Denis Demontes

L’Analyse d’Impact du Transfert des données personnelles hors UE

L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données personnelles vers les Etats-Unis. La raison de cette décision reposait sur le fait que ce pays avait des pouvoirs de surveillance excessifs, et le mécanisme Ombudsman (officiel chargé d’investiguer les plaintes des individus contre une entreprise ou organisation et en particulier une autorité publique) ne fournissait pas suffisamment de protection aux citoyens européens.

Rappelons que le Règlement Général sur la protection des données, RGPD, fait référence à la restriction du transfert de données personnelles vers des pays en dehors de l’Union Européenne. La raison de cette restriction est d’empêcher l’évasion de cette protection en envoyant les données vers un pays tiers.

Il y a un certain nombre d’exceptions à cette règle, telles que le transfert des données vers un pays avec des lois adéquates à sa protection, où les personnes concernées par les données personnelles ont donné leur consentement explicite au transfert. Sinon, la solution passe par l’utilisation de Clauses Contractuelles Standards ou Types, CCTs.

Le/La responsable du traitement devra s’assurer de la sécurité des données. Ceci est fait par la mise en place d’une annexe de sécurité au contrat. Dans cette annexe de sécurité, le fournisseur présente les mesures techniques et organisationnelles qui protègent les données dans un Plan d’Assurance Sécurité (PAS). Ce PAS est analysé et validé avant la signature du contrat et bien entendu avant le transfert des données.

L'Analyse d'Impact du Transfert / Transfert Impact Assessment (TIA)

Le point central de la décision de la Cour de Justice Européenne tourne autour du fait que les Clauses Contractuelles Types définissent la relation et les responsabilités entre les deux parties, l’exportateur et l’importateur des données. Mais les clauses ne lient pas toute autre partie pouvant obtenir les données transférées, telles qu’une organisation gouvernementale ou un pays tiers.

Malgré le fait que l’exportateur des données vérifie la sécurisation de celles-ci par l’importateur, il devra aussi s’assurer, avec l’aide de l’importateur, des protections existantes contre les accès des tiers et ceci au cas par cas.

Quel est l’intérêt de l’analyse d’impact du transfert des données personnelles hors UE ?

Il est de la responsabilité des exportateurs des données d’implémenter une Analyse d’Impact du Transfert. Cette analyse d’impact doit évaluer les lois en vigueur dans le pays tiers, l’existence ou non d’organismes indépendants de supervision, l’existence de traités ou des accords liant le pays à la protection de données personnelles ou la véritable application de la loi.

Ce TIA permet certainement une évaluation du risque plus complète.

Il ne faudra faut pas oublier que ce TIA doit être maintenu à jour en fonction des évolutions des législations des pays en matière de protection des données.

Qu’est-ce qu’une décision d’adéquation (adequacy decision) :

La Commission Européenne a le pouvoir de déterminer si un pays en dehors de l’Union Européenne offre un niveau adéquat de protection de données.

La Commission Européenne a reconnu parmi d’autres les pays suivants : Andorre, Argentine, Canada (organisations commerciales), Les Îles Féroé, Nouvelle Zélande, Suisse, Uruguay comme des pays fournissant protection adéquate aux données. Des discussions sont en cours avec la Corée.

Et le Brexit dans tout ça ?

Le Royaume Uni a quitté l’Union Européenne le 31 janvier 2020 et est entré dans une période de transition qui s’est finalisée le 31 décembre 2020.

Des transferts de données à partir du Royaume Uni vers l’Union Européenne ou d’autres pays sont assujettis aux règles de transfert de données du régime du Royaume Uni. Le gouvernement britannique a déjà reconnu l’UE comme adéquat, et a adopté les déterminations existantes d’adéquation de l’UE.

En ce qui concerne l’Union Européenne, il y a des clauses qui permettent le transfert de données vers l’UE et qui sont couvertes par la décision d’adéquation de la Commission Européenne. Cette décision est revue périodiquement par le Royaume Uni.

Pour des transferts à partir de l’Union Européenne vers le Royaume Uni, les règles RGPD de l’Union Européenne sont applicables. Le Royaume Uni est à la recherche d’une décision d’adéquation de la part de l’Union Européenne qui permettrait un flux de données libre sous l’égide de ces règles.

Le 19 février 2021, La Commission de l’Union Européenne a émis une proposition de décision d’adéquation pour des flux de données entre l’Union Européenne et le Royaume Uni. Cette décision engage un processus devant conduire à l’adoption de deux décisions relatives à l’adéquation du niveau de protection des données pour les transferts de données à caractère personnel vers le Royaume-Uni, une dans le cadre du règlement de la protection des données et l’autre dans celui de la directive en matière de protection des données dans le domaine répressif.

Cette décision rassurera certainement les entreprises et les organisations des deux côtés de la Manche.

Lire l’article sur la décision rendue par la CJUE au sujet du privacy shield

 

Articles associés

Votre clé USB peut-elle donner l’accès à votre système d’information ?

31 mai 2022
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Le SIEM dans tous ses états

10 février 2022
Certains prédisent sa disparition, et brandissent les SOAR (Security Orchestration, Automation and Response) et XDR (eXtended Detection and Response) comme la solution à tous nos problèmes. Avant de parler des petits nouveaux, commençons par un rapide état des lieux. Les principaux reproches que l’on fait habituellement au SIEM sont qu’il est trop complexe, génère trop d’alertes, […]
Partager cet article
Derniers articles

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]

L’évolution d’Abi chez AURA IT, l’histoire d’une alternance réussie

Depuis combien de temps fais-tu partie du Groupe iDNA ? Cela sera ma 4e année en septembre, j’y ai passé 3 ans en alternance qui ont débouché sur la signature de mon premier CDI chez AURA IT, entité du groupe iDNA !   Comment s’est passée ton alternance ? Elle s’est très bien passée, j’ai […]

Amine vole avec les aigles

Flying with eagles est un court métrage qui retrace en 52 minutes les coulisses du premier stage du match de l’équipe nationale tunisienne de football américain en Tunisie ! Équipe dont Amine est le co-fondateur, et président. À l’occasion de sa sortie, voici une petite interview de notre toute nouvelle « star » internationale du Foot US.   […]