Les transferts des données personnelles hors UE sont encadrés de manière stricte par le RGPD. Un pays qui se trouve en dehors de l’UE n’offre pas forcément un niveau de protection équivalent à celui imposé en Europe.
Ainsi, les transferts de données vers des pays ne bénéficiant pas d’une décision d’adéquation de la Commission européenne, ne sont tolérés que moyennant des garanties adéquates.
Ces garanties ont été introduites à l’article 46 du RGPD et portent à titre d’exemple sur les règles d’entreprise contraignantes, les clauses contractuelles types de la Commission européenne, un code de conduite approuvé, un mécanisme de certification approuvé, etc…
En plus de cette exigence, il est désormais obligatoire d’évaluer au préalable si l’instrument de transfert en question est efficace. On parle du TIA, autrement Transfert Impact Assessment qui a été mis en place à la suite de la décision de la CJUE de 2020 annulant le Privacy Shield, en ce qu’il n’est pas conforme à la législation européenne sur la protection des données.
De quoi s’agit-il ?
Un TIA constitue un outil d’évaluation des risques qui permet aux organismes de vérifier si le mécanisme de transfert qu’ils ont prévu d’utiliser, offre un niveau de protection adéquat pour le transfert envisagé. Plus précisément, le TIA a pour objectif d’évaluer si les lois et pratiques du pays tiers rendent ou pas moins efficaces le mécanisme utilisé pour le transfert des données. Ceci implique d’effectuer une évaluation des risques du transfert, à chaque fois qu’un mécanisme de transfert est utilisé en application de l’article 46 du RGPD.
Quand et par qui ?
Parmi les pays situés hors UE, on distingue les pays tiers dit adéquats, c’est-à-dire concernés par une décision d’adéquation de la Commission européenne, et les pays tiers non adéquats car n’offrant pas un niveau de protection équivalent à celui de l’UE. Le TIA est exigé uniquement lors du transfert de données personnelles vers un pays tiers ne bénéficiant pas d’une décision d’adéquation de la Commission européenne.
Le TIA doit être effectué par l’organisme qui a l’intention de réaliser le transfert de données (exportateur de données). L’organisme aura toutefois besoin, lors de la mise en place du TIA, de l’aide de l’importateur de données, pour avoir notamment des informations sur les mesures de protection mises en place, les pratiques en matière des données personnelles et les lois applicables. L’importateur de données doit ainsi transmettre à l’exportateur les éléments pertinents concernant le pays tiers dans lequel il se trouve et la législation régissant le transfert.
Quelles mesures supplémentaires ?
Si le résultat du TIA révèle que les lois et pratiques du pays tiers réduisent l’efficacité du mécanisme de l’article 46 du RGPD utilisé, des mesures supplémentaires doivent être mises en place.
Ces mesures doivent être adaptées au transfert en question et permettre de garantir que les données transférées bénéficient dans le pays tiers d’un niveau de protection équivalent à celui exigé en Europe. Il peut s’agir de mesures contractuelles, techniques ou encore organisationnelles et le recours à des mesures de différentes natures est recommandé. Les mesures intégrées doivent notamment empêcher les autorités publiques du pays tiers d’accéder aux données.
Des exemples de mesures pouvant être mises en place ont été listées par le CEPD dans sa recommandation 01/2020. Ainsi, le chiffrement a été considéré par le CEPD comme constituant une mesure technique susceptible de compléter dans certains cas les garanties offertes par l’instrument de transfert utilisé et de protéger les données contre l’accès des autorités publiques du pays tiers de l’importateur. Des mesures contractuelles supplémentaires sont également recommandées telles qu’une clause imposant à l’importateur de mettre en place des mesures techniques spécifiques ou encore de fournir avant la conclusion du contrat des informations sur l’accès des autorités publiques aux données. Les mesures organisationnelles recommandées peuvent quant à elles concerner des politiques internes et des normes que les parties appliquent à elles-mêmes.
Dans tous les cas, ces mesures dépendent du transfert envisagé, et ce n’est que lorsque les mesures intégrées permettent d’atteindre un niveau de protection globalement équivalent à celui exigé en Europe que le transfert de données peut avoir lieu.
Quels éléments examiner ?
Les éléments à examiner dans le cadre d’un TIA concernent notamment les acteurs du transfert de données, les modalités de transfert de données, la législation du pays tiers, l’accès aux données personnelles par les autorités publiques, les mesures de sécurisation mises en place, etc.
Le TIA peut être réalisé en utilisant la solution RGPD de Data Legal Drive qui met à disposition de ses clients un ensemble de questionnaires RGPD, dont un questionnaire sur le TIA intégrant l’ensemble des éléments à checker et permettant l’évaluation du risque dans le cas d’un transfert de données.
Cette évaluation n’est toutefois pas ponctuelle. Les évolutions dans le pays tiers vers lequel les données sont transférées doivent être surveillées de manière régulière. Tout changement peut avoir un impact sur l’évaluation initiale du niveau de protection et sur la décision prise. Le transfert doit être suspendu dans le cas où les mesures mises en place ne sont plus efficaces ou encore lorsque l’importateur ne respecte pas ses engagements.
