisation des BCR est plus facile depuis la mise en vigueur du règlement général sur la protection des données. Ces contrats sont spécialement conçus et donc parfaits pour les grandes entreprises, ou multinationales, qui doivent respecter des accords contractuels.

Les inconvénients des modèles de clauses et des BCR

Les modèles de clauses et les BCR peuvent apporter une option appropriée aux entreprises de toutes tailles, mais des problèmes peuvent survenir lorsque les situations deviennent plus complexes. La nature impraticable et laborieuse de ces processus constitue leur principal inconvénient.

Non applicables à toutes les utilisations

En particulier, les modèles de clauses ne conviennent souvent pas lorsqu'un traitement complexe des données est requis. Une organisation qui est une entité juridique peut opérer au sein d'une structure de filiales et se retrouver dans une position difficile. Plus l'entreprise est grande, plus cela peut devenir difficile, parce qu'elle aura besoin de centaines de clauses, lui imposant donc un travail administratif lourd et coûteux. Alors que pour les petites entreprises, les coûts des BCR peuvent être excessifs. De plus, les BCR ne couvrent pas les transferts destinés à des entités tierces. D'autres méthodes sont alors nécessaires lorsque l'organisation doit transférer des données personnelles à l'extérieur de son groupe d'entreprises. Pour certains, plus l'organisation est complexe, plus grand sera son degré de vulnérabilité, et plus elle sera exposée à des risques de violation des données

Problèmes avec les lois locales

Bien qu'ils créent un code de conduite unifié au sein de l'UE, les modèles de clauses et les BCR peuvent être incompatibles avec certaines lois locales. Dans certains États membres, des lois peuvent interdire l'utilisation d'un concept de déclaration unilatérale, et donc créer des problèmes d'application..

Processus trop longs

L'obtention d'une BCR peut exiger beaucoup de temps et retarder considérablement le processus d'autorisation. Un rapport 2016 publié par Allen & Overy indique que le plus court des processus pour obtenir un permis a pris pas moins de 11 mois. Mais la situation évolue. Le RGPD autorisera des transferts sans autorisation spécifique d'un organisme de protection des données.

Un investissement initial important

En termes de BCR, le processus de demande n'est pas seulement long, mais il représente aussi un investissement important. Si les coûts de conformité peuvent être élevés lorsque les problèmes de conformité sont traités différemment, l'investissement initial en termes de financement et de ressource peut être un obstacle important pour de nombreuses organisations.

Trouver des solutions à l'extérieur des protections courantes

La suppression de l'obligation de notifier ou d'obtenir une autorisation auprès d'une autorité réduit les tâches administratives liées à chaque transfert international. L'émission rationalisée des BCR augmentera probablement et deviendra une option intéressante pour de nombreuses entreprises. Cependant, les entreprises ne connaissent pas encore tous les changements et le meilleur processus à mettre en œuvre. D'après un rapport McKinsey, seulement 10% des grandes entreprises européennes ont mis en place des pratiques de gestion du risque lié à la cybersécurité et 45% savent qu'elles ont besoin d'un investissement important pour se conformer aux exigences du Règlement général sur la protection des données. Cependant, des solutions européennes existent pour aider les entreprises à éviter ces investissements coûteux et à traiter sérieusement les questions de cybersécurité.

En tant que fournisseur de datarooms virtuelles, Drooms intègre déjà les exigences de la RGPD, et fournit aux entreprises une solution facile, capable de protéger les clients contre les inconvénients des tâches administratives et des frais de conformité élevés. Drooms a toujours accordé la plus haute importance à la protection de la confidentialité de ses clients. Drooms est déjà conforme à la législation allemande sur la protection des données. Les mesures de sécurité mises en place protègent les données contre les modifications, les traitements et les suppressions injustifiés. La clarté de la structure d'entreprise, l'absence de sous-traitants, le stockage de données sur des serveurs européens pour éviter des transferts risqués font partie des solutions que nous offrons pour garantir la sécurité et la confidentialité des données critiques. Avec Drooms, vous n'avez pas besoin de modèles de clauses ou de BCR. Grâce à Drooms, les entreprises peuvent bénéficier d'un avantage géographique en termes de contrôles de conformité et pour éviter des conflits coûteux à long terme.