- L’ICO introduit une évaluation des risques de transfert (TRA) basée sur les risques, qui compare les risques de transfert pour les personnes concernées avec et sans transfert.
- L’outil TRA définit six questions de contrôle et classe les risques liés aux données (faible, modéré, élevé) ainsi que les niveaux d’investigation requis (niveaux 1 à 3).
- Les transferts par le biais des mécanismes de l’article 46 ne sont pas autorisés en l’absence d’applicabilité, lorsque les risques pour les droits fondamentaux augmentent de manière significative ou lorsque des données à haut risque sont concernées.
L’autorité de surveillance anglaise ICO présente sur son site web Informations sur la transmission de données personnelles à l’étranger sont prêts. Les données correspondantes ont été mises à jour le 17 novembre 2022. Elles contiennent désormais un Section sur l’évaluation des risques pour de tels transferts (“Transfer Risk Assessments”, “TRAs”, équivalent de la TIA) et, à cet effet, également un nouveau Outil TRA.
L’objectif de l’ICO était de selon les propres indicationsLa Commission européenne a décidé de présenter une approche alternative à celle du Comité européen de la protection des données (CEPD), qui se veut un peu plus réaliste :
Notre guide TRA clarifie une approche alternative à celle proposée par l’European Data Protection Board. Notre objectif est de trouver une approche alternative et réalisable fournir la protection adéquate aux personnes concernées par les données, tout en veillant à ce que l’évaluation est raisonnable et proportionnée.
L’ICO ne compare pas le système juridique de l’État destinataire avec celui du Royaume-Uni (notamment le RGPD, que le Royaume-Uni a intégré dans son droit national en tant que UK-GDPR), mais elle compare les risques pour les personnes concernées avec et sans le transfert :
Option 1 : Il s’agit de l’approche de l’OIC dans notre outil TRA.
Une évaluation comparant la position des personnes dont les données sont issues, dans les circonstances spécifiques du transfert :
a) si les informations restent au Royaume-Uni ; et
b) si le transfert proposé va de l’avant.
Cette évaluation examine les risques pour les droits de l’homme.
La question clé est de savoir si, à la suite de ce transfert, il y a une quelconque augmentation du risque pour la vie privée des personnes et d’autres droits de l’homme.Le risque d’une fuite de l’information au Royaume-Uni est de l’ordre de 10 % par rapport au risque si l’information est conservée au Royaume-Uni.
En d’autres termes, une fois que leurs informations sont entre les mains du récepteur, les personnes sont-elles dans une position suffisamment similaire en ce qui concerne les risques pour leur vie privée et leurs droits humains ?? S’il n’y a pas de risque supplémentaire significatif, alors le transfert peut aller de l’avant.
Étant donné que le destinataire est contractuellement tenu de respecter les droits en matière de protection des données dans le cadre du mécanisme de transfert de l’article 46, la présente évaluation se concentre sur la protection des droits de l’homme plus généralement dans le pays de destination. Tout risque lié à la applicabilité du mécanisme de transfert de l’article 46 sont également pris en compte.
Cette approche est adoptée dans notre outil TRA. Celui-ci propose une méthode pour réaliser un TRA, avec des questions, des conseils et un modèle à compléter.
Par ailleurs, l’OIC autorise également la procédure du CEPD :
Option 2 : il s’agit de l’approche adoptée par le BDEP.
Une évaluation où les lois et pratiques du Royaume-Uni (y compris le UK GDPR) sont compared aux lois et pratiques du pays importateur afin d’évaluer les risques susmentionnés.
Cela implique regarder les garanties en place sur l’accès des tiers aux informations, en particulier par les gouvernements. Ces garanties ne doivent pas être identiques à celles du Royaume-Uni, mais doivent être suffisamment similaire.
L’outil TRA selon la première option de l’OIC lui-même un document Word qui est disponible ici (et ici en PDF). Il examine en fin de compte, indépendamment d’une juridiction donnée (donc pas seulement par rapport aux États-Unis par exemple), si le transfert aggraverait de manière significative la situation des personnes concernées en matière de droits fondamentaux – dans la négative, l’OIC accepte le transfert sur la base des clauses contractuelles standard. L’OIC suit donc une approche résolument basée sur les risques, mais elle ne le fait en aucun cas de manière aveugle, mais sur la base d’une procédure relativement simple qui met l’accent sur les facteurs de risque connus et sur les droits fondamentaux de la CEDH.
Pour ce faire, l’outil procède selon les six questions suivantes :
Question 1Quelles sont les circonstances spécifiques du transfert limité ?
Il s’agit d’abord de demander des informations sur les parties au transfert, les catégories de personnes concernées, la quantité et le type de données transférées, la nature et la durée du transfert et les mesures de protection prises par les deux parties.
