Par Haas Avocats
Dans le prolongement du guide du CEPD[1], la CNIL a lancé une consultation publique sur un projet de guide pour conduire une analyse d’impact des transferts de données.En effet, avant chaque transfert de données personnelles en dehors de l’Espace économique européen (EEE), il convient d’évaluer le niveau d’adéquation et de protection du pays destinataire et les éventuelles garanties à mettre en place.
Le principe est simple, les transferts de données ne doivent pas réduire le niveau de protection des données à caractère personnel tel qu’offert sous l’égide du RGPD.
Depuis l’arrêt Schrems II[2], les exportateurs comme les importateurs de données sont une responsabilité en matière de sécurité. Cette responsabilité passe par la garantie d’un niveau de protection équivalent au niveau de protection européen.
Et cette responsabilité passe par une suspension du transfert/résiliation du contrat en cas d’absence de garantie suffisante en matière de protection des données[3].
Cette responsabilisation implique dès lors une nécessité d’évaluer ces garanties via un outil : l’analyse d’impact sur les transferts de données (AITD ou TIA).
Ainsi, le guide s’articule autour des thèmes suivants :
Comme énoncé par la CNIL, « l’AITD doit permettre à l’exportateur d’évaluer le niveau de protection offert par la législation locale et tenir compte des pratiques des autorités dans le pays tiers en matière d’accès aux données transférées ».
C’est dans ce cadre que l’AITD évalue :
Un nouveau guide qui sera sans aucun doute fortement utile une fois finalisé !
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE
[2] CJUE : 16 juillet 2020
[3] Article 28 du RGPD