Denis Demontes

L’Analyse d’Impact du Transfert des données personnelles hors UE

L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données personnelles vers les Etats-Unis. La raison de cette décision reposait sur le fait que ce pays avait des pouvoirs de surveillance excessifs, et le mécanisme Ombudsman (officiel chargé d’investiguer les plaintes des individus contre une entreprise ou organisation et en particulier une autorité publique) ne fournissait pas suffisamment de protection aux citoyens européens.

Rappelons que le Règlement Général sur la protection des données, RGPD, fait référence à la restriction du transfert de données personnelles vers des pays en dehors de l’Union Européenne. La raison de cette restriction est d’empêcher l’évasion de cette protection en envoyant les données vers un pays tiers.

Il y a un certain nombre d’exceptions à cette règle, telles que le transfert des données vers un pays avec des lois adéquates à sa protection, où les personnes concernées par les données personnelles ont donné leur consentement explicite au transfert. Sinon, la solution passe par l’utilisation de Clauses Contractuelles Standards ou Types, CCTs.

Le/La responsable du traitement devra s’assurer de la sécurité des données. Ceci est fait par la mise en place d’une annexe de sécurité au contrat. Dans cette annexe de sécurité, le fournisseur présente les mesures techniques et organisationnelles qui protègent les données dans un Plan d’Assurance Sécurité (PAS). Ce PAS est analysé et validé avant la signature du contrat et bien entendu avant le transfert des données.

L'Analyse d'Impact du Transfert / Transfert Impact Assessment (TIA)

Le point central de la décision de la Cour de Justice Européenne tourne autour du fait que les Clauses Contractuelles Types définissent la relation et les responsabilités entre les deux parties, l’exportateur et l’importateur des données. Mais les clauses ne lient pas toute autre partie pouvant obtenir les données transférées, telles qu’une organisation gouvernementale ou un pays tiers.

Malgré le fait que l’exportateur des données vérifie la sécurisation de celles-ci par l’importateur, il devra aussi s’assurer, avec l’aide de l’importateur, des protections existantes contre les accès des tiers et ceci au cas par cas.

Quel est l’intérêt de l’analyse d’impact du transfert des données personnelles hors UE ?

Il est de la responsabilité des exportateurs des données d’implémenter une Analyse d’Impact du Transfert. Cette analyse d’impact doit évaluer les lois en vigueur dans le pays tiers, l’existence ou non d’organismes indépendants de supervision, l’existence de traités ou des accords liant le pays à la protection de données personnelles ou la véritable application de la loi.

Ce TIA permet certainement une évaluation du risque plus complète.

Il ne faudra faut pas oublier que ce TIA doit être maintenu à jour en fonction des évolutions des législations des pays en matière de protection des données.

Qu’est-ce qu’une décision d’adéquation (adequacy decision) :

La Commission Européenne a le pouvoir de déterminer si un pays en dehors de l’Union Européenne offre un niveau adéquat de protection de données.

La Commission Européenne a reconnu parmi d’autres les pays suivants : Andorre, Argentine, Canada (organisations commerciales), Les Îles Féroé, Nouvelle Zélande, Suisse, Uruguay comme des pays fournissant protection adéquate aux données. Des discussions sont en cours avec la Corée.

Et le Brexit dans tout ça ?

Le Royaume Uni a quitté l’Union Européenne le 31 janvier 2020 et est entré dans une période de transition qui s’est finalisée le 31 décembre 2020.

Des transferts de données à partir du Royaume Uni vers l’Union Européenne ou d’autres pays sont assujettis aux règles de transfert de données du régime du Royaume Uni. Le gouvernement britannique a déjà reconnu l’UE comme adéquat, et a adopté les déterminations existantes d’adéquation de l’UE.

En ce qui concerne l’Union Européenne, il y a des clauses qui permettent le transfert de données vers l’UE et qui sont couvertes par la décision d’adéquation de la Commission Européenne. Cette décision est revue périodiquement par le Royaume Uni.

Pour des transferts à partir de l’Union Européenne vers le Royaume Uni, les règles RGPD de l’Union Européenne sont applicables. Le Royaume Uni est à la recherche d’une décision d’adéquation de la part de l’Union Européenne qui permettrait un flux de données libre sous l’égide de ces règles.

Le 19 février 2021, La Commission de l’Union Européenne a émis une proposition de décision d’adéquation pour des flux de données entre l’Union Européenne et le Royaume Uni. Cette décision engage un processus devant conduire à l’adoption de deux décisions relatives à l’adéquation du niveau de protection des données pour les transferts de données à caractère personnel vers le Royaume-Uni, une dans le cadre du règlement de la protection des données et l’autre dans celui de la directive en matière de protection des données dans le domaine répressif.

Cette décision rassurera certainement les entreprises et les organisations des deux côtés de la Manche.

Lire l’article sur la décision rendue par la CJUE au sujet du privacy shield

 

Articles associés

Comment protéger votre Active Directory ?

18 novembre 2021
Comment protéger votre Active Directory (AD) des nouvelles menaces ?   L’année 2020 a connu une recrudescence importante des attaques informatiques contre les entreprises, les hôpitaux et les collectivités territoriales. Nous nous sommes rendu compte que les attaquants ciblent régulièrement l’annuaire Active Directory (AD) qui est présent dans plus de 95% des entreprises et des organisations […]

Les Devops et l’Agilité : les pires ennemis de la Sécurité…ou pas ! (2/2)

24 juin 2021
Nous l’évoquions dans un précédent article (les devops et l’agilité pires ennemis de la sécurité ou pas 1/2), Devops et agilité ne font pas forcément bon ménage avec la sécurité. Cependant, loin d’être une fatalité, cette opposition permet au métier de la sécurité d’évoluer avec le temps. À l’image de l’essor de l’IT et de […]
Partager cet article
Derniers articles

Bien choisir son accès internet

De nos jours, toutes les entreprises disposent d’un accès internet, mais comment bien le choisir ?   Avant d’aborder quelques principes permettant d’aiguiller le choix, il convient de rappeler les éléments techniques primordiaux dans les accès internet.   Le premier est la latence, que l’on peut résumer au temps mis pour qu’un message aille de […]

Comment protéger votre Active Directory ?

Comment protéger votre Active Directory (AD) des nouvelles menaces ?   L’année 2020 a connu une recrudescence importante des attaques informatiques contre les entreprises, les hôpitaux et les collectivités territoriales. Nous nous sommes rendu compte que les attaquants ciblent régulièrement l’annuaire Active Directory (AD) qui est présent dans plus de 95% des entreprises et des organisations […]

Jeff, RSSI chez iDNA depuis 10 ans !

RSSI hors-pair, Jean-François, ou Jeff pour les intimes, va souffler le 21 novembre prochain ses 10 bougies chez iDNA. Après plusieurs années d’expertise réseaux et sécurité, Jean-François s’est spécialisé dans la cybersécurité. Passionné par l’informatique, les jeux-vidéos et le rugby, découvrez-le en 6 questions !     Jean-François, tu vas souffler tes 10 bougies chez iDNA, […]

Comment agir sur nos Datacenters afin de réduire leur consommation énergétique ?

Réduire la consommation énergétique des centres de données : Les Datacenters ont un grand impact sur l’empreinte carbone et leurs émissions totales de gaz à effet de serre sont en augmentation constante. L’objectif est ici de vous faire découvrir quelles sont les pistes à explorer pour réduire la consommation d’énergie et l’impact environnemental de nos […]