Javascript is required
logo-dastralogo-dastra

Modèle d'auditEtude d'impact des transferts hors UE-EEE (transfer impact assessment ou TIA)

RGPDSchrems II
Modèle d'audit permettant d'évaluer les transferts de données hors UE au regard de l'arrêt Schrems II de la CJUE.

1. Nécessité d'effectuer le TIA

1.1. L'exportateur est soumis au RGPD pour les données qui seront transferées
1.2. Les données exportées sont-elles anonymisées, ou pseudonymisées (avec seulement possibilité pour l'exportateur d'identifier les personnes) ?
1.3. L'importateur est-il dans l'UE ?
1.4. Le pays de l'importateur bénéficie t-il d'une décision d'adéquation ?
1.5. Le transfert est-il soumis à des restrictions supplémentaires, comme une obligation de confidentialité ou le secret professionnel par exemple
1.6. Le pays de destination dispose t-il d'une loi nationale complète sur la protection des données.
1.7. Le pays de destination dispose-t-il d'une autorité indépendante chargée de la protection des données ?
1.8. Le pays de destination a t-il adhéré à des instruments internationaux prévoyant des garanties en matière de protection des données ?

2. Description de l'opération

2.1. Quelles sont les informations d'identification de l'exportateur et de son pays ?
2.2. Quelles sont les informations d'identification de l'importateur ainsi que son pays ?
2.3. Quel est le secteur économique dans lequel le traitement a lieu ?
2.4. Quel est le contexte et le but du transfert ?
2.5. Quel est le nombre d'acteurs ayant accès aux données personnelles ?
2.6. Quels sont les canaux de transmission utilisés pour transmettre les données vers le pays d'exportation ?
2.7. Listez les informations générales sur le traitement : catégories de personnes, catégories de données, présence de données sensibles, mesures techniques et organisationnelles mises en place, mise en œuvre technique du transfert
2.8. Quel est le lieu de stockage des données transférées ?
2.9. Quelle est la date prévue pour le début du transfert ?
2.10. Une période d'évaluation au terme de laquelle une réévalation du TIA sera faite est-elle prévue ?

3. Garanties mises en place pour le transfert

3.1. Toutes les autres possibilités de s'adresser à un pays membres de l'UE ou adéquats ont été examinées et sont impossibles
3.2. Le transfert peut-il s'appuyer sur l'une des dérogations pour situation particulière de l'article 49 du RGPD ?
3.3. Les données sont-elles protégées par un moyen technique permettant leur chiffrement dès l'export ?
3.4. Les données sont-elles protégées par des mesures organisationnelles pertinentes ?
3.5. Listez les
3.6. Les données sont-elles accessibles pour un tiers situé dans le pays où les données sont importées ? (qui détiendrait une clé de déchiffrement par exemple)

4. Lois et pratiques de l'Etat destinataire

4.1. Ya t-il des lois exigeant la divulgation de données personnelles par l'importateur aux autorités publiques ?
4.2. Listez ces lois
4.3. Y a t-il des lois autorisant les autorités publiques à accéder aux données personnelles détenues par l'importateur ?
4.4. Listez ces lois
4.5. Les lois précédentes permettent-elles pour la personne concernée d'obtenir un droit de recours judiciaire contre un accès de l'autorité nationale qu'elle jugerait illicite ?
4.6. Existe t-il des cas antérieurs de demande d'accès de la part des autorités nationales du pays destinataire ?
4.7. Listez les
4.8. Existe t-il des informations concernant l'existence ou l'absence de demandes de divulgation par les autorités publiques dans le même secteur ?

4.9. Listez les
4.10. Existe t-il des jurisprudences sur le fait de savoir si dans les circonstances d'un tel transfert, les autorités nationales pourraient se prévaloir d'un droit d'accès ?
4.11. Listez les
4.12. Existe t-il des rapports d'organismes de surveillance indépendants examinant si les données personnelles peuvent être divulguées aux autorités publiques

Les rapports d'organismes de surveillance indépendants examinant si les données personnelles (vraisemblablement au sein d'un secteur industriel) peuvent être divulguées aux autorités publiques [9].

4.13. Listez les

5. Risque d'accès aux données dans le pays cible par les autorités

5.1. Quelles sont les lois du pays d'importation qui doivent éventuellement être prises en compte ?
5.2. L'importateur a t-il suffisamment renseigné l'exportateur sur les lois s'appliquant à son niveau local et national ?
5.3. L'importateur ou un destinataire a t-il la possession et/ou le contrôle des données exportées ?
5.4. L'application du droit du pays de l'exportateur et du droit international de la protection des données permettraient-ils d'empêcher un accès aux données par les autorités nationales du pays vers lequel les données sont transférées ?
5.5. Existe t-il une clause contractuelle qui obligent l'importateur à s'opposer à toute demande d'accès aux données de la part des autorités nationales ?
5.6. Au regard de la jurisprudence / des expériences précédentes ( à détailler en réponse à cette question), quel est l'estimation faite de la probabilité pour les autorités du pays où les données sont exportées de requérir l'accès à ces données ?
5.7. Quelle est la probabilité pour que l'importateur puisse en permanence enregistrer et/ou effectuer des recherches sur certaines variables du traitement (personnes concernées, communication des données à des destinataires...) sans l'autorisation de l'exportateur, aux fins de communication aux autorités nationales ?
5.8. Est-ce que l'exportateur met en place des mesures d'actualisation régulière afin de prendre en compte tout changement dans les réponses précédemment apportées ?
Créé le:2023-01-04T09:11:30.6108526

Mis à jour le :2024-02-28T14:45:22.4534407

Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale

Auteur :
Jérôme de Mercey
Jérôme de Mercey

Nombre d'utilisations :13


Accédez à tous nos modèles d'audit

Essayez Dastra dès maintenant pour accéder à la totalité de nos modèles d'audit que vous pourrez adapter à votre organisation. C'est gratuit et sans engagement les 30 premiers jours (pas de carte bleue requise)

Utiliser ce modèle d'audit
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.