Question 2Quel est le niveau de risque pour les personnes dans les informations personnelles que vous transférez ?
Sur la base des informations fournies à l’étape 1, les risques sont interrogés à partir des données à transmettre, en partant d’un risque de base qui est ensuite augmenté ou réduit en fonction des circonstances. Le résultat est une classification par catégorie de données en tant que risque faible, risque modéré et risque élevé. Le risque se réfère aux effets négatifs possibles sur la personne concernée. Les facteurs de risque sont entre autres une confidentialité particulière ou la présence de données personnelles sensibles. La classification des risques selon le type de données dans l’annexe de l’outil TRA est très utile à cet égard.
Question 3Quel est le niveau d’investigation raisonnable et proportionné, compte tenu du niveau de risque global dans les informations personnelles et de la nature de votre organisation ?
L’ICO adopte ici une approche passionnante :
- Si toutes les données faible risque les PME n’ont pas besoin de faire d’autres vérifications – la transmission sur la base des clauses standard – la variante britannique de celles-ci – est autorisée. Sur risque modéré les PME doivent également procéder à un examen plus approfondi, mais limité, que l’OIC caractérise comme une “enquête de niveau 1”. Dans ce cadre, la PME peut se contenter d’informations dont elle a connaissance et de certaines informations supplémentaires, notamment sur la situation des droits de l’homme dans l’État de destination. Si les données haut risque Si le transfert porte sur des données sensibles, un examen plus approfondi est nécessaire (“niveau 2”), et si le transfert porte en outre sur des données volumineuses, un examen encore plus approfondi est nécessaire (“niveau 3”).
- Pour les grandes entreprises, il faut déjà faible risque un examen de niveau 1 est requis, en cas de risque modéré niveau 2, et pour haut risque toujours le niveau 3.
Question 4: Is the transfer augmenter significativement le risque for people of a human rights breach in the destination country ?
Cette étape consiste à vérifier si ce profil de risque général serait significativement accru par le transfert prévu. Les exigences fondamentales en matière de droits de l’homme selon la CEDH sont examinées ici. Il s’agit de répondre à deux questions :
- Le transfert suscite-t-il des préoccupations générales en matière de respect des droits fondamentaux ?
- Le transfert augmente-t-il de manière significative les risques pour les personnes concernées, en augmentant la probabilité d’une violation des droits fondamentaux ou en rendant une violation plus grave ?
Question 5:
(a) Êtes-vous satisfait(e) du fait que vous et les personnes concernées par les informations seront en mesure d’appliquer le mécanisme de transfert de l’article 46 à l’encontre de l’importateur au Royaume-Uni ?
(b) Si une action de mise en application à l’extérieur du Royaume-Uni peut être nécessaire : Êtes-vous satisfait(e) que vous et les personnes concernées par les informations soient en mesure d’appliquer le mécanisme de transfert de l’article 46 ? dans le pays de destination (ou ailleurs) ?
Dans cette étape, il faut vérifier si le mécanisme de transfert – en général les clauses contractuelles standard – pourrait être appliqué dans le pays destinataire par l’importateur et les personnes concernées. Pour ce faire, l’outil pose des questions structurées. Le transfert est en principe autorisé si
- toutes les données low risk-Les données sont
- si l’État destinataire est un État de droit qui fonctionne ;
- au cas où l’État bénéficiaire exécuterait une décision d’un tribunal ou d’une cour d’arbitrage du Royaume-Uni ;
- si, pour certaines raisons, il est particulièrement improbable que l’exportateur ou les parties concernées doivent engager une action en justice dans le pays de destination.
En principe, non autorisé la transmission sur la base des clauses types est en fin de compte possible dans les cas suivants :
- Lorsqu’il existe un risque pertinent de mise en application
- lorsque le transfert augmente de manière significative les risques pour les droits fondamentaux ;
- lorsqu’une PME a des besoins importants haut risque-ou si une grande entreprise transmet des données à des tiers. haut risque-Le Conseil de l’Europe a décidé de transmettre les données de l’UE à la Commission européenne, à moins qu’une analyse détaillée des risques pour les droits fondamentaux ne lève l’alerte.
Question 6: Est-ce qu’aucune des exceptions aux règles de transfert restreint ne s’applique aux “données à risque significatif” ?
Les “données à risque significatif” sont les données que vous identifiez aux questions 4 et 5 comme étant des données pour lesquelles votre mécanisme de transfert au titre de l’article 46 ne prévoit pas toutes les garanties appropriées.
Si l’étape 5 a révélé que la transmission de toutes ou de certaines données n’est en principe pas autorisée, il convient d’examiner les exceptions, c’est-à-dire les motifs d’exception prévus à l’article 49 du RGPD (par analogie avec l’article 6, paragraphe 2, de la loi sur la protection des données).