Transfert de données dans les groupes de sociétés conformément au RGPD

Quel que soit l'endroit où les données doivent être transmises, il s'agit toujours d'un traitement de données au sens du RGPD. Celui-ci doit donc également être autorisé au sens du RGPD. Dans la pratique, cela peut poser des problèmes difficiles, en particulier pour les grands groupes.

Les groupes sont des ensembles d'entreprises qui opèrent toutes sous l'égide d'un groupe, mais qui sont généralement juridiquement indépendantes. De par leur nature, les données doivent souvent être transférées entre les différentes entreprises. En cas d'infraction, des amendes élevées s'appliquent ici aussi.

La question qui se pose est la suivante : existe-t-il dans le RGPD des dispositions qui facilitent ce processus ?

Existe-t-il un privilège de groupe ?

Pour anticiper la réponse : Contrairement à d'autres domaines juridiques, il n'existe pas de véritable privilège de groupe dans le RGPD.

Les groupes n'ont pas seulement pour mission de respecter la protection des données dans une seule entreprise, mais doivent également surveiller cette protection dans plusieurs entreprises et l'adapter dans chacune d'entre elles à l'approche de l'ensemble du groupe. Cela nécessite beaucoup de communication et de coordination.

Le "petit privilège de groupe" du RGPD peut toutefois aider dans ce cas. Conformément à l'article 37 II du RGPD, un groupe, en tant que groupe d'entreprises au sens de l'article 4 n° 19 du RGPD, peut désigner un délégué central à la protection des données pour toutes les entreprises du groupe. Ce délégué à la protection des données doit, en plus de toutes les autres exigences du RGPD relatives à un délégué à la protection des données, être facilement accessible depuis les succursales. Ainsi, dans l'esprit du législateur, il doit pouvoir mieux coopérer aussi bien avec les filiales qu'avec les autorités locales de protection des données. Or, dans le cas des grands groupes qui ont également des filiales internationales, cela représente une condition pratiquement impossible à remplir, en raison des barrières temporelles, spatiales et, le cas échéant, linguistiques.

Dans la pratique, les délégués à la protection des données des groupes sont donc souvent assistés par des coordinateurs locaux de la protection des données (également appelés "privacy managers"). Ceux-ci sont familiarisés avec la législation et la langue locales, mais ne sont pas eux-mêmes des délégués à la protection des données désignés. Ils n'interviennent qu'en tant qu'intermédiaires. En effet, l'article 37 II du RGPD n'exige pas que le délégué à la protection des données du groupe soit toujours disponible sur place, ce qui simplifie de telles solutions. Sinon, l'applicabilité dans la pratique serait également vide de sens. Il doit suffire qu'il puisse être contacté rapidement par des moyens techniques et qu'un rendez-vous sur place puisse être fixé rapidement, du moins au sein de l'UE.

Conflits internationaux

Les grands groupes, en particulier, opèrent principalement à l'échelle internationale, même en dehors du champ d'application du RGPD, ce qui les met au défi de devoir respecter différentes règles de protection des données.

Dans ce cas, la procédure déjà expliquée concernant les coordinateurs de la protection des données est indispensable.

Si un transfert de données a lieu en dehors de l'UE, il faut toujours veiller à ce qu'un niveau de protection correspondant aux normes du RGPD y soit garanti. En outre, le processus de transfert doit être sécurisé de manière à ce que les données ne puissent pas être transmises à des personnes non autorisées.

Le respect des dispositions du RGPD doit bien entendu pouvoir être prouvé conformément à l'obligation de rendre des comptes. Il est donc recommandé de documenter intégralement tous les traitements de données.

Avant d'effectuer une opération, il convient de toujours consulter le responsable de la protection des données concerné lors de la planification.