La réalisation d’une analyse d’impact sur le transfert de données en application du RGPD

Vous transférez des données personnelles ou travaillez avec des sous-traitants qui eux-mêmes sont susceptibles de transférer vos données en dehors de l’Espace économique européen (EEE) ?

Préalablement au transfert de données personnelles en dehors de EEE, vous devez évaluer le niveau de protection du pays de destination et les éventuelles garanties à apporter. Pour accompagner les organismes, la CNIL lance une consultation publique jusqu’au 12 février 2024, sur un projet de guide pour conduire une analyse d’impact disponible à l’adresse : https://www.cnil.fr/fr/webform/consultation-publique-guide-de-realisation-danalyses-dimpact-des-transferts-de-donnees-aitd-public

Dans quels cas faut-il réaliser une AITD ?

Les personnes en charge du traitement ou de la sous-traitance et qui envoient des données vers un autre pays doivent effectuer une Analyse d’Impact sur le Transfert de Données (AITD), en collaboration avec le destinataire des données. Cela doit être fait avant le transfert, surtout si l’outil utilisé pour le transfert est régi par l’article 46 du RGPD. La coopération de l’importateur, qui a les informations nécessaires, est essentielle pour réaliser cette analyse.

Si le pays de destination des données est couvert par une décision d’adéquation (c’est-à-dire une décision déclarant qu’un pays tiers offre des garanties suffisantes pour la protection des données), ou si le transfert est réalisé sur la base d’une des dérogations listées à l’article 49 du RGPD, l’exportateur n’est pas soumis à cette obligation de réaliser une AITD.

Quelle est la finalité d’une AITD ?

L’AITD doit permettre à l’exportateur d’évaluer le niveau de protection offert par la législation locale et tenir compte des pratiques des autorités dans le pays tiers en matière d’accès aux données transférées.

Pourquoi faire appel à un DPO externe pour la réalisation d’une AITD ?

Le rôle du Délégué à la Protection des Données (DPO) dans la réalisation d’une Analyse d’Impact sur le Transfert de Données (AITD) est central et stratégique à plusieurs niveaux :

  • Identification des transferts de données : le DPO identifie les situations où des données personnelles sont transférées vers des pays tiers.
  • Conseils sur les mesures de protection : Le DPO peut recommander des mécanismes spécifiques tels que les clauses contractuelles types, les codes de conduite, ou les règles d’entreprise contraignantes.
  • Coopération avec les autorités de contrôle : En cas de besoin, le DPO coopère avec les autorités de contrôle en fournissant des informations sur les AITD et en répondant à leurs éventuelles demandes.

En résumé, le DPO joue un rôle clé dans la réalisation d’une AITD en intégrant la protection des données dans les processus de transfert de données. Le personnel de LEXACTITUDE est certifié de la certification de compétences de délégué à la protection des données de la CNIL, et peut ainsi, vous accompagner à la réalisation de vos AITD. N’hésitez pas à nous contacter pour toute question via notre formulaire de contact.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut