Délibération n° 2016-055 du 10 mars 2016 portant autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d'entreprise (BCR) « responsable de traitement » et « sous-traitant » du groupe Capgemini (BCR-027)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0073 du 26 mars 2016 |
| Enactment Date | 10 mars 2016 |
| Date de publication | 26 mars 2016 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Record Number | JORFTEXT000032294922 |
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-II et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 101 et 103 ;
Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
En vertu de l'article 68 de la loi 6 janvier 1978 modifiée, les transferts de données à caractère personnel à destination de pays qui ne sont membres ni de l'Union européenne, ni de l'Espace économique européen et qui par conséquent n'ont pas transposé dans leur législation les dispositions de la directive n° 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sont interdits.
Néanmoins, il peut être fait exception à cette interdiction par application de l'article 69 de la loi précitée, notamment par décision de la Commission nationale de l'informatique et des libertés lorsqu'un niveau de protection suffisant est apporté aux données transférées par l'intermédiaire de règles internes (règles contraignantes d'entreprise ou « binding corporate rules » (BCR) constituant un code de conduite interne s'imposant à toutes les entités d'un groupe).
Au terme d'une procédure de coopération européenne, la Commission nationale de l'informatique et des libertés et les autorités de protection des données compétentes ont reconnu la conformité de ces BCR « responsable de traitement » et BCR « sous-traitant » aux exigences posées par les documents de référence adoptés par le Groupe de travail de l'article 29. A ce titre, les BCR « responsable de traitement » et les BCR « sous-traitant » du groupe Capgemini (dont le siège social mondial est situé 11, rue de Tilsitt, 75017 Paris, France) sont réputées apporter un niveau de protection suffisant aux données personnelles transférées au sein du groupe Capgemini.
Par conséquent, les organismes mentionnés à l'article 1er ci-dessous, qui souhaiteront se référer à la présente autorisation unique n° BCR-027 et adresseront à cette fin à la commission un engagement de conformité pour leurs transferts qui répondent strictement aux conditions définies dans la présente décision d'autorisation unique seront autorisés à mettre en œuvre ces transferts.
Tout transfert ne peut être autorisé que dans la mesure où :
(i) lorsque cela est requis, la formalité relative au traitement auquel ce transfert se rattache, a été dûment accomplie auprès de la Commission nationale de l'informatique et des libertés ; et
(ii) le transfert est réalisé dans le strict respect du cadre défini par ladite formalité.
Par ailleurs, tout transfert de données à caractère personnel qui excéderait le cadre ou les exigences définis par la présente autorisation unique doit faire l'objet d'une décision d'autorisation spécifique.
Sur les responsables de traitement/champ d'application.
Peuvent seules adresser un engagement de conformité à la présente autorisation unique les entités du groupe Capgemini, agissant en qualité de responsable de traitement, étant juridiquement liées par les BCR « responsable de traitement » du groupe Capgemini et ayant mis en œuvre les engagements pris au titre des BCR « responsable de traitement ».
Peuvent également adresser un engagement de conformité à la présente autorisation unique les responsables de traitement ayant recours à des entités du groupe Capgemini, agissant en qualité de sous-traitant, étant juridiquement liées par les BCR « sous-traitant » du groupe Capgemini et ayant mis en œuvre les engagements pris au titre des BCR « sous-traitant ». De plus, les BCR « sous-traitant » du groupe Capgemini doivent être rendues contraignantes à l'égard des responsables de traitement par le biais des contrats de prestation conclus avec les sous-traitants concernés.
Sur les finalités des transferts.
2.1. Sur les finalités des transferts opérés sur la base des BCR «...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI