Loading…
L'arrêt de la CJUE du 16 juillet 2020 dans l'affaire Schrems II a invalidé le Privacy Shield EU-US et a clairement établi que les clauses contractuelles types, bien que toujours valables en principe, ne peuvent être invoquées si le droit du pays de destination compromet la protection qu'elles offrent. Les responsables du traitement et les sous-traitants doivent réaliser une analyse d'impact des transferts (TIA) pour chaque transfert.
Les recommandations 01/2020 de l'EDPB exposent une méthodologie en six étapes. Bien menée, une TIA documente le transfert, le régime juridique du pays de destination, les mesures supplémentaires appliquées et votre conclusion — défendable en audit. Mal menée, c'est un exercice de case à cocher qui s'effondre sous une action répressive.
Le EU-US Data Privacy Framework (DPF) de 2023 a rétabli l'adéquation pour les transferts vers des importateurs américains certifiés. Mais il ne couvre pas tous les transferts, peut être contesté à nouveau (Schrems III a été déposé), et la plupart des transferts hors États-Unis reposent encore sur des SCC nécessitant une TIA.
L'affaire (C-311/18) a invalidé le Privacy Shield et mis en garde les utilisateurs de SCC. La CJUE a jugé que :
En pratique : les SCC seuls ne suffisent pas. La TIA est la preuve documentaire que vous avez accompli ce travail.
Vous ne pouvez pas réaliser de TIA sur ce que vous ignorez. Recensez :
Utilisez votre ROPA de l'Article 30 comme point de départ, mais vérifiez-le par rapport à l'infrastructure réelle. Les fournisseurs cloud répliquent ou basculent souvent par défaut vers des régions hors EEE — cela compte comme un transfert.
Le cœur de la TIA. Pour chaque pays de destination, évaluez :
La recommandation 02/2020 de l'EDPB expose le cadre des « garanties essentielles ». Pour les transferts vers les États-Unis, la FISA Section 702 et le décret présidentiel 12333 sont la préoccupation majeure. Pour les transferts hors États-Unis : évaluez spécifiquement les lois du pays — de nombreuses TIA se contentent par défaut d'un « adéquat » générique pour les pays à faible risque sans examen, ce qui est exactement ce que les régulateurs signalent.
Trois catégories. Appliquez chacune en combinaison :
Déclencheurs de réévaluation :
Le 10 juillet 2023, la Commission européenne a adopté une décision d'adéquation pour le EU-US Data Privacy Framework (DPF). Pour les transferts vers des entreprises basées aux États-Unis qui se sont certifiées au DPF, l'effet juridique reflète une décision d'adéquation complète — pas de SCC, pas de TIA requise pour le transfert certifié DPF.
Conseil pratique : lorsque votre importateur américain est certifié DPF, appuyez-vous sur l'adéquation DPF pour ce transfert mais conservez des SCC exécutés en arrière-plan et réalisez tout de même des TIA pour anticiper l'avenir.
Par « scénario de transfert » — généralement par pays de destination + par importateur. Vous pouvez regrouper dans une seule TIA les transferts vers un même importateur portant sur des données similaires. L'analyse du droit national est réutilisable pour l'ensemble des transferts vers un même pays.
Non — l'EDPB a précisé (Lignes directrices 05/2021) que les transferts relevant du champ d'application extraterritorial de l'article 3(2) restent soumis au respect des mécanismes de transfert du chapitre V. N'utilisez pas l'article 3 comme échappatoire.
Juridiquement oui, mais un transfert de données fortement chiffrées auquel l'importateur n'a aucun accès en clair constitue une mesure supplémentaire de manuel. De nombreuses TIA concluent que le transfert peut se poursuivre précisément sur cette base.
Donnée importante, mais non décisive. L'EDPB a été clair : la pratique subjective ne peut se substituer à l'équivalence du régime juridique. Documentez l'historique d'absence de demandes comme élément probant à l'appui, mais ne fondez pas la TIA sur ce seul fait.
Oui — c'est la conclusion explicite de l'étape 6 de l'EDPB. En pratique, de nombreux responsables de traitement notifient également (ou à la place) leur autorité de contrôle, comme l'exige la clause 14(f) des SCCs. Documentez rigoureusement la décision.
Nous élaborons les TIA correspondant à vos scénarios de transfert — modules SCCs exécutés, mesures supplémentaires précisées, analyse du droit national référencée. Prêtes pour un audit en 2 à 4 semaines par scénario.