Politique relative aux transferts internationaux de données à caractère personnel

La Politique relative aux transferts internationaux de données à caractère personnel établit les exigences d’identification, d’approbation, d’enregistrement, de revue, de restriction et de suspension des transferts internationaux de données à caractère personnel. Elle s’applique aux activités de responsable du traitement, de responsable conjoint du traitement, de sous-traitant et de sous-traitant ultérieur lorsque des données à caractère personnel sont mises à disposition, consultées depuis, stockées dans, hébergées dans, divulguées ou autrement transférées en dehors du périmètre de traitement approuvé enregistré dans REG02 ou REG09. Le champ d’application couvre les affiliés internes, les destinataires externes, les sous-traitants, les sous-traitants ultérieurs, les prestataires de services, l’accès au support, les lieux d’hébergement, l’administration à distance, les transferts ultérieurs, les demandes de divulgation émanant d’autorités publiques et les modifications de services liées aux transferts. Un élément central de la politique est son approche fondée sur les éléments de preuve. La politique prévoit que les transferts internationaux doivent être identifiés avant le début ou la modification du traitement, et que les enregistrements de transfert approuvés doivent être tenus à jour dans REG09. REG09 est l’élément de preuve principal relatif aux transferts, tandis que REG02, REG08 et REG12 fournissent les éléments de preuve à l’appui des activités de traitement, des relations avec les fournisseurs et les sous-traitants, des exceptions, des non-conformités, des actions correctives et de la revue de direction. Les champs REG09 requis comprennent la destination du transfert, le destinataire, le rôle PIMS, l’outil de transfert, les éléments de preuve à l’appui, la date de revue et le propriétaire. Cette structure vise à aider l’organisation à démontrer une gouvernance responsable des transferts sans créer de registres redondants d’analyses d’impact des transferts de données ou de clauses contractuelles types. La politique définit des contrôles pour la sélection de l’outil de transfert, l’approbation et la revue des risques. Pour les transferts réalisés en qualité de responsable du traitement, le responsable de la protection des données / responsable du PIMS enregistre l’outil de transfert approuvé et les éléments de preuve à l’appui dans REG09 avant le début du transfert. Le délégué à la protection des données / conseiller en protection des données examine les éléments de preuve relatifs à l’outil de transfert avant l’approbation de nouveaux transferts internationaux de données à caractère personnel, de transferts faisant l’objet d’une modification substantielle ou de transferts présentant un risque plus élevé, et réalise la revue du risque de transfert lorsqu’elle est déclenchée. Lorsque des garanties techniques sont utilisées, le responsable de la sécurité de l’information enregistre le statut de dépendance aux garanties techniques dans REG09 ou REG12. Si le risque résiduel de transfert est élevé, Top Management doit approuver la poursuite du transfert dans REG12 avant l’acceptation de ce risque. La gouvernance des sous-traitants, des sous-traitants ultérieurs et des transferts ultérieurs est également traitée. Le responsable des fournisseurs / des achats doit obtenir une autorisation ou une instruction du client documentée dans REG08 et REG09 avant d’initier des transferts internationaux de données à caractère personnel par un sous-traitant, enregistrer l’autorisation des sous-traitants ultérieurs et les conditions de transfert répercutées, et empêcher tout transfert ultérieur par un sous-traitant ou un sous-traitant ultérieur tant que l’autorisation du client n’est pas enregistrée. La politique exige également que les itinéraires de transfert ultérieur, les catégories de destinataires, les restrictions et les obligations soient enregistrés avant l’approbation. Les demandes de divulgation émanant d’autorités publiques étrangères doivent être enregistrées dans REG09 ou REG12 avant la divulgation lorsque cela est possible, ou dans un délai d’un jour ouvrable lorsque l’enregistrement préalable n’est pas possible, et les demandes à enjeu significatif pour la vie privée doivent faire l’objet d’une revue par le conseiller en protection des données lorsque cela est possible. La gouvernance continue est assurée par des exigences définies de revue, de mesure, d’exception et de mise en application. Les enregistrements de transfert actifs sont revus au moins une fois par an et dans les 30 jours suivant une modification substantielle du transfert, tandis que le responsable de la protection des données / responsable du PIMS revoit au moins une fois par trimestre les revues de transfert en retard, les enregistrements incomplets, les transferts suspendus et les exceptions de transfert ouvertes. Les indicateurs comprennent le pourcentage d’enregistrements REG09 actifs comportant des éléments de preuve complets relatifs à l’outil de transfert, les revues de transfert en retard, les transferts suspendus ou reportés, les éléments de preuve de sous-traitant ou de tiers en retard, ainsi que les activités de traitement REG02 non rapprochées comportant des indicateurs de transfert international potentiel. Les exceptions doivent être enregistrées dans REG12 avant de devenir actives, assorties d’un propriétaire, d’une date d’expiration, d’un contrôle compensatoire et d’une fréquence de revue, puis revues au moins une fois par mois jusqu’à leur clôture. Les non-conformités doivent être enregistrées lorsque des transferts non enregistrés, des outils de transfert non étayés, une autorisation manquante, des revues en retard, des éléments de preuve manquants relatifs aux transferts ultérieurs ou une poursuite non autorisée sont identifiés.