ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Analyse d’impact des transferts des données (AITD) : la CNIL publie la version finale de son guide

Analyse d’impact des transferts des données (AITD) : la CNIL publie la version finale de son guide

31 janvier 2025

Afin d’accompagner les organismes qui transfèrent des données en dehors de l’Espace économique européen, la CNIL publie la version finale de son guide sur les analyses d’impact des transferts des données. Cette publication fait suite à une consultation publique.

Garantir le même niveau de protection que le RGPD en cas de transfert des données

Quels que soient leur statut et leur taille, un très grand nombre de responsables de traitement et de sous-traitants sont concernés par la question des transferts de données hors Union européenne. L’interpénétration des réseaux a multiplié les situations dans lesquelles des données personnelles sont traitées totalement ou en partie dans des pays tiers qui ne sont pas soumis au droit de l’Union européenne, en particulier au RGPD.

Le principe institué par le RGPD est qu’en cas de transfert, les données doivent continuer à bénéficier d’une protection substantiellement équivalente à celle offerte par ce texte (le chapitre V du RGPD comporte des dispositions spécifiques concernant les transferts de données). 

La législation impose que les exportateurs des données en dehors de l’Espace économique européen (EEE) et les importateurs dans le pays de destination doivent garantir que le traitement se fait, et continue à se faire, dans le respect du niveau de protection qu’au sein de l’Union européenne. Les exportateurs ont également la responsabilité de suspendre le transfert et/ou de résilier le contrat si l’importateur n’est pas, ou n’est plus, en mesure de respecter ses engagements en matière de protection des données personnelles (cf. arrêt « Schrems II » de la Cour de justice de l’Union européenne – CJUE).

L’analyse d’impact des transferts de données (AITD)

Ainsi, les exportateurs s’appuyant sur les outils de transferts comme les clauses contractuelles types ou les règles d'entreprise contraignantes (article 46.2 et 46.3 du RGPD) ont l’obligation d’évaluer le niveau de protection dans les pays tiers de destination et la nécessité de mettre en place des garanties supplémentaires.

Une telle évaluation est communément appelée analyse d’impact des transferts de données ou « AITD » en français (Transfer Impact Assessment ou « TIA  » en anglais).

Dans la continuité des recommandations du Comité européen de la protection des données (CEPD) sur les mesures supplémentaires complétant les instruments de transferts, la CNIL a élaboré un guide, afin d'aider les exportateurs des données à réaliser leurs AITD.

Dans quels cas faut-il réaliser une AITD ?

Une AITD doit être réalisée par l’exportateur soumis au RGPD, qu’il soit responsable de traitement ou sous-traitant, avec l’assistance de l’importateur, avant de transférer les données vers un pays hors de l’EEE lorsque ce transfert s’appuie sur un outil de l’article 46 du RGPD (par ex. clauses contractuelles types, règles d’entreprises contraignantes, etc.)

Il existe deux dérogations à cette obligation pour l’exportateur de données :

Quel est l’objectif d’une AITD ?

L’objectif d’une AITD est d’évaluer si l’importateur pourra respecter ses obligations prévues par l’outil choisi compte tenu de la législation et des pratiques du pays tiers de destination, en particulier en ce qui concerne le potentiel accès aux données personnelles par des autorités du pays tiers, et de documenter cette évaluation.

En cas de nécessité, l’AITD doit également permettre d’évaluer si des mesures supplémentaires permettraient de combler les lacunes constatées dans la protection des données et d’assurer le niveau requis par la législation de l’Union européenne. 

Attention :  il ne faut pas confondre l’AITD avec l’AIPD (analyse d’impact relative à la protection des données), parfois obligatoire, mais qui ne poursuit pas les mêmes objectifs. 

Quels sont les objectifs et le périmètre de ce guide AITD ?

Ce guide constitue une méthodologie qui identifie les étapes préalables à la réalisation d’une AITD. Il donne des indications sur la manière dont l’analyse peut être menée en suivant les étapes établies dans les recommandations du CEPD et renvoie vers la documentation pertinente. Il ne constitue pas une évaluation de la législation et des pratiques des pays tiers.

L’utilisation de ce guide n’est pas obligatoire, d’autres éléments peuvent également être pris en compte et d’autres méthodologies appliquées.

Pour ce qui est des étapes préalables à la réalisation d’une AITD, ce guide s’organise autour des questions suivantes :

  1. Existe-t-il un transfert de données personnelles ?
  2. Est-il nécessaire de réaliser une AITD ?
  3. Qui est responsable de l’AITD ?
  4. Quel est le périmètre de l’AITD, en particulier au vu des transferts ultérieurs ?
  5. Le transfert est-il conforme aux principes du RGPD ?

 

Pour ce qui est de la réalisation de l’AITD, ce guide s’organise suivant les six différentes étapes à suivre pour mener une AITD :

  1. Connaître son transfert ;
  2. Identifier l’outil de transfert utilisé ;
  3. Évaluer la législation et les pratiques du pays de destination des données et l’efficacité de l’outil de transfert ;
  4. Recenser et adopter des mesures supplémentaires ;
  5. Mettre en œuvre les mesures supplémentaires ;
  6. Réévaluer à intervalles appropriés le niveau de protection et suivre les développements potentiels qui pourraient l’affecter.

Consulter le guide

 

Quelles sont les principales évolutions du guide après la consultation publique ?

De décembre 2023 à février 2024, la CNIL a soumis son guide à une consultation publique. La consultation a reçu 34 contributions émanant principalement de professionnels du secteur (délégués à la protection des données, avocats, consultants, têtes de réseaux professionnels). Ceux-ci représentent des acteurs de toutes tailles (groupes français et internationaux, petites et moyennes entreprises, réseaux professionnels/fédérations d’entreprises, etc.) et de secteurs divers (banque/finance, assurance, transport, industrie, numérique/IT, cosmétique/santé, administrations et collectivités territoriales, etc.).

Ces contributions ont permis à la CNIL de faire évoluer, sur la forme comme sur le fond, la version définitive du guide afin d’y apporter un certain nombre de clarifications et précisions sur son contenu, et de consolider, ou ajuster, certaines réflexions et analyses, afin de prendre en compte notamment les derniers avis du Comité européen sur la protection des données (CEPD).

Une synthèse des contributions avec les réponses de la CNIL aux remarques les plus complexes est publiée avec la version finale du guide.

 

Consulter la synthèse

 

Texte reference

Pour approfondir

Document reference

Documents

Guide pratique - Analyse d'impact des transferts de données
[ PDF-632.43 Ko ]
Guide AITD - Synthèse des contributions
[ PDF-306.98 Ko ]

Ceci peut également vous intéresser ...

Vote par correspondance électronique : la CNIL ouvre une consultation publique pour mettre à jour ...
20 janvier 2025
Consultation
Le CEPD adopte des lignes directrices sur la pseudonymisation et souhaite renforcer la coopération ...
20 janvier 2025
CEPD
Certification RGPD des sous-traitants : la CNIL consulte sur un projet de référentiel ...
23 décembre 2024
Conformité