Data Legal Drive rachetée par EQS Group : Téléchargez le Communiqué de Presse !

dld-logo_black
dld-logo_black
  • Solutions
    • Solutions
    • DLD RGPD
      • Gérer
        Registre des traitements intelligents AIPD / PIA – Analyse d’impact Demandes des personnes concernées Incidents et violations de données Référentiels logiciels et matériels Référentiels tiers Documentation et accountability
      • Piloter
        Diagnostic de la conformité RGPD Cartographie des traitements Statistiques et Analytics Plan d’action RGPD
      • Automatiser
        Analyse des projets et Privacy by Design Questionnaires, évaluations et audits Workflow de pilotage RGPD
      • Accompagner
        Elearning et suivi de la formation RGPD Ressources juridiques, modèles & veille Tutoriels et guides interactifs
    • DLD Sapin II
    • DLD par secteur
      • Banque & Assurance
      • Droit
      • Santé
      • Enseignement
      • Immobilier
      • Collectivités & Secteur public
      • Industrie
      • RH & Recrutement
      • Automobile
      • Transport
      • ESN
      • Communication et Médias
      • Tourisme / Loisirs
    • DLD par taille d'entreprise
      • RGPD ETI / Grands Comptes
      • PME / TPE
    • Gérer
      Registre des traitements intelligents AIPD / PIA – Analyse d’impact Demandes des personnes concernées Incidents et violations de données Référentiels logiciels et matériels Référentiels tiers Documentation et accountability
    • Piloter
      Diagnostic de la conformité RGPD Cartographie des traitements Statistiques et Analytics Plan d’action RGPD
    • Automatiser
      Analyse des projets et Privacy by Design Questionnaires, évaluations et audits Workflow de pilotage RGPD
    • Accompagner
      Elearning et suivi de la formation RGPD Ressources juridiques, modèles & veille Tutoriels et guides interactifs
    • Banque & Assurance
    • Droit
    • Santé
    • Enseignement
    • Immobilier
    • Collectivités & Secteur public
    • Industrie
    • RH & Recrutement
    • Automobile
    • Transport
    • ESN
    • Communication et Médias
    • Tourisme / Loisirs
    • RGPD ETI / Grands Comptes
    • PME / TPE
  • Clients
  • Partenaires
    • Partenaires
    • Trouver un partenaire
    • Devenir partenaire
  • Ressources
    • Ressources
    • AgendaNouveau
    • Infographies
    • Livres blancs
    • Espace presse
    • Dossiers
      • RGPD : Tout savoir
      • AI Act : Tout savoir
    • Outils
      • Carte des sanctions RGPD
      • Baromètre RGPD 6ème éditionNouveau
      • Diagnostic RGPDGratuit
      • FAQ
      • FAQ IANouveau
    • RGPD : Tout savoir
    • AI Act : Tout savoir
    • Carte des sanctions RGPD
    • Baromètre RGPD 6ème éditionNouveau
    • Diagnostic RGPDGratuit
    • FAQ
    • FAQ IANouveau
  • Blog
  • L'entreprise
    • L'entreprise
    • A propos
    • Notre équipe
    • Rejoignez-nous !
    • Nos engagements
      • Charte RSE
      • Charte Numérique Responsable
      • Charte Éthique
      • Index égalité femmes/hommes
      • Pro Bono
    • Charte RSE
    • Charte Numérique Responsable
    • Charte Éthique
    • Index égalité femmes/hommes
    • Pro Bono
  • Fr
Essayer le logiciel
    • Connectez-vous à votre espace
    • Avant de vous connecter, partagez votre avis en cliquant ici ! ⭐
  • Fr
Essayer le logiciel

Le TIA : une analyse à mener en cas de transfert de données

18 avril 2023

Accueil //Blog //RGPD //DPO //Le TIA : une analyse à mener en cas de transfert de données

freepik-freepik-resize

Les transferts des données personnelles hors UE sont encadrés de manière stricte par le RGPD. Un pays qui se trouve en dehors de l’UE n’offre pas forcément un niveau de protection équivalent à celui imposé en Europe.

Ainsi, les transferts de données vers des pays ne bénéficiant pas d’une décision d’adéquation de la Commission européenne, ne sont tolérés que moyennant des garanties adéquates.

Ces garanties ont été introduites à l’article 46 du RGPD et portent à titre d’exemple sur les règles d’entreprise contraignantes, les clauses contractuelles types de la Commission européenne, un code de conduite approuvé, un mécanisme de certification approuvé, etc…

En plus de cette exigence, il est désormais obligatoire d’évaluer au préalable si l’instrument de transfert en question est efficace. On parle du TIA, autrement Transfert Impact Assessment qui a été mis en place à la suite de la décision de la CJUE de 2020 annulant le Privacy Shield, en ce qu’il n’est pas conforme à la législation européenne sur la protection des données.

De quoi s’agit-il ?

Un TIA constitue un outil d’évaluation des risques qui permet aux organismes de vérifier si le mécanisme de transfert qu’ils ont prévu d’utiliser, offre un niveau de protection adéquat pour le transfert envisagé. Plus précisément, le TIA a pour objectif d’évaluer si les lois et pratiques du pays tiers rendent ou pas moins efficaces le mécanisme utilisé pour le transfert des données. Ceci implique d’effectuer une évaluation des risques du transfert, à chaque fois qu’un mécanisme de transfert est utilisé en application de l’article 46 du RGPD.

Quand et par qui ?

Parmi les pays situés hors UE, on distingue les pays tiers dit adéquats, c’est-à-dire concernés par une décision d’adéquation de la Commission européenne, et les pays tiers non adéquats car n’offrant pas un niveau de protection équivalent à celui de l’UE. Le TIA est exigé uniquement lors du transfert de données personnelles vers un pays tiers ne bénéficiant pas d’une décision d’adéquation de la Commission européenne.

Le TIA doit être effectué par l’organisme qui a l’intention de réaliser le transfert de données (exportateur de données). L’organisme aura toutefois besoin, lors de la mise en place du TIA, de l’aide de l’importateur de données, pour avoir notamment des informations sur les mesures de protection mises en place, les pratiques en matière des données personnelles et les lois applicables. L’importateur de données doit ainsi transmettre à l’exportateur les éléments pertinents concernant le pays tiers dans lequel il se trouve et la législation régissant le transfert.

Quelles mesures supplémentaires ?

freepik-freepik-resize-2

Si le résultat du TIA révèle que les lois et pratiques du pays tiers réduisent l’efficacité du mécanisme de l’article 46 du RGPD utilisé, des mesures supplémentaires doivent être mises en place.

Ces mesures doivent être adaptées au transfert en question et permettre de garantir que les données transférées bénéficient dans le pays tiers d’un niveau de protection équivalent à celui exigé en Europe. Il peut s’agir de mesures contractuelles, techniques ou encore organisationnelles et le recours à des mesures de différentes natures est recommandé. Les mesures intégrées doivent notamment empêcher les autorités publiques du pays tiers d’accéder aux données.

Des exemples de mesures pouvant être mises en place ont été listées par le CEPD dans sa recommandation 01/2020. Ainsi, le chiffrement a été considéré par le CEPD comme constituant une mesure technique susceptible de compléter dans certains cas les garanties offertes par l’instrument de transfert utilisé et de protéger les données contre l’accès des autorités publiques du pays tiers de l’importateur. Des mesures contractuelles supplémentaires sont également recommandées telles qu’une clause imposant à l’importateur de mettre en place des mesures techniques spécifiques ou encore de fournir avant la conclusion du contrat des informations sur l’accès des autorités publiques aux données. Les mesures organisationnelles recommandées peuvent quant à elles concerner des politiques internes et des normes que les parties appliquent à elles-mêmes.

Dans tous les cas, ces mesures dépendent du transfert envisagé, et ce n’est que lorsque les mesures intégrées permettent d’atteindre un niveau de protection globalement équivalent à celui exigé en Europe que le transfert de données peut avoir lieu.

Quels éléments examiner ?

Les éléments à examiner dans le cadre d’un TIA concernent notamment les acteurs du transfert de données, les modalités de transfert de données, la législation du pays tiers, l’accès aux données personnelles par les autorités publiques, les mesures de sécurisation mises en place, etc.

Le TIA peut être réalisé en utilisant la solution RGPD de Data Legal Drive qui met à disposition de ses clients un ensemble de questionnaires RGPD, dont un questionnaire sur le TIA intégrant l’ensemble des éléments à checker et permettant l’évaluation du risque dans le cas d’un transfert de données.

Cette évaluation n’est toutefois pas ponctuelle. Les évolutions dans le pays tiers vers lequel les données sont transférées doivent être surveillées de manière régulière. Tout changement peut avoir un impact sur l’évaluation initiale du niveau de protection et sur la décision prise. Le transfert doit être suspendu dans le cas où les mesures mises en place ne sont plus efficaces ou encore lorsque l’importateur ne respecte pas ses engagements.

À lire aussi

dark-pattern-rgpd

Dark Pattern RGPD : quand la conception de l’UX défie le RGPD

13 mai 2025
En savoir plus
rgpd-donnees-papier

Le RGPD données papier : le grand oublié de la conformité ?

6 mai 2025
En savoir plus
rgpd-roi

ROI RGPD : Comment le mesurer ?

5 mai 2025
En savoir plus
dark-pattern-rgpd

Dark Pattern RGPD : quand la conception…

13 mai 2025
En savoir plus
rgpd-donnees-papier

Le RGPD données papier : le grand…

6 mai 2025
En savoir plus
rgpd-roi

ROI RGPD : Comment le mesurer ?

5 mai 2025
En savoir plus

(Re)visionnez le replay !

(Re)visionnez le replay du webinar « Quel encadrement pour les flux transfrontaliers de données » co-animé avec Capgemini et Data Legal Drive ! Ce webinar vous confie tous les conseils et astuces pour encadrer les flux transfrontaliers de données.

Voir le replay

Des partenaires exceptionnels

partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-irc
partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-numeum
partenaire-institutionnel-dld-ldpm

Nos trophées & distinctions

meilleure-legaltech-logo-slide
sommet-du-droit-2021-logo-slide
trophee-eurocloud
ey-logo-slide
macaron-trophée-conformité-rgpd-2022
palmarès-du-droit-2022-logo-slide
trophée-du-droi-2022-logo-slide
tech500-logo-slide
sommet-du-droit-2022-mention-spéciale-logo-slide
wavestone-logo-slide
sommet-du-droit-2023-meilleure-legaltech-editeur-logiciels-logo-slide
france-digitale-logo-slide
  • Notre expérience
  • Plus de 10 000 clients
  • 50 pays utilisateurs
  • À propos
  • Qui sommes-nous ?
  • Espace Presse
  • Pro Bono
  • On recrute !
  • Charte RSE
  • Charte éthique
  • Notre offre
  • Logiciel RGPD
  • Logiciel Sapin II
  • Elearning
  • Partenaires
  • Formation RGPD
  • Nos ressources
  • Le RGPD
  • Le DPO
  • Données personnelles
  • Blog
  • Carte des sanctions RGPD
  • FAQ
Un outil adapté à votre structure
Demander une démo
Des experts en RGPD
Essai gratuit

Abonnez-vous à notre newsletter

  • Politique de cookies
  • Politique de confidentialité
  • Mentions légales
  • Demande d'exercice de droit