Transferts de Données Hors UE : Sanction de 290 Millions d’Euros pour UBER

par | 24 juillet 2024 | Privacy

Transferts de Données Hors UE :
Sanction de 290 Millions d’Euros pour UBER

Integraal-MD Transfert de données hors UE DPO externalisé

Contexte et Sanction

Le 22 juillet 2024, l’autorité néerlandaise de protection des données, en coopération avec la CNIL, a infligé une amende de 290 millions d’euros à UBER B.V. et UBER TECHNOLOGIES INC. Cette sanction fait suite à des transferts de données personnelles hors de l’Union Européenne sans garanties suffisantes.

Règles d’Entreprise Contraignantes (BCR) :
un outil de suivi par la CNIL

Que sont les BCR ?

Les Règles d’Entreprise Contraignantes (BCR pour Binding Corporate Rules) sont des politiques de protection des données au sein d’un groupe d’entreprises. Elles permettent aux entités liées de transférer des données personnelles hors de l’Union Européenne, conformément au Règlement Général sur la Protection des Données (RGPD).

Qui est concerné ?

Les BCR concernent principalement les entreprises multinationales implantées dans plusieurs pays de l’Union Européenne et en dehors de celle-ci. La CNIL accompagne ces groupes dans la mise en œuvre effective des obligations issues des BCR.

Nouvel outil de suivi pour la Conformité aux BCR

La CNIL a publié un outil de suivi en français et en anglais pour aider les groupes détenteurs de BCR à vérifier leur conformité. Cet outil se déploie en trois étapes au moyen de 2 questionnaires :

  1. Sélection des Entités : Le Délégué à la Protection des Données (DPO) ou la personne en charge du groupe choisit les entités qui feront l’objet du suivi, qu’elles soient situées en UE ou non.
  2. Questionnaire « Entité Locale » : Les entités sélectionnées complètent un premier questionnaire et le transmettent au DPO du groupe. Ce questionnaire permet de vérifier le déploiement concret et harmonisé des BCR et d’assurer une gouvernance adaptée.
  3. Questionnaire « DPO Groupe » : Le DPO du groupe complète un second questionnaire basé sur les informations remontées par le premier questionnaire. Ce second questionnaire offre une vue synthétique du déploiement de la gouvernance des BCR.

Actions suite aux Résultats

Sur la base des résultats obtenus, le DPO peut :

  • Compléter la documentation de conformité du groupe.
  • Proposer un plan d’actions correctives.
  • Solliciter la mise en place d’audits pour assurer la conformité continue.
Integraal-MD Transfert de données hors UE DPO externalisé

Conclusion : de l’importance de garantir des transferts de données sécurisés hors de l’UE

La sanction infligée à UBER souligne l’importance de garantir des transferts de données sécurisés hors de l’UE. L’outil de suivi des BCR proposé par la CNIL est un pas concret vers une meilleure gouvernance des données personnelles au sein des groupes multinationaux.

Pour plus d’informations, consultez les ressources de la CNIL :

Integraal-MD – Privacy & Data au service de votre business

Vous pourriez aussi être intéressé(e) par

Fin du Privacy Shield -integraal-md vous aide à vous mettre en conformité avec la RGDP

RGPD et Transferts de Données : fin du Privacy Shield – quels impacts ?

Privacy shield transfert donnees rgpd

RGPD et Transfert des données hors UE : qu’en est-il après la fin du Privacy Shield ?

Rapport d'activité CNIL 2021 : l'essentiel rgdp en résumé par integraal-md

RGPD, l’essentiel du rapport d’activité 2021 de la CNIL