France: Consultation publique de la CNIL pour les Analyses d'impact des transferts des données

Dans le prolongement du guide du CEPD¹, la CNIL a lancé une consultation publique sur un projet de guide pour conduire une analyse d'impact des transferts de données.

En effet, avant chaque transfert de données personnelles en dehors de l'Espace économique européen (EEE), il convient d'évaluer le niveau d'adéquation et de protection du pays destinataire et les éventuelles garanties à mettre en place.

But du guide d'Analyses d'impact de Transfert de données : un niveau équivalent de protection

Le principe est simple, les transferts de données ne doivent pas réduire le niveau de protection des données à caractère personnel tel qu'offert sous l'égide du RGPD.

Depuis l'arrêt Schrems II², les exportateurs comme les importateurs de données sont une responsabilité en matière de sécurité. Cette responsabilité passe par la garantie d'un niveau de protection équivalent au niveau de protection européen.

Et cette responsabilité passe par une suspension du transfert/résiliation du contrat en cas d'absence de garantie suffisante en matière de protection des données³.

Cette responsabilisation implique dès lors une nécessité d'évaluer ces garanties via un outil : l'analyse d'impact sur les transferts de données (AITD ou TIA).

Ainsi, le guide s'articule autour des thèmes suivants :

• Connaître son transfert
• Recenser l'instrument de transfert utilisé
• Évaluer la législation et les pratiques du pays de destination des données et l'efficacité de l'outil de transfert
• Identifier et adopter des mesures supplémentaires
• Mettre en œuvre les mesures supplémentaires et les étapes procédurales nécessaires
• Réévaluer à intervalles appropriés le niveau de protection et suivre les développements potentiels qui pourraient l'affecter.

But de l'Analyses d'impact de Transfert de données: l'évaluation du niveau de protection

Comme énoncé par la CNIL, « l'AITD doit permettre à l'exportateur d'évaluer le niveau de protection offert par la législation locale et tenir compte des pratiques des autorités dans le pays tiers en matière d'accès aux données transférées ».

C'est dans ce cadre que l'AITD évalue :

• L'existence des garanties essentielles européennes dans le pays destinataire ;
• Si des mesures supplémentaires permettent de combler les lacunes constatées dans la protection pour rendre équivalent le niveau de protection au niveau européen.

Un nouveau guide qui sera sans aucun doute fortement utile une fois finalisé !

Footnotes

1. Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l'UE

2. CJUE : 16 juillet 2020

3. Article 28 du RGPD

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.