La CNIL publie un guide pratique sur l’analyse d’impact des transferts de données
Pour soutenir les organismes qui transfèrent des données en dehors de l’Espace Economique européen (EEE), la CNIL a publié la version définitive de son guide sur les analyses d’impact des transferts de données (AITD). Cette publication fait suite à une consultation publique.
La CNIL explique ce qu’il faut vérifier avant de procéder à une AITD (I) ensuite elle décrit une démarche en six étapes pour réaliser cette analyse (II). La CNIL recommande de documenter l’ensemble du processus d’analyse.
Les éléments à vérifier avant de procéder à une AITD
- Vérification de l’existence du transfert de données personnelles à destination d’entités juridiquement distinctes
- Présence d’un transfert de données personnelles vers un pays non reconnu comme adéquat par la commission européenne : Dans ce cas, il convient de vérifier si l’un des outils mentionnés à l’article 46 du RGPD, telles que les clauses contractuelles types ou les BCR, s’applique. Les transferts réalisés sous les dérogations de l’article 49 du RGPD ou vers les pays reconnus comme adéquat ne nécessitent pas une AITD.
- Qualification des parties et allocation des responsabilités
En règle générale, c’est à l’exportateur, qu’il agisse en tant que responsable de traitement ou sous-traitant, qu’il incombe de réaliser l’AITD, avec l’assistance de l’importateur. L’exportateur doit s’assurer que le transfert respecte le niveau de protection des données équivalent à celui garanti au sein de l’EEE.
Sur ce point, le guide envisage trois cas :
Cas 1 : Responsable de traitement exportateur et sous-traitant importateur :
Il revient au responsable de traitement exportateur de données personnelles d’effectuer l’AITD, en collaboration avec le sous-traitant importateur. Conformément à l’article 28(3)(h) du RGPD, le sous-traitant est tenu de fournir au responsable de traitement toutes les informations pour démontrer se conformité y compris sur la législation locale du pays destinataire, sur les pratiques des autorités publiques en matière d’accès aux données, ainsi que sur les demandes d’accès passées reçues par le sous-traitant ou d’autres acteurs du même secteur dans ce pays.
Cas 2 : Sous-traitant agissant en tant qu’exportateur vers un sous-traitant ultérieur dans un pays tiers :
Le sous-traitant exportateur soit responsable de réaliser une AITD. Le responsable du traitement a ensuite la responsabilité de vérifier les garanties fournies par le sous-traitant et de compléter l’évaluation si nécessaire, tout en décidant si les sous-traitants peuvent être impliqués dans le traitement des données, en fonction des garanties proposées.
Cas 3 : Responsable de traitement transférant vers un autre responsable de traitement dans un pays tiers :
Le responsable de traitement exportateur doit réaliser l’AITD avec l’aide de l’importateur.
Les 6 étapes pour réaliser une AITD
Etape 1 : Connaitre son transfert
Le guide CNIL propose des listes d’éléments à compléter par l’exportateur pour décrire le transfert. Parmi les informations à fournir, on trouve le nom et les coordonnées de l’exportateur et de l’importateur, leur rôle respectif (responsable de traitement, responsable conjoint, ou sous-traitant), les pays d’exportation et d’importation des données, les catégories de données transférées, la nature des activités de traitement, ainsi que les modalités et la fréquence des transferts.
Etape 2 : Identifier l’outil de transfert utilisé
Le guide propose ensuite l’identification de l’outil de transfert de l’article 46 RGPD. Ex. contrat signé avec l’importateur des données, attestation de certification de l’importateur des données, copie des BCR avec la liste d’entités faisant partie des BCR dont l’importateur des données.
Etape 3 : Évaluer la législation et des pratiques du pays de destination des données
L’exportateur doit solliciter l’importateur pour obtenir une analyse de la législation du pays de destination, en particulier sur l’accès des autorités publiques aux données. Cette analyse doit se baser sur des sources fiables et accessibles, telles que la carte mondiale de la CNIL ou des rapports d’organisations internationales. Ces informations doivent être partagées et mises à jour régulièrement, et l’importateur doit être impliqué dans l’AITD, suivant les instructions de l’exportateur et du responsable de traitement.
Cette évaluation doit porter sur une analyse approfondie du cadre juridique en matière de protection des données, y compris les lois de surveillance applicables et les pratiques de surveillance existantes. Cela comprend l’examen des obligations légales imposées à l’importateur en matière de divulgation des données ou d’accès par les autorités publiques. Il est essentiel de vérifier si des restrictions sont prévues sur les droits des personnes concernées, et si ces restrictions sont nécessaires et proportionnées dans une société démocratique. Par ailleurs, il convient d’évaluer l’existence de mécanismes de recours effectifs pour les personnes concernées, ainsi que la transparence et l’indépendance des autorités publiques impliquées dans l’accès aux données.
L’importateur doit également démontrer, dans la mesure du possible, qu’il n’a pas reçu de demandes d’accès aux données des autorités du pays tiers, et qu’il n’existe aucune raison de croire qu’il pourrait en recevoir à l’avenir.
Etape 4 : Recenser et adopter des mesures supplémentaires pour garantir une protection adéquate des données, en fonction de la sensibilité et des risques du transfert
Ces mesures peuvent être techniques, contractuelles ou organisationnelles, et doivent être combinées dans de nombreux cas. Les mesures contractuelles seules ne suffisent souvent pas pour empêcher l’accès des autorités publiques aux données, et des mesures techniques doivent être mises en place. Si aucune mesure efficace n’est identifiée pour garantir une protection adéquate, l’exportateur pourrait décider d’abandonner le transfert de données.
Étape 5 : Mettre en œuvre les mesures supplémentaires à l’aide d’un plan d’action indiquant les actions, les personnes responsables, les coûts estimés et les dates de réalisation
Il est essentiel de respecter toutes les étapes procédurales, qui peuvent varier en fonction de l’outil de transfert utilisé. Si des obstacles comme des contraintes financières ou des difficultés techniques sont anticipés, ils doivent également être pris en compte dans ce plan.
Étape 6 : Réévaluer régulièrement à intervalles appropriés l’efficacité de l’outil de transfert et des mesures supplémentaires mises en place
Cette réévaluation permet de vérifier si le transfert doit être suspendu ou annulé. Des revues anticipées doivent aussi être réalisées si des changements importants surviennent dans la législation du pays tiers ou dans l’évaluation du risque.