La CNIL lance une consultation publique sur un projet de guide pour conduire une analyse d’impact des transferts des données (AITD) en dehors de l’Espace économique européen.

Pour contribuer 👉🏻 https://lnkd.in/dhX75dwy

[Document téléchargeable ici 👉🏻 https://lnkd.in/dGaWSuK8]

La consultation est ouverte jusqu’au 12 février 2024 et doit permettre à la CNIL de constituer une méthodologie sur les éléments à prendre en compte lors de la réalisation d’une AITD et de donner des indications sur la manière dont l’analyse peut être menée.

Cette AITD devra être réalisée préalablement au transfert des données personnelles en dehors de l’Espace économique européen, sauf si le pays de destination bénéficie d’une décision d’adéquation de la Commission européenne ou si le transfert est effectué selon les dérogations listées à l’article 49 du RGPD. Elle devra être effectuée par les responsables de traitement ou sous-traitants qui agissent en tant qu’exportateurs des données, avec l’assistance de l’importateur, avant de transférer les données vers un pays tiers, lorsque ce transfert s’appuie sur un outil de transfert (article 46 du RGPD).

Le guide établit six différentes étapes pour mener une AITD :
– Connaître son transfert ;
– Recenser l’instrument de transfert utilisé ;
– Évaluer la législation et les pratiques du pays de destination des données et l’efficacité de l’outil de transfert ;
– Identifier et adopter des mesures supplémentaires ;
– Mettre en œuvre les mesures supplémentaires et les étapes procédurales nécessaires ;
– Réévaluer à intervalles appropriés le niveau de protection et suivre les développements potentiels qui pourraient l’affecter.

L’analyse permettra à l’exportateur d’évaluer le niveau de protection offert par la législation locale et de tenir compte des pratiques des autorités dans le pays tiers en matière d’accès aux données transférées.