Afin d’être le plus efficace possible dans la protection des données personnelles, le RGPD exige des opérateurs la poursuite de cette protection en cas de transfert de données en dehors de l’Espace économique européen (EEE). Pour cela, une analyse d’impact des transferts des données (AITD) est nécessaire. Comment la mener ?
Transfert de données = ça passe par une AITD !
Pour rappel, le Règlement général sur la protection des données (RGPD) a pour objectif de protéger les données personnelles des européens.
Par conséquent, en cas de transfert de données dans un pays hors de l’Espace économique européen (EEE), une protection équivalente à celle prévue par le RGPD doit être mise en place par les exportateurs et les importateurs desdites données.
De plus, la Cour de justice de l’Union européenne (CJUE) a également précisé que les exportateurs doivent suspendre le transfert, voire résilier le contrat, si l’importateur n’est pas, ou n’est plus, en mesure de respecter ses engagements en matière de protection des données personnelles.
Ainsi, les exportateurs qui utilisent des outils de transferts, par exemple, via des clauses contractuelles types (CCT) ou des règles d’entreprise contraignantes (BCR), ont l’obligation de mener au préalable une analyse d’impact des transferts de données (AITD) afin d’évaluer :
- le niveau de protection dans les pays tiers de destination ;
- la nécessité de mettre en place des garanties supplémentaires.
Pour aider les exportateurs à mener à bien cette analyse, la CNIL a publié à leur attention un guide pratique enrichi des dernières consultations publiques.
La CNIL rappelle ainsi qu’une AITD doit être réalisée par l’exportateur soumis au RGPD, qu’il soit responsable de traitement ou sous-traitant, avec l’assistance de l’importateur, en amont du transfert des données vers un pays hors de l’EEE.
Notez qu’il existe 2 exceptions à cette obligation :
- lorsque le pays de destination est couvert par une décision d’adéquation de la Commission européenne ;
- lorsque le transfert est effectué sur la base d’une des dérogations prévues par le RGPD, notamment pour des motifs importants d’intérêt public, pour l’exercice de la justice, pour la sauvegarde des intérêts vitaux d’une personne qui est dans l’incapacité de donner son consentement, etc.
Notez enfin que l’utilisation de ce guide n’est pas obligatoire. Il constitue néanmoins une ressource intéressante d’accompagnement pour déterminer si et comment une telle analyse doit bien être menée.
Analyse d’impact des transferts des données (AITD) : la CNIL vous guide ! – © Copyright WebLex
