Analyses d’impact des transferts de données : la CNIL publie son guide

Publication de la CNIL sur son site internet – 31 janvier 2025

L’encadrement des transferts de données en dehors de l’Union Européenne constitue l’un des piliers du cadre de protection des données personnelles instauré par le RGPD (et, avant lui, par la Directive 95-46 du 24 octobre 1994).

Depuis l’arrêt « Schrems 2 » de la CJUE, les exportateurs de données ne peuvent plus se reposer uniquement sur la conclusion de clauses contractuelles types de transfert ou l’adoption de règles d’entreprise contraignantes, lorsque ces mécanismes de transfert sont mis en œuvre. Ils ont en effet l’obligation d’évaluer concrètement le niveau de protection dans les pays tiers de destination afin de déterminer si, en tenant compte de la mise en œuvre du mécanisme de transfert choisi, les données transférées bénéficieront effectivement d’un niveau de protection équivalent à celui garanti au sein de l’Union Européenne. Lorsque ce n’est pas le cas, ils doivent mettre en place des garanties supplémentaires, ou renoncer au transfert.

L’arrêt « Schrems 2 » a donc provoqué la nécessité de réaliser des études spécifiques, appelées en pratique des « analyses d’impact des transferts de données » (ou AITD). Dans ce cadre, la CNIL vient de publier la version finale son guide pour aider les exportateurs à réaliser leurs AITD.

Vérifications préalables à l’AITD

En premier lieu, avant de procéder à une AITD, la CNIL recommande de vérifier plusieurs éléments essentiels pour déterminer la nécessité et le périmètre de cette analyse :

  • Existence d’un transfert de données à caractère personnel :Le premier point, qui semble évident mais peut être oublié, est de vérifier que le transfert concerne bien des « données à caractère personnel » au sens de l’article 4 du RGPD. Ensuite, il convient de déterminer si une opération de « transfert » est envisagée. La CNIL, se référant aux lignes directrices du CEPD en la matière, rappelle qu’un transfert implique trois critères cumulatifs :
  • Un exportateur (responsable de traitement ou sous-traitant) soumis au RGPD pour le traitement en question.
  • La divulgation ou la mise à disposition de données à une autre entité (l’importateur), distincte de l’exportateur (la CNIL rappelle ici qu’une divulgation, par une entité localisée dans l’UE, à l’un de ses employés dans un pays tiers, n’est pas un transfert de données au sens du RGPD).
  • L’importateur est situé dans un pays tiers (hors EEE), qu’il soit ou non soumis au RGPD pour le traitement concerné.

Par exemple, l’accès à distance depuis un pays tiers à des données stockées dans l’EEE ou le stockage en nuage de données hors de l’EEE constituent des transferts lorsqu’ils impliquent une entité juridiquement distincte de l’exportateur.

  • Nécessité de réaliser une AITD : Une AITD est requise lorsque le transfert repose sur l’une des « garanties appropriées » prévues par l’article 46 du RGPD, telle que les clauses contractuelles types ou les règles d’entreprise contraignantes. A l’inverse, aucune AITD n’est requise si : (i) le pays de destination bénéficie d’une décision d’adéquation de la Commission européenne, attestant d’un niveau de protection équivalent – ex : le Privacy Framework UE-US; ou (ii) le transfert est fondé sur l’une des dérogations prévues à l’article 49 du RGPD – ex : le consentement explicite de la personne concernée ou la nécessité du transfert pour l’exécution d’un contrat.

  • Qualification des parties et responsabilité de réaliser une AITD : la CNIL rappelle qu’il est essentiel de clarifier le rôle de chaque partie impliquée dans le transfert : responsable de traitement, sous-traitant ou responsable conjoint de traitement. Cette qualification détermine les obligations respectives en matière de protection des données. L’exportateur, qu’il soit responsable de traitement ou sous-traitant, est généralement responsable de la réalisation de l’AITD. Cependant l’importateur, qui en principe dispose d’informations plus nombreuses sur la situation et la législation locales, doit assister l’exportateur. Cette obligation d’assistance est d’autant plus forte lorsque l’importateur est un sous-traitant de l’exportateur.

