Pour accompagner les organismes soumis au RGPD, la CNIL a récemment publié une consultation publique sur un projet de guide visant à conduire une Analyse d’Impact des Transferts de Données (AITD) ou Transfer Impact Assessment en anglais (TIA).
Cette consultation est ouverte jusqu’au 12 février 2024 sur le site de la CNIL.
Quels sont les objectifs d’une AITD ?
- Elle doit permettre à l’exportateur d’évaluer le niveau de protection offert par la législation et les pratiques applicables au sein du pays importateur.
- Elle doit également permettre d’évaluer si des mesures supplémentaires permettraient de combler les lacunes constatées et d’assurer un niveau de protection requis par la législation européenne applicable en matière de protection des données.
- L’AITD doit être réalisée par les responsables de traitements ou sous-traitants qui agissent en tant qu’exportateurs avec l’assistance de l’importateur avant de transférer les données vers un pays tiers.
Cette évaluation doit être documentée. - La coopération de l’importateur (pays tiers de destination) est indispensable dans la réalisation de l’AITD.
Les 6 étapes établies par le CEPD pour mener une AITD :
- Décrire le transfert de données : ses caractéristiques, sa sensibilité.
- Documenter l’instrument qui sera utilisé pour encadrer le transfert décrit et l’analyse concluant à la nécessité (ou non) de réaliser une AITD.
- Evaluer la législation et les pratiques en vigueur dans le pays de destination et l’efficacité de l’outil de transfert choisi.
- Recenser les mesures de sécurité existantes : si ces dernières sont insuffisantes, identifier les mesures supplémentaires à mettre en œuvre.
- Etablir un plan d’action pour la mise en œuvre opérationnelles des mesures de sécurité supplémentaires.
- Anticiper les futures réévaluations du transfert par l’exportateur.
Vous souhaitez vous faire accompagner pour la réalisation d’une AITD ? Rapprochez-vous de l’une de vos agences RGPD.
