Analyse d’impact des transferts des données (AITD) : la CNIL vous consulte sur un projet de guide

08 janvier 2024

Préalablement au transfert de données personnelles en dehors de l’Espace économique européen (EEE), il faut évaluer le niveau de protection du pays de destination et les éventuelles garanties à apporter. Pour accompagner les organismes, la CNIL lance une consultation publique jusqu’au 12 février 2024, sur un projet de guide pour conduire une analyse d’impact.

Garantir le même niveau de protection que le RGPD en cas de transferts des données

Quels que soient leur statut ou leur taille, un très grand nombre d’organismes est concerné par la question des transferts des données en dehors de l'Espace économique européen (EEE). Les développements techniques, en particulier avec les services en nuage (cloud), multiplient les cas où les données sont traitées en tout ou partie dans des pays tiers qui ne sont pas soumis au droit de l’Union européenne (et particulièrement au RGPD). Or, en cas de transfert, les données doivent continuer à bénéficier du même niveau de protection que celui offert par le RGPD.

L’arrêt « Schrems II » de la Cour de justice de l’Union européenne (CJUE) a souligné la responsabilité des exportateurs des données en dehors de l’EEE et des importateurs dans le pays de destination. Ils doivent garantir que le traitement se fait, et continue à se faire, dans le respect du niveau de protection fixé par la législation de l’Union européenne. Selon la CJUE, les exportateurs ont également la responsabilité de suspendre le transfert et/ou de résilier le contrat si l’importateur n’est pas, ou n’est plus, en mesure de respecter ses engagements en matière de protection des données personnelles.

Ainsi, les exportateurs s’appuyant sur les outils de transferts énumérés à l’article 46.2 et 46.3 du RGPD pour leurs transferts ont l’obligation d’évaluer le niveau de protection dans les pays tiers de destination et la nécessité de mettre en place des garanties supplémentaires.

Une telle évaluation est communément appelée analyse d’impact des transferts de données ou « AITD » en français (Transfer Impact Assessment ou « TIA  » en anglais).

Dans la continuité des recommandations du Comité européen de la protection des données (CEPD) sur les mesures supplémentaires complétant les instruments de transferts, la CNIL a élaboré un guide, afin d'aider les exportateurs des données à réaliser leurs AITD.

Dans quels cas faut-il réaliser une AITD ?

Une AITD doit être effectuée par les responsables de traitement ou sous-traitants qui agissent en tant qu’exportateurs des données, avec l’assistance de l’importateur, avant de transférer les données vers un pays tiers, lorsque ce transfert s’appuie sur un outil de transfert (article 46 du RGPD). L’importateur disposant de nombreuses informations nécessaires à cette évaluation, sa coopération est indispensable à la réalisation de l’AITD.

Si le pays de destination des données est couvert par une décision d’adéquation de la Commission européenne, l’exportateur n’est pas soumis à cette obligation de réaliser une AITD. Il en va de même si le transfert est réalisé sur la base d’une des dérogations listées à l’article 49 du RGPD.

Quelle est la finalité d’une AITD ?

L’AITD doit permettre à l’exportateur d’évaluer le niveau de protection offert par la législation locale et tenir compte des pratiques des autorités dans le pays tiers en matière d’accès aux données transférées. À cette fin, l’AITD permet d’évaluer l’existence dans le pays de destination des garanties essentielles européennes pour les mesures de surveillance telles qu’identifiées dans les recommandations du CEPD.

En cas de nécessité, l’AITD doit également permettre d’évaluer si des mesures supplémentaires permettraient de combler les lacunes constatées dans la protection et d’assurer le niveau requis par la législation de l’Union européenne.

Quels sont les objectifs et le périmètre du guide AITD ?

Ce guide constitue une méthodologie qui identifie différents éléments à prendre en compte lors de la réalisation d’une AITD. Il donne des indications sur la manière dont l’analyse peut être menée en suivant les six étapes établies dans les recommandations du CEPD, et renvoie vers la documentation pertinente. Il ne constitue pas une évaluation des législations et pratiques des pays tiers, et des risques afférents.

L’utilisation de ce guide n’est pas obligatoire : d’autres éléments peuvent également être pris en compte et d’autres méthodologies appliquées.

Le guide s’organise suivant les six différentes étapes à suivre pour mener une AITD :

  1. Connaître son transfert
  2. Recenser l’instrument de transfert utilisé
  3. Évaluer la législation et les pratiques du pays de destination des données et l’efficacité de l’outil de transfert
  4. Identifier et adopter des mesures supplémentaires
  5. Mettre en œuvre les mesures supplémentaires et les étapes procédurales nécessaires
  6. Réévaluer à intervalles appropriés le niveau de protection et suivre les développements potentiels qui pourraient l’affecter.

Quel est le calendrier de la consultation et qui peut contribuer à la consultation ?

Cette consultation publique prendra fin le 12 février 2024.

La CNIL souhaite permettre au plus grand nombre, qu’il s’agisse de personnes physiques ou morales, publiques ou privées, de participer à cette consultation publique. Elle veut en particulier mobiliser des acteurs qui effectuent des transferts des données en dehors de l’UE, qu’ils aient déjà réalisé des AITD ou non.

Les réponses à la consultation publique peuvent être collectives et se faire par le biais de fédérations, associations, etc.

Il n’est pas nécessaire de formuler des observations sur l’ensemble du document pour répondre à la consultation publique.

Répondre à la consultation

Quelles sont les prochaines étapes ?

Les contributions seront analysées à l’issue de la consultation publique pour permettre la publication du guide définitif, sur le site web de la CNIL, courant 2024.