Modèle d'auditAudit d'évaluation des risques de transfert (TRA) - ICO (UKGDPR)
Schrems II
L'arrêt Schrems II a confirmé le rôle des évaluations des risques dans les règles sur les transferts restreints. La Cour a déclaré qu'avant de pouvoir vous fier à un mécanisme de transfert de l'article 46 du RGPD du Royaume-Uni pour effectuer un transfert restreint, vous devez effectuer une évaluation des risques. Il s'agit donc d'une exigence en vertu des lois britanniques sur la protection des données.
La mise en œuvre d'une TRA vous aide à vous assurer que, dans les circonstances spécifiques de votre transfert restreint, le mécanisme de transfert de l'article 46 fournira des garanties appropriées et des droits efficaces et exécutoires pour les personnes.
Cet audit permet de vous guider à travers votre TRA.
Source : https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/transfer-risk-assessments/#what
1. Préambule
2. Circonstances spécifiques du transfert restreint
2.1. Question 1. Quelles sont les circonstances spécifiques du transfert restreint ?
1. Documenter les circonstances spécifiques au transfert
1.1. À qui sont destinées les données personnelles ?
1.2. Quels sont le ou les pays de destination ?
1.3. Quel est le statut de l'importateur ?
1.4. Quel type d'organisation est l'importateur ?
1.5. Ajouter le type d'activité
1.6. Ajouter le nom du groupe
1.7. Ajouter des détails sur la taille du groupe
1.8. Ajouter des détails sur la taille de l'entreprise
1.9. Ajouter des détails
1.10. Que fera l'importateur avec ces données ?
1.11. Quelles sont les personnes concernées par les données personnelles ?
1.12. Veuillez fournir des détails sur les autres catégories de personnes sur lesquelles portent les données
1.13. Quelle quantité de données personnelles transférez-vous ?
1.14. Quelle est la fréquence d'un transfert ?
Une fois
Chaque {...} jours/mois/années
En continu pendant {...} jours/mois/années
1.15. Pendant combien de temps l'importateur peut-il recevoir ou accéder à ces informations ?
1.16. Quel est le format des données personnelles transférées ?
1.17. Comment envoyez-vous les données personnelles ?
1.18. Quelles autres mesures de sécurité techniques ou organisationnelles allez-vous mettre en place pour protéger les données personnelles avant leur transfert ? Les données personnelles sont-elles pseudonymisées ?
1.19. Quelles autres mesures de sécurité techniques ou organisationnelles l'importateur mettra-t-il en place pour protéger les données personnelles une fois qu'il les aura reçues ?
1.20. Quel(s) type(s) de données personnelles transférez-vous ?
3. Niveau de risque pour les personnes
3.1. Question 2. Quel est le niveau de risque pour les personnes dans les données personnelles que vous transférez ?
3.2. Transfert restreint possible
Vous pouvez procéder au transfert restreint. En effet, quelle que soit la réponse aux questions suivantes, la nature des informations personnelles et les circonstances du transfert font que le risque de préjudice pour les personnes est faible. Vous pouvez enregistrer cette décision comme la décision finale pour votre TRA.
3.3. Passer à la question 3
Toutes les catégories d'informations personnelles que nous transférons présentent un risque de préjudice faible ou modéré (aucune ne présente un risque élevé).
3.4. Passer à la question 3
Toutes ou certaines des catégories d'informations personnelles que nous transférons présentent un risque élevé de préjudice.
3.5. L'évaluation du niveau de risque des données personnelles (vous pouvez ajouter un document Word, Excel ou PDF en activant le mode « étendu » en haut à droite de la section)
Colonne 1 : dresser la liste des catégories de données personnelles.
Colonne 2 : indiquer, pour chaque catégorie, le score de risque initial.
Colonne 3 : indiquer s'il existe, ou non, des facteurs aggravants qui tendent à augmenter le niveau de risque :
Les données sont-elles confidentielles ?
La personne concernée est-elle un mineur ou une personne vulnérable ?
Existe-t-il un grand volume de données sur chaque personne ?
