Qu’est-ce qu’un Transfer Impact Assessment ?
Le Tranfer Impact Assessment (TIA) est un terme relativement nouveau dans le monde de la protection des données à caractère personnel. En effet, l’obligation de réaliser un TIA découle de la clause 14 des nouvelles clauses contractuelles types (CCT) publiées par la Commission européenne (ci-après la « Commission ») en juin 2021. Ces nouvelles CCT doivent être mises en place préalablement à tout transfert de données à caractère personnel vers des pays tiers à l’Espace économique européen (EEE) ne faisant pas l’objet d’une décision d’adéquation de la Commission. En effet, le EEE est couvert par le Règlement général sur la protection des données 1 (ci-après le « RGPD »), qui assure une protection étendue aux données personnelles des personnes résidant dans l’EEE. Si l’on veut transférer des données personnelles vers un pays tiers n’étant pas considéré comme offrant une protection suffisante aux données personnelles, il faut s’assurer de respecter les mécanismes précis entourant une telle opération, tels que prescrits par le RGPD.
Soulignons qu’il existe deux catégories de pays tiers : les pays tiers faisant l’objet d’une décision d’adéquation par la Commission européenne, et qui sont donc considérés comme offrant un niveau de sécurité des données à caractère personnel considéré comme adéquat, et les pays tiers ne faisant pas l’objet d’une telle décision d’adéquation. Le transfert de données à caractère personnel vers la première catégorie de pays tiers est permis sans la mise en place se CCT et donc de TIA, alors qu’un tel transfert vers les autres pays tiers requiert la mise en place de telles mesures de sécurité. Une décision d’adéquation peut également viser de manière spécifique un territoire ou un secteur particulier dans l’État tiers, ou encore une organisation internationale (tel les Nations Unies ou l’Organisation mondiale de la santé).
Un TIA est une analyse réalisée par un responsable de traitement ou un sous-traitant concernant l’impact et l’incidence sur la sécurité des données à caractère personnel d’un transfert vers un pays en dehors de l’EEE n’ayant pas fait l’objet d’une décision d’adéquation par la Commission. Cette analyse, qui prend souvent la forme d’un questionnaire, doit être réalisée pour chaque activité de traitement des données à caractère personnel et permet, entre autres, d’établir si les lois du pays tiers concerné permettraient aux agences gouvernementales dudit État tiers d’accéder aux données à caractère personnel que l’on veut transférer. D’autres facteurs seront généralement pris en compte, telle la protection générale accordée aux droits de la personne dans le pays tiers. Soulignons néanmoins que le RGPD n’indique pas quels facteurs doivent être spécifiquement considérés dans le cadre d’un TIA, et qu’il n’est techniquement pas indiqué que le TIA doit être sous forme écrite – néanmoins, un tel format permet de prouver que la vérification nécessaire a bien été menée.
Quelle forme doit prendre un TIA (Transferts internationaux de données) ?
Bien qu’il n’y ait pas de lignes directrices précises encadrant la rédaction d’un TIA, il faut s’assurer de réaliser une analyse approfondie permettant de spécifier le cadre légal applicable dans le pays tiers, ainsi que d’appréhender tous les risques, réels ou hypothétiques, qui pourraient menacer la sécurité des données à caractère personnel que l’on souhaite transférer en dehors de l’EEE. Nous vous proposons une analyse en six étapes 2 , analyse, rappelons-le, qu’il faut mener avant de procéder au transfert.
Premièrement, il vous faudra décrire le transfert de données personnelles qui est considéré. Par exemple, vers quel pays les données seront-elles transférées ? Qui est l’importateur des données, et dans quel contexte les importe-t-il ? Quelles sont les personnes concernées par le transfert de données ? Y a-t-il des données à caractère personnel sensibles, telles des données concernant l’orientation sexuelle ou des données de santé 3 , qui seront transférées ?
Deuxièmement, les paramètres entourant le TIA devront être définis. Il est notamment question de la date de début du transfert, la durée de ce dernier, les lois qu’il faut prendre en compte dans le pays où les données seront transférées, etc.
Troisièmement, il est nécessaire de définir les mesures de sauvegarde qui sont mises en place, incluant les mesures technologiques, contractuelles et organisationnelles. En outre, si l’on s’appuie sur des clauses contractuelles types (CCT) ou des binding corporate rules (BCR), il faut évaluer si ces mesures sont efficaces en tenant compte de la législation nationale régissant le pays où les données doivent être importées. Il s’agit d’une analyse des lois et règlements spécifiques de la juridiction ciblée afin de déterminer s’il existe une base permettant à un tiers (par exemple, une agence gouvernementale) d’accéder légalement aux données personnelles transférées.
Quatrièmement, il si vous concluez que les CCT ou les BCR ne sont pas suffisantes pour assurer la sécurité des données personnelles, instaurez des mesures supplémentaires. De telles mesures, qui sont souvent mises en place en collaboration avec l’importateur des données, peuvent être ajoutées aux mesures de sauvegarde instaurées telles que décrites à la troisième étape. Ces mesures supplémentaires peuvent être de nature contractuelle, technique ou organisationnelle. En voici quelques exemples : la pseudonymisation des données, recours à un fournisseur de services d’hébergement dans un pays tiers pour stocker les données personnelles, etc 4 .
Cinquièmement, à la lumière de cette analyse en quatre étapes, il faudra conclure si le transfert de données à caractère personnel considéré comporte ou non un niveau de risque acceptable qui justifie sa mise en œuvre.
Finalement, assurez-vous de réévaluer la situation à des intervalles appropriés. Vous devez suivre de façon continue les évolutions dans le pays tiers où vous avez transféré les données personnelles afin de vous assurer que les niveaux de sécurité demeurent adéquats. Ainsi, il s’agit d’un processus en continu qui relève de votre responsabilité.
En conclusion, la mise en place et le processus d’analyse lié au TIA sont un minutieux travail requérant une connaissance approfondie du cadre légal encadrant les données à caractère personnelles, tant au niveau européen qu’au niveau du pays tiers visé par le transfert des données. Il est donc important de faire appel aux services d’un professionnel qui saura vous guider à chaque étape du processus.
Cabinet d’avocat pratiquant aussi bien le droit anglophone de la common law en Grande-Bretagne, au Canada et aux États-Unis que le droit civil francophone au Québec et en France, le cabinet S. Grynwajc dispose en outre d’une expertise particulière dans le domaine de la protection des données à caractère personnel outre-Atlantique. En conséquence, si vous souhaitez vous assurer que votre organisation se conforme aux obligations lui incombant lors d’un transfert de données vers les États-Unis, n’hésitez pas à nous contacter, nous serons ravis de vous accompagner !
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
2 Notre analyse est basée sur les recommandations du CEPD, telles que retrouvées dans le Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, (hereinafter “ EDPB Recmmendations 01/2020”), European Data Protection Board (EDPB, CEPD en français), adopté le10 novembre 2020, en ligne: < chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf >.
3 D’autres exemples de données à caractère personnel sensibles incluent des informations qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne, ainsi que les données génétiques, les données concernant la santé, ou les données concernant la vie sexuelle ou l’orientation sexuelle de la personne.
4 Pour plus d’exemples de mesures supplémentaires, veuillez consulter l’Annexe 2 des Recommandations 01/2020 du CEPD.