Dans certaines situations, l’exportateur peut avoir des responsabilités envers une entité qui n’est ni exportatrice ni importatrice. C’est par exemple le cas lorsqu’un sous-traitant localisé dans l’UE exporte des données vers un sous-traitant ultérieur hors UE, pour le compte d’un responsable de traitement dans l’UE. Dans ce cas, le sous-traitant exportateur doit réaliser l’AITD, mais également la transmettre à son responsable de traitement en application de l’article 28(3)(h) du RGPD afin de démontrer le respect de ses propres obligations. La CNIL note ici que la transmission par le sous-traitant d’un simple résumé exécutif sans la fourniture des éléments concrets sur lesquels l’AITD a été réalisée ne sera pas suffisante.

  • Périmètre de l’AITD et prise en compte des transferts ultérieurs : L’AITD doit couvrir l’ensemble des transferts envisagés, y compris les transferts ultérieurs vers d’autres entités ou pays tiers. Il est donc crucial d’identifier non seulement le transfert initial, mais aussi toute chaîne de transferts subséquents, afin d’évaluer les risques associés à chaque étape de transfert.

  • Conformité du transfert aux principes du RGPD : La CNIL rappelle enfin qu’un transfert de données personnelles constitue en lui-même un traitement de données personnelles, et qu’il doit à ce titre respecter les principes fondamentaux du RGPD (ex : licéité, loyauté et transparence, limitation des finalités, minimisation des données).

Réalisation de l’AITD

Une fois ces vérifications préalables effectuées, l’AITD peut être menée. A cette fin, la CNIL propose une méthodologie structurée en six étapes. Pour chaque étape, l’autorité intègre dans son guide un modèle de tableau couvrant l’ensemble des points essentiels devant être renseignés pour être pris en compte dans l’analyse.

  1. « Connaître son transfert » : Cette première étape consiste à décrire précisément les caractéristiques du transfert envisagé, en identifiant notamment les acteurs impliqués (exportateur et importateur), les catégories de données personnelles et personnes concernées, les finalités du transfert, sa fréquence, etc.

  1. « Identifier l’outil de transfert utilisé » : Il s’agit ici de déterminer l’instrument juridique encadrant le transfert, tel que les clauses contractuelles types, les règles d’entreprise contraignantes ou d’autres mécanismes prévus par l’article 46 du RGPD.

  1. « Évaluer la législation et les pratiques du pays de destination » : Cette étape implique une analyse approfondie du cadre juridique du pays tiers, notamment en ce qui concerne les droits des personnes concernées, les obligations des responsables de traitement et les pouvoirs des autorités publiques en matière d’accès aux données. La CNIL rappelle que l’aide de l’importateur est essentielle pour cette étape. En dehors des éléments spécifiques fournis par l’importateur, la Commission recommande de se référer, entre autres, aux rapports des organisations internationales, aux analyses commandées par le CEPD pour certains pays, qui doivent être complétées lorsque cela est nécessaire. La carte du monde publiée par la CNIL sur son site contient également certaines informations générales relatives au cadre de protection des données dans les pays tiers.

  1. « Recenser et adopter des mesures supplémentaires » : Si l’évaluation révèle des insuffisances dans le niveau de protection offert par le pays de destination et que ces insuffisances ne sont pas comblées par l’effectivité (projetée) de l’outil de transfert utilisé (clauses contractuelles types de transfert, etc.), l’exportateur doit identifier et mettre en place des mesures supplémentaires, qu’elles soient techniques, organisationnelles ou contractuelles, pour garantir un niveau de protection équivalent à celui du RGPD. La CNIL indique ici que l’annexe 2 des recommandations 01/2020 du CEPD fournit une liste – non exhaustive – de mesures envisageables. La CNIL rappelle aussi que dans certains cas, aucune mesure supplémentaire ne sera à même d’assurer un niveau de protection équivalent au droit européen. Dans ce cas, le transfert ne doit pas être réalisé.

  1. « Mettre en œuvre les mesures supplémentaires » : Une fois les mesures identifiées, l’autorité recommande de lister précisément les actions à mener et procédures à mettre en place pour s’assurer de leur mise en œuvre effective.

  1. « Réévaluer le niveau de protection » : Enfin, la CNIL recommande de procéder à des réévaluations périodiques pour vérifier que le niveau de protection demeure adéquat, notamment en cas de modifications législatives dans le pays de destination ou de changements dans les conditions du transfert.

La publication de ce guide devrait constituer une ressource documentaire intéressante en pratique, pour guider les organismes étape par étape dans la réalisation de leurs analyses. La mise à disposition du modèle de tableau et des éclairages de la CNIL ne devrait cependant pas suffire à réduire de manière substantielle la complexité – pratique et juridique – de ce type d’analyse pour les exportateurs (et les importateurs).