Dans un monde où les données représentent une monnaie numérique précieuse, les organisations se trouvent confrontées à un défi : assurer le transfert sécurisé de ces données tout en minimisant les risques associés à leur mise en mouvement.C'est là qu'intervient l'analyse d'impact de transfert de données (AITD), une pratique cruciale pour évaluer les répercussions potentielles de ce partage de données.Dans cet article, nous explorerons en profondeur l'importance de réaliser une analyse d'impact de transfert de données, en examinant les éléments clés à prendre en compte, les méthodologies recommandées, ainsi que les avantages d’une telle démarche.

Partager cet article

Qu’est-ce qu’un transfert de données ?

Toute transmission, communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne, est qualifié de transfert de données. Est également un transfert de données l’accès à distance d’une entité d’un pays tiers à des données situées dans l’EEE.

Comment se matérialise un transfert de données ?

Tout transfert de données doit obligatoirement être accompagné de garanties suffisantes pour les droits et libertés des personnes concernées. Ainsi ils peuvent alors être fondés sur :

  • Une décision d’adéquation rendue par la Commission européenne ;
  • Des clauses contractuelles types de la Commission européenne, ou adoptées par une autorité de contrôle et approuvées par la Commission européenne ;
  • Des règles d’entreprise contraignantes ;
  • Un code conduite approuvé comportant l’engagement contraignant et exécutoire pris par les importateurs d’appliquer les garanties appropriées ;
  • Un mécanisme de certification approuvé comportant l’engagement contraignant et exécutoire pris par les importateurs d’appliquer les garanties appropriées ;
  • Sous réserve de l’autorisation de l’autorité de contrôle compétente, ils peuvent être fondés sur des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données.
  • Un arrangement administratif pris pour permettre la coopération entre autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

Qui sont les acteurs d’un transfert de données ?

Ce qu’il faut comprendre, c’est que tout transfert de données fait intervenir deux principales entités: l’exportateur et l’importateur de données.

L’exportateur de données est le responsable du traitement ou le sous-traitant établi dans l’EEE qui transfère des données à caractère personnel vers un responsable de traitement ou un sous-traitant établi dans un pays tiers.

L’importateur de données est le responsable du traitement ou le sous-traitant établi dans un pays tiers qui reçoit ou a accès aux données à caractère personnel transférées depuis l’EEE.

Qu’est-ce qu’une analyse d’impact de transfert de données dite AITD ?

Il ne faut pas confondre AITD et AIPD.

Une AIPD (Analyse d’impact relative à la protection des données) concerne les traitements de données personnelles qui sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Tandis que l’AITD permet à l’exportateur d’évaluer le niveau de protection offert par la législation locale et les pratiques du pays tiers de destination. En cas de nécessité, l’AITD doit également permettre d’évaluer si des mesures supplémentaires permettraient de combler les lacunes constatées dans la protection et d’assurer le niveau requis par la législation de l’Union européenn

Dans quels cas réaliser une AITD

Une AITD doit être effectuée par les responsables de traitement ou sous-traitants qui agissent en tant qu’exportateurs des données, avec l’assistance de l’importateur, avant de transférer les données vers un pays tiers, lorsque ce transfert s’appuie sur un outil de transfert comme vu plus haut (article 46 du RGPD).

La coopération de l’importateur est indispensable à la réalisation de l’AITD.

Se poser les bonnes questions en amont :

Avant de se lancer dans cette analyse, il est impératif de se poser les bonnes questions. En effet, plusieurs éléments sont à prendre en compte :

  • Le caractère de données : les données en cause sont-elles bien des données personnelles?
  • La qualification de transfert de données : un transfert de données à caractère personnel est-il bien réalisé?
  • Quelle est la qualification des acteurs impliqués?
  • Le transfert respecte-t-il l’ensemble des principes du RGPD et, en particulier, pouvez-vous minimiser la quantité de données à caractère personnel transférées ou transférer des données anonymisées plutôt que des données à caractère personnel ?
  • Existe t-il oui ou non une décision d’adéquation pour les transferts de données vers ce pays?

Une fois les réponses à ces questions émises, si l’exportateur considère qu’il est nécessaire de transférer des données à caractère personnel vers un pays n’ayant pas fait l’objet d’une décision d’adéquation alors il est primordial de respecter les six étapes de l’analyse d’impact des transferts de données.

Voyons en détail les éléments constitutifs de chacune de ces étapes.

Les 6 étapes préconisées par le CEPD pour mener une AITD :

  1. Connaître son transfert
  2. Recenser l’instrument de transfert utilisé
  3. Évaluer la législation et les pratiques du pays de destination des données et l’efficacité de l’outil de transfert
  4. Identifier et adopter des mesures supplémentaires
  5. Mettre en œuvre les mesures supplémentaires et les étapes procédurales nécessaires
  6. Réévaluer à intervalles appropriés le niveau de protection et suivre les développements potentiels qui pourraient l’affecter.

1-Connaître son transfert

Connaître son transfert consiste pour l’exportateur de données à décrire le transfert. Une cartographie des transferts de données doit être réalisée. Pour ce faire l’exportateur peut s’appuyer sur la documentation interne préexistante, telle que le registre des activités de traitement ou le contrat encadrant le transfert.

Des éléments essentiels peuvent être pris en compte, dans cette cartographie comme par exemple :

  • L’identification et la qualification des acteurs impliqués dans le transfert
  • Le type de transfert réalisé :
  • Accès à distance sans possibilité de téléchargement/ stockage local : Les données à caractère personnel sont hébergées par l’Exportateur au sein de l’EEE. L’Importateur n’a pas la possibilité de télécharger des copies des données, mais il peut y accéder à distance depuis un pays hors de l’EEE et non couvert par une décision d’adéquation.
  • Accès à distance avec possibilité de téléchargement/ stockage local : Les données à caractère personnel sont hébergées par l’Exportateur au sein de l’EEE. L’Importateur a la possibilité d’accéder aux données depuis un pays tiers et si nécessaire de télécharger et de stocker des copies des données dans un pays tiers à l’EEE et non couvert par une décision d’adéquation.
  • Transmission et hébergement/ stockage local : L’Importateur héberge ou stocke les données à caractère personnel dans un pays tiers à l’EEE non couvert par une décision d’adéquation.
  • La possibilité pour l’importateur d’effectuer des transferts ultérieurs. Si oui, une AITD spécifique à chaque type de transfert ultérieur doit être entreprise.

2-Recenser l’instrument de transfert utilisé

L’exportateur doit recenser l’instrument de transferts utilisé pour le transfert en cause, afin de confirmer la nécessité ou non de réaliser une AITD.

Un transfert peut être fondé sur :

  • une décision d’adéquation de la Commission européenne ;
  • un des outils de transfert énumérés à l’article 46 du RGPD, ou ;
  • une dérogation conformément à l’article 49 du RGPD.

Il est essentiel de recenser les éléments et documentation attestant de l’instrument de transfert mis en place.

Si le transfert s’appuie sur une décision d’adéquation de la Commission européenne ou une dérogation listée à l’article 49 du RGPD, alors l’exportateur n’a pas l’obligation de réaliser une AITD. Par contre si le transfert s’appuie sur un des outils de transfert de l’article 46 du RGPD, alors il convient de passer à l’étape 3.

3-Évaluer la législation et les pratiques du pays de destination des données et l’efficacité de l’outil de transfert

Cette évaluation a pour but de déterminer s’il existe dans le droit et/ou les pratiques en vigueur du pays tiers des éléments susceptibles de porter atteinte à l’efficacité des garanties appropriées qu’offrent les instruments de transfert auxquels l’exportateur a recours dans le cadre du transfert particulier.

L’évaluation doit d’abord porter sur la législation en matière de protection des données. Il convient par exemple de se savoir :

– Quels sont les droits des personnes concernées et les voies de recours existantes

– S’il existe une autorité de protection des données. Si oui, est-elle indépendante

– Quel est le cadre applicable à l’importateur en matière de protection des données

Ensuite, il est important de savoir :

– S’il existe des lois ou pratiques de surveillance applicables à l’Importateur établissant des obligations de divulguer les données à caractère personnel transférées ou d’octroyer l’accès à ces données à des autorités publiques.

– Si ces lois ou pratiques peuvent être contestées par les personnes concernées

– S’il existe des problèmes d’État de droit affectant la capacité des personnes concernées par les données transférées à exercer un recours contre des accès illégaux aux données à caractère personnel.

Pour apporter les réponses à ces questions, l’exportateur, aidé par l’importateur peut s’appuyer sur diverses sources d’informations telles que la jurisprudence de la CJUE, les jurisprudences nationales ou décisions prises par des autorités judiciaires ou administratives indépendantes de pays tiers en matière de respect de la vie privée et de protection des données; les rapports d’organes de contrôle indépendants ou d’organes parlementaires, etc.

 

A la conclusion de cette étape, si l’effectivité de l’outil de transfert est prouvée, l’exportateur peut procéder au transfert. Il lui appartient de directement passer à l’étape 6 du processus.

Si au contraire il arrive à la conclusion que l’outil de transfert n’est pas effectif, il doit identifier des mesures supplémentaires.