Est-il possible de déduire des données de catégories spéciales à partir d'informations ?
Colonne 4 : indiquer s'il existe, ou non, des facteurs d'atténuation qui tendent à réduire le niveau de risque :
Les données sont-elles dans le domaine public ?
Avant le transfert, les données sont-elles cryptées ou pseudonymisées, donc l'importateur ne dispose pas de la clé ?
Colonne 5 : indiquer s'il existe d'autres facteurs.
Colonne 6 : calculer, d'après ces information, le score de risque final.
4. Niveau d'investigation raisonnable et proportionné
4.1. Matrice d'enquête : Cocher la case correspondante en fonction de la taille de l'organisation
4.2. Question 3. Quel est le niveau d'investigation raisonnable et proportionné, compte tenu du niveau de risque global des données personnelles et de la nature de votre organisation ?
Notez le niveau d'enquête que vous allez mener.
4.3. Notez les raisons pour lesquelles cela est raisonnable et proportionné
4.4. Niveau 3 Option (ii)
Vous ne pouvez transférer les données à haut risque que si une exception s'applique (voir Question 6).
Allez à la Question 5 et indiquez que toutes vos données à haut risque sont à la fois des données sur les risques liés aux droits de l'Homme et des données sur les risques liées à la force exécutoire.
Répondez à la Question 4 pour les données à faible risque ou à risque modéré uniquement.
5. Augmentation du risque pour les personnes
5.1. Question 4. Le transfert augmente-t-il de manière significative le risque pour les personnes d'une violation des droits de l'homme dans le pays de destination ?
5.2. Notes
1. Questions clés
1.1. Question clé 1 : D'après votre enquête, avez-vous des inquiétudes concernant un problème de droits de l'homme ?
1.2. Nous n'avons pas d'inquiétude quant à un risque pertinent pour les droits de l'homme dans le pays de destination pour les personnes sur lesquelles portent les informations.
Passez à la question 5.
1.3. Lesquelles ? Se référer aux articles spécifiques énoncés ci-dessus, si vous le pouvez.
1.4. Question clé 2 : En effectuant ce transfert, aggravez-vous sensiblement le risque pour les personnes concernées par les informations ?
Soit :
en rendant plus probable une violation des droits de l'homme pour les personnes concernées par les informations ; ou
en rendant la violation des droits de l'homme plus grave si elle se produit.
L'augmentation du risque doit être claire et significative et liée au transfert.
1.5. Nous craignons qu'il y ait des risques pour les droits de l'homme dans le pays de destination, mais en effectuant le transfert, nous n'augmentons pas de manière significative le risque d'une violation des droits de l'homme dans le pays de destination pour les personnes sur lesquelles portent les informations.
Passez à la question 5.
1.6. Quelles catégories d'informations personnelles entraînent une augmentation du risque ?
1.7. Nous craignons que le transfert n'augmente considérablement le risque de violation des droits de l'homme dans le pays de destination pour les personnes sur lesquelles portent les informations, et ce pour toutes les catégories d'informations personnelles.
Si, à la question 2, vous avez sélectionné une enquête de niveau 3, option (ii), passez à la question 6. Sinon, passez à la question 5.
1.8. Veuillez les énumérer.
1.9. Nous craignons que le transfert restreint n'augmente considérablement le risque de violation des droits de l'homme dans le pays de destination pour les personnes sur lesquelles portent les informations, et cela ne s'applique qu'à certaines catégories d'informations personnelles.
Si, à la question 2, vous avez choisi une enquête de niveau 3, option (ii), passez à la question 6. Sinon, passez à la question 5.
6. Application du mécanisme de transfert
6.1. Question 5.1. Êtes-vous convaincu que vous-même et les personnes concernées par les données seront en mesure de faire appliquer le mécanisme de transfert de l'article 46 contre l'importateur au Royaume-Uni ?
6.2. Notes
6.3. Question 5.2. Si des mesures d'exécution en dehors du Royaume-Uni peuvent être nécessaires : Êtes-vous convaincu que vous et les personnes sur lesquelles portent les données serez en mesure d'appliquer le mécanisme de transfert de l'article 46 dans le pays de destination (ou ailleurs) ?
