En tant que responsable de traitement, Votre Organisation devra évaluer les risques pour la vie privée des personnes concernées par le traitement de données que Vous allez réaliser, en certaines circonstances :
Dans les deux premiers cas ici énoncés, il conviendra de réaliser une PIA ou analyse d’impact relative à la protection des données.
L’intérêt légitime est l’une des six bases légales prévues par le RGPD sur lesquelles le Responsable de traitement que Votre Organisation est, peut fonder un traitement de données à caractère personnel. Néanmoins, le recours à cette base légale suppose que les intérêts poursuivis par Votre Organisation ne créent pas de déséquilibre au détriment des droits et intérêts des personnes concernées par le(s) traitement(s) de données.
Vous devrez donc respecter certaines exigences et opérer une pondération entre Votre intérêt et les intérêts, libertés et droits fondamentaux des personnes qui seront concernées par Votre traitement de données, en intégrant leurs attentes raisonnables par rapport au traitement de données.
Vous devrez réaliser un LIA suivant une méthodologie rigoureuse afin de démontrer in fine que Votre traitement de données peut se fonder sur l’intérêt légitime. Pour ce faire, Vous devrez démontrer que :
Cette méthodologie doit être suivie pour chaque traitement fondé sur l’intérêt légitime. Certaines Autorités de Contrôle comme l’ICO ont mis en place des modèles de LIA qui peuvent être suivis par Votre Organisation.
Néanmoins, pour réaliser un LIA qui sera opposable à Votre Autorité de Contrôle, il faut non seulement suivre une méthodologie bien connue des professionnels de la protection et de la sécurité des données, mais il faut aussi que la personne qui l’établira connaisse suffisamment les enjeux business de Votre Organisations, des métiers en jeu, et puisse réaliser cette pondération ou mise en balance, nommée LIA.
SMART PRIVACY CONSULTING peut Vous accompagner dans la réalisation de ce LIA ainsi que dans l’évaluation de tout risque relatif à la protection et à la sécurité des données. Appelez-nous au
+ 33 6 51 81 76 98 ou contactez-nous via notre formulaire en cliquant ici.
Le 16 juillet 2020 a marqué un changement essentiel dans le transfert de données à caractère personnel vers les Etats-Unis d’Amérique qui impacte aussi les transferts de données personnelles vers tout pays tiers, considéré comme ne possédant pas une protection de données adéquate par la Commission Européenne.
En septembre 2020, l’EDPB a publié ses recommandations pour effectuer un transfert de données à caractère personnel vers un pays tiers. Ce transfert est encadré de plusieurs analyses devant être effectuées par l’Organisation responsable du traitement, dont le TIA.
En quoi consiste ce Transfer Impact Assessment ?
Bien que les clauses contractuelles type (« CCT ») demeurent valides par suite de la décision dite « Schrems II », il faut que le Responsable du traitement évalue au cas par cas la protection des transferts de données vers des pays tiers, en attendant la publication des nouvelles CCT par la Commission Européenne.
Les Organisations transférant des données vers des pays tiers doivent effectuer une analyse approfondie :
Pour effectuer ce TIA, une méthodologie prenant en compte les recommandations de l’EDPB et qui permette l’analyse des paramètres suivants :
Une fois que Votre Organisation aura réussi à démontrer la prise en compte de ces paramètres et que le transfert de données est conforme aux exigences du RGPD en termes de protection et de sécurité des données, le transfert pourra avoir lieu.
La réalisation d’un Transfer Impact Assessment suppose que la personne qui le réalisera sera non seulement un (e) professionnel(le) aguerri (e) de la protection de données mais il (elle) maitrisera la règlementation internationale relative à la protection de données, possédera une culture internationale et maîtrisera plusieurs langues étrangères, dont les principales, l’anglais et l’espagnol.
Profitez de l’expérience internationale de Patricia DEL CARMEN, Gérante de SMART PRIVACY CONSULTING, parfaitement trilingue en anglais, français et espagnol et ayant exercé en France et à l’international dans le domaine de la protection de données et dans divers secteurs d’activité et confiez-nous Votre Evaluation de risques de transferts de données.