4-Identifier et adopter des mesures supplémentaires

L’adoption de mesures supplémentaires passe par une première étape qui est de lister les mesures existantes, afin de déterminer effectivité de ces mesures sur les transferts effectués. Une fois passée cette étape exportateur doit lister les mesures supplémentaires à mettre en œuvre.

Ces mesures supplémentaires peuvent être techniques, organisationnelles ou contractuelles.

Quoi qu’il en soit il faut anticiper l’impact de ces mesures sur les transferts de données. Ainsi soit l’outil de transfert combiné à ces mesures est effectif, soit il ne l’est pas.

A la conclusion de cette étape si l’exportateur estime qu’il n’est pas possible de mettre en place les mesures nécessaires afin d’assurer l’effectivité de l’outil de transfert, le transfert prévu ne doit pas être mis en œuvre ou celui-ci doit cesser tout transfert en cours. Dans ce cas, les données à caractère personnel qui ont été transférées doivent être retournées, ou supprimées dans leur intégralité.

5-Mettre en œuvre les mesures supplémentaires et les étapes procédurales nécessaires

Un plan d’action doit être mis en place concernant les mesures supplémentaires restant à mettre en place et le respect des éventuelles étapes procédurales à suivre.

Les étapes procédurales que l’exportateur devra peut-être prendre s’il identifie des mesures supplémentaires efficaces à mettre en place peuvent varier en fonction de l’instrument de transfert visé à l’article 46 du RGPD auquel il a recours ou envisage d’avoir recours.

6-Réévaluer à intervalles appropriés le niveau de protection et suivre les développements potentiels qui pourraient l’affecter.

Il est nécessaire de réévaluer à intervalles appropriés l’outil de transfert, et le cas échéant, les mesures supplémentaires utilisées pour le transfert de données.

C’est un contrôle en permanence qui doit être effectué par l’exportateur en collaboration avec l’importateur, le cas échéant, sur l’évolution de la situation dans le pays tiers .

L’exportateur devrait mettre en place des mécanismes suffisamment solides pour s’assurer qu’il peut suspendre ou cesser immédiatement ses transferts lorsque:

– l’importateur a enfreint ou n’est pas en mesure d’honorer les engagements liés à

l’instrument de transfert visé à l’article 46 du RGPD; ou

– les mesures supplémentaires ne sont plus efficaces dans ce pays tiers.

Chez Alcees, nous nous engageons pour la protection des données depuis plus 5 ans. C’est pourquoi, nous saluons les recommandations du Comité européen de la protection des données (CEPD) sur les mesures supplémentaires complétant les instruments de transferts des données, et matérialisées par une AITD.

Pour encourager les organismes à l’appliquer le mieux possible, nous mettons en évidence une multitude d’opportunités offertes aux entités qui la réalisent de manière rigoureuse et complète.

Quelques-uns des principaux avantages de cette analyse sont :

Une Identification des Risques Potentiels : En examinant en détail chaque aspect du transfert de données, cette analyse permet d’identifier les risques potentiels liés à la sécurité, à la conformité réglementaire, à la confidentialité des données, ainsi qu’aux interruptions opérationnelles.

 

Une Prise de Décision Éclairée : En comprenant pleinement les implications de chaque transfert de données, les exportateurs sont mieux équipés pour prendre des décisions éclairées. Cela inclut la détermination des meilleures pratiques pour minimiser les risques.

 

Une Conformité Réglementaire Renforcée : Avec l’accent croissant sur la protection des données et la conformité aux réglementations telles que le RGPD (Règlement Général sur la Protection des Données), une analyse d’impact de transfert de données aide les organisations à garantir qu’elles respectent les exigences légales.

 

Une Amélioration de la Sécurité des Données : En identifiant les lacunes potentielles dans les mesures de sécurité existantes et en proposant des solutions pour les combler, cette analyse contribue à renforcer la sécurité des données pendant le transfert et au-delà.

 

Une Réduction des Coûts et des Perturbations : En anticipant les défis potentiels et en prenant des mesures préventives, les organisations peuvent éviter les coûts imprévus et les perturbations opérationnelles associées à des transferts de données mal planifiés tel que la suspension des transferts.

 

Une Confiance Renforcée des Parties Prenantes : En démontrant un engagement envers la protection et la gestion responsable des données, les organisations renforcent la confiance de leurs clients, partenaires commerciaux et autres parties prenantes.

Alors, qu’attendez-vous pour réaliser une AITD ?

Si vous ne savez pas par où commencer, contactez-nous. Notre cabinet se fera une joie de vous accompagner dans cette procédure !

Partager cette publication à un collègue ou une connaissance

Alcees_logo_baseline

Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.

Suivez-nous et prolongez l'expérience

Nos derniers articles