Évaluation des risques

En tant que responsable de traitement, Votre Organisation devra évaluer les risques pour la vie privée des personnes concernées par le traitement de données que Vous allez réaliser, en certaines circonstances :

• Si le traitement fait partie de la liste des traitements devant faire objet d’une analyse d’impact sur la vie privée de Votre Autorité de Contrôle (la CNIL en France)

• Si le traitement de données que Vous comptez réaliser peut, à un instant T, entraîner un risque élevé pour la vie privée des personnes concernées par le traitement des données

• Si Votre Organisation doit communiquer des données à des pays tiers, considérés par la Commission Européenne comme ne possédant pas une protection de données adéquate

• Si Votre Organisation considère que certains traitements de données ont comme fondement l’Intérêt légitime

• Si Votre Organisation souhaite faire l’analyse des risques de son architecture réseau.

Dans les deux premiers cas ici énoncés, il conviendra de réaliser une PIA ou analyse d’impact relative à la protection des données.

L’intérêt légitime est l’une des six bases légales prévues par le RGPD sur lesquelles le Responsable de traitement que Votre Organisation est, peut fonder un traitement de données à caractère personnel. Néanmoins, le recours à cette base légale suppose que les intérêts poursuivis par Votre Organisation ne créent pas de déséquilibre au détriment des droits et intérêts des personnes concernées par le(s) traitement(s) de données. 

Vous devrez donc respecter certaines exigences et opérer une pondération entre Votre intérêt et les intérêts, libertés et droits fondamentaux des personnes qui seront concernées par Votre traitement de données, en intégrant leurs attentes raisonnables par rapport au traitement de données. 

Vous devrez réaliser un LIA suivant une méthodologie rigoureuse afin de démontrer in fine que Votre traitement de données peut se fonder sur l’intérêt légitime. Pour ce faire, Vous devrez démontrer que :

• L’intérêt que Vous poursuivez est licite, déterminé de manière précise et claire et est réel et présent pour Votre Organisation

• Le traitement de données permet d’atteindre les finalités poursuivies et l n’existe pas de moyen moins intrusif pour l’atteindre

• Le traitement de données ne surprendra pas les personnes concernées, car il peut faire partie de leurs attentes raisonnables.

Cette méthodologie doit être suivie pour chaque traitement fondé sur l’intérêt légitime. Certaines Autorités de Contrôle comme l’ICO ont mis en place des modèles de LIA qui peuvent être suivis par Votre Organisation.

Néanmoins, pour réaliser un LIA qui sera opposable à Votre Autorité de Contrôle, il faut non seulement suivre une méthodologie bien connue des professionnels de la protection et de la sécurité des données, mais il faut aussi que la personne qui l’établira connaisse suffisamment les enjeux business de Votre Organisations, des métiers en jeu, et puisse réaliser cette pondération ou mise en balance, nommée LIA.

SMART PRIVACY CONSULTING peut Vous accompagner dans la réalisation de ce LIA ainsi que dans l’évaluation de tout risque relatif à la protection et à la sécurité des données. Appelez-nous au 

+ 33 6 51 81 76 98 ou contactez-nous via notre formulaire en cliquant ici.

Le 16 juillet 2020 a marqué un changement essentiel dans le transfert de données à caractère personnel vers les Etats-Unis d’Amérique qui impacte aussi les transferts de données personnelles vers tout pays tiers, considéré comme ne possédant pas une protection de données adéquate par la Commission Européenne.

En septembre 2020, l’EDPB a publié ses recommandations pour effectuer un transfert de données à caractère personnel vers un pays tiers. Ce transfert est encadré de plusieurs analyses devant être effectuées par l’Organisation responsable du traitement, dont le TIA.

En quoi consiste ce Transfer Impact Assessment ?

Bien que les clauses contractuelles type (« CCT ») demeurent valides par suite de la décision dite « Schrems II », il faut que le Responsable du traitement évalue au cas par cas la protection des transferts de données vers des pays tiers, en attendant la publication des nouvelles CCT par la Commission Européenne.

Les Organisations transférant des données vers des pays tiers doivent effectuer une analyse approfondie :

• De la protection des données et des lois de surveillance existantes dans le pays importateur de données

• Des mesures de sécurité et des mesures juridiques et contractuelles mises en place pour encadrer lesdits transferts de données

• Les risques impactant les personnes dont les données sont transférées vers les pays tiers.

Pour effectuer ce TIA, une méthodologie prenant en compte les recommandations de l’EDPB et qui permette l’analyse des paramètres suivants :

• Le régime règlementaire des pays dans lesquels sont localisés l’importateur et l’exportateur de données

• Les traitements de données devant être transférés ainsi que les finalités du transfert

• L’analyse de la règlementation locale du pays de destination des transferts de données, tenant compte de :

• La protection offerte par les lois locales de protection et de sécurité des données

• Les risques posés par des lois permettant aux autorités locales d’accéder ou de surveiller les données ou informations personnelles pour des raisons de sécurité ou d’autres raisons reconnues par les lois locales et devant être appliquées à des secteurs spécifiques, comme le Cloud

• La facilité d’accès aux procédures judiciaires pour protéger les droits fondamentaux des personnes concernées

• Le rôle des régulateurs et des autorités de contrôle locales compétentes dans la protection des données

• La possibilité pour les personnes de faire des recours contre les décisions administratives

• L’impact des traités internationaux

• Toute garantie complémentaire adéquate protégeant les transferts de données : audits, etc.

• Le risque résiduel impactant la vie privée des personnes concernées par le transfert des données.

Une fois que Votre Organisation aura réussi à démontrer la prise en compte de ces paramètres et que le transfert de données est conforme aux exigences du RGPD en termes de protection et de sécurité des données, le transfert pourra avoir lieu.

La réalisation d’un Transfer Impact Assessment suppose que la personne qui le réalisera sera non seulement un (e) professionnel(le) aguerri (e) de la protection de données mais il (elle) maitrisera la règlementation internationale relative à la protection de données, possédera une culture internationale et maîtrisera plusieurs langues étrangères, dont les principales, l’anglais et l’espagnol.

Profitez de l’expérience internationale de Patricia DEL CARMEN, Gérante de SMART PRIVACY CONSULTING, parfaitement trilingue en anglais, français et espagnol et ayant exercé en France et à l’international dans le domaine de la protection de données et dans divers secteurs d’activité et confiez-nous Votre Evaluation de risques de transferts de données.