Ce qui suit est ma contribution à cette consultation.
Mes remarques concernent principalement :
- Une AITD pourrait être recommandée pour tous les transferts fondés sur une des dérogations de l'article 49 (en plus des outils de transferts listés à l'article 46, tels que CCT, BCR...)
- Les limites inhérentes à l'évaluation par l'importateur du niveau de protection offert par sa législation locale et les pratiques de ses autorités;
- La nécessité de disposer d'évaluations officielles (Commission européenne, CEPD, CNIL, ect.) de la législation et la pratique des États tiers, assorties, le cas échéant, de recommandations (type de mesures supplémentaires recommandées, points de vigilance...).
Le projet de guide et le contexte de la consultation est disponible ici : https://www.cnil.fr/fr/analyse-dimpact-des-transferts-des-donnees-aitd-la-cnil-vous-consulte-sur-un-projet-de-guide
Commentaires sur la partie « Introduction »
Le guide emploi l'expression "même niveau de protection" pour qualifier le niveau de protection que doivent être avoir les données transférées. Or, cette expression paraît aller au delà du "niveau de protection non compromis", tel qu'il est prévu par le RGPD, ou même du niveau "substantiellement équivalent", auquel se réfère la CJUE.
De même, le guide détaille les objectifs de l'AITD "dès lors qu'il apparaît indispensable de réaliser un transfert". Or, il n'y a pas lieu d'examiner le caractère indispensable du transfert et on peine d'ailleurs à identifier à quoi ou à qui celui-ci serait indispensable.
Enfin et surtout, le guide prévoit que l'importateur doit coopérer à la réalisation de l'AITD car il dispose de nombreuses informations nécessaires à celle-ci. Or, qu'il agisse en qualité de sous-traitant ou de responsable de traitement, l'importateur risque de faire face à un conflit entre deux intérêts concurrents : d'une part, obtenir les données qu'il souhaite traiter (en qualité de responsable) ou le contrat de prestation qu'il souhaite exécuter (en qualité de sous-traitant) et, d'autre part, aider son partenaire exportateur à respecter la législation à laquelle lui-seul (l'exportateur) est soumis. Dans ces conditions, on peut s'interroger sur la fiabilité de sa contribution à évaluer sa propre législation. On peut envisager de lui transférer, par contrat, la responsabilité de tout dommage résultant d'une inexacte évaluation de son cadre juridique national, mais son exécution risque d'être malaisée a fortiori dans un cadre international. S'appuyer sur l'importateur semble peu adapté pour garantir l'effectivité de la protection des personnes dont les données sont traitées.
Commentaires ou suggestions sur la partie « avant de réaliser une analyse d’impact des transferts » ?
Le terme "mesures supplémentaires" prête à confusion avec les mesure supplémentaires au sens de celles qui complètent les garanties appropriées de l'article 46. Proposition alternative : "démarches spécifiques (ou même supplémentaires) par rapport à un transfert équivalent au sein de l'UE".
Commentaires ou suggestions sur l’étape 1 : connaître son transfert ?
De façon générale, il semblerait utile de rappeler que les étapes 1 et 2 font partie du registre de traitement (document obligatoire dont le contenu est règlementé) et de les distinguer clairement de l'AITD (dont le format est plus libre).
Rubrique "Nature des activités de l'importateur (commerciale, secteur public, sans but lucratif, autre)" : sauf erreur, la nature des activités de l'importateur n'emporte aucune conséquence juridique propre, aussi l'intérêt de cette information paraît limité ou devrait être précisé.
Avez-vous des commentaires ou suggestions sur l’étape 2 : recenser l’instrument de transfert utilisé ?
Il semble dommage d'exclure les transferts fondés sur l'article 49 du périmètre des AITD alors qu'ils nécessitent aussi d'être soigneusement évalués et documentés : justification du recours à une dérogation plutôt qu'à une garantie de l'article 46, dérogation invoquée, démonstration des critères, etc.
Par ailleurs, l'ordre dans lequel les instruments de transfert utilisés sont listés semble renverser l'ordre dans lequel la réflexion doit être menée : d'abord absence de décision d'adéquation, puis absence de garanties appropriées, autrement dit, obstacle à les mettre en place, puis enfin dérogations.
Rubrique "Conclusion" : Des précisions sur ce qui est attendu comme "éléments et documentation attestant de l'instrument de transfert mis en place" mériteraient d'être apportées. Par ex : ref des CCT, date de conclusion (même si l'AITD semble devoir être réalisée avant le transfert).
Avez-vous des commentaires ou suggestions sur l’étape 3 : évaluer la législation et la pratique du pays de destination des données et l’efficacité de l’outil de transfert ?
Il serait souhaitable de disposer d'une évaluation officielle (Commission européenne, CEPD, CNIL, ect.) de la législation et la pratique des États tiers, assortie de recommandations (type de mesures supplémentaires recommandées, points de vigilance...), plutôt que de laisser les opérateurs entièrement responsables de cette évaluation délicate au risque de compromettre largement l'effectivité de la protection des personnes apportée par le RGPD.
.svg)
.svg)
.svg)
.svg)
%402x.svg)