Le 31 janvier 2025, la CNIL a publié la version finale de son guide sur les analyses d’impact des transferts de données hors UE/EEE, qui implique une charge de travail conséquente pour qui procède à ce type de transferts.
Selon le RGPD, lorsqu’un organisme exporte des données personnelles en dehors de l’UE, il doit, selon l’outil de transfert auquel il a recours, évaluer le niveau de protection des données offert par le pays de destination afin de déterminer si, au regard des lois et pratiques de ce pays, l’implémentation de mesures supplémentaires s’impose.
La CNIL a publié un guide afin d’aider les organismes à procéder à cette évaluation, dénommée « analyse d’impact des transferts de données » ou « AITD ».
Qui doit réaliser une AITD ?
Selon le guide de la CNIL, une AITD doit être réalisée par l’exportateur de données soumis au RGPD, « qu’il soit responsable du traitement ou sous-traitant », transférant des données personnelles hors UE/EEE, sauf si le transfert se fonde sur une décision d’adéquation ou l’une des dérogations listées à l’article 49 du RGPD.
Lorsqu’un responsable du traitement dans l’UE, fait appel à un sous-traitant dans l’UE qui procède à un transfert hors UE/EEE de données personnelles, c’est bel et bien le sous-traitant qui doit réaliser l’AITD. Dans cette hypothèse, le responsable du traitement doit vérifier l’AITD et, si nécessaire, la compléter.
La réalisation d’une AITD s’impose donc dans un grand nombre de cas et son périmètre peut s’avérer particulièrement large, puisque l’ensemble des flux de données, y compris les transferts ultérieurs, doit être pris en compte.
Comment réaliser une AITD ?
L’AITD doit, selon la CNIL, être réalisée en six étapes :
- Etape 1 : décrire le transfert ;
- Etape 2 : identifier et documenter l’outil d’encadrement du transfert ;
- Etape 3 : évaluer la législation et les pratiques en vigueur dans le pays de destination, ainsi que l’efficacité de l’outil de transfert ;
- Etape 4 : recenser les mesures de sécurité techniques, contractuelles et organisationnelles permettant d’assurer un niveau de protection des données suffisant et identifier les mesures supplémentaires qui doivent être mises en œuvre pour assurer un niveau de protection « essentiellement équivalent » à celui de l’EEE ;
- Etape 5 : mettre en œuvre les mesures supplémentaires qui s’imposent, au moyen d’un plan d’action ;
- Etape 6 : réévaluer à intervalles appropriés le niveau de protection et suivre les développements potentiels qui pourraient l’affecter.
Ce travail nécessite, en particulier à l’étape 3, de s’intéresser de près à la législation et aux pratiques du pays de destination (textes applicables en matière de protection des données, droits des personnes concernées, lois permettant aux autorités publiques d’obtenir la divulgation de données, etc.).
La CNIL ne mentionne pas de ressource susceptible d’aider le responsable du traitement dans cette tâche, exceptée l’assistance du sous-traitant importateur, qui peut être sollicitée de la réalisation de l’AITD. En effet, le sous-traitant est tenu, selon l’article 28 du RGPD, de transmettre au responsable du traitement les informations permettant de démontrer le respect des obligations qui lui incombent.
Source : ici