6.4. Notes
1. Questions clés
1.1. Question clé 1 : Transférez-vous uniquement des informations personnelles qui présentent un risque de préjudice faible ou modéré (voir question 2) ?
1.2. Nous n'envoyons que des informations qui présentent un risque de préjudice faible ou modéré.
Par conséquent, il est peu probable que nous et les personnes sur lesquelles portent les informations devions appliquer le mécanisme de transfert dans le pays de destination.
1.3. Question clé 2 : Dans votre enquête sur le pays de destination, avez-vous trouvé des documents suggérant qu'il y a des problèmes concernant le respect de l'état de droit, l'indépendance des tribunaux et des juges, et le temps nécessaire pour que les affaires soient entendues ?
1.4. Nous n'avons aucune inquiétude quant au respect de l'État de droit, à l'indépendance des tribunaux et des juges, et au temps nécessaire pour que les affaires soient entendues dans le pays de destination.
1.5. Ajoutez des notes.
1.6. Question clé 3 : Y a-t-il une forte probabilité que l'importateur accepte la décision d'un tribunal britannique ou une sentence arbitrale ? Facteurs à prendre en compte ici (satisfait ou non satisfait) :
(a) L'importateur a souscrit une assurance auprès d'un fournisseur d'assurance réputé qui couvre le paiement des réclamations devant un tribunal britannique ou une sentence arbitrale britannique, sans qu'il soit nécessaire d'intenter une action dans le pays de destination. L'assurance doit être suffisante pour couvrir toutes les réclamations potentielles. Si tel est le cas, vous devez vérifier cette couverture d'assurance chaque année.
(b) L'importateur a fourni la preuve que, dans le passé, il a toujours accepté les décisions des tribunaux britanniques ou les sentences arbitrales britanniques.
(c) L'importateur doit se conformer à des règles professionnelles ou similaires, et vous pourriez déposer une plainte auprès de son organisme de surveillance, ce qui aurait une incidence sur sa capacité à faire des affaires.
(d) Il existe de fortes raisons commerciales pour que l'importateur accepte une décision d'un tribunal britannique ou une sentence arbitrale britannique, même lorsque la demande est substantielle.
En tenant compte de ces facteurs, répondez à la question.
1.7. Ajoutez des notes.
1.8. Il y a une forte probabilité que l'importateur accepte la décision d'un tribunal britannique ou d'une sentence arbitrale britannique (compte tenu des facteurs énoncés).
1.9. Question clé 4 : Y a-t-il d'autres facteurs qui font qu'il est très peu probable que vous ou les personnes sur lesquelles portent les informations deviez introduire une demande dans le pays de destination pour faire appliquer le mécanisme de transfert prévu par l'article 46 ?
1.10. Quels facteurs ?
1.11. Il est très peu probable que nous ou les personnes sur lesquelles portent les informations devions introduire une demande dans le pays de destination pour faire appliquer le mécanisme de transfert prévu par l'article 46 (compte tenu des facteurs exposés).
1.12. Nous craignons que :
(a) tant nous que les personnes sur lesquelles portent les informations ne soient pas en mesure d'appliquer le mécanisme de transfert de l'article 46 à l'encontre de l'importateur au Royaume-Uni ; et
(b) si des mesures d'exécution sont nécessaires en dehors du Royaume-Uni, tant nous que les personnes sur lesquelles portent les informations ne soient pas en mesure d'appliquer le mécanisme de transfert dans le pays de destination.
7. Exceptions aux règles de transfert restreint
7.1. Question 6. L'une des exceptions aux règles de transfert restreint s'applique-t-elle aux « données à risque important » ?
7.2. Si oui, laquelle(s) ?
7.3. Une ou plusieurs des exceptions s'appliquent à toutes les données à risque important. Vous pouvez procéder au transfert.
7.4. Les exceptions ne s'appliquent pas à toutes les données à risque important. Vous ne pouvez pas procéder au transfert en vous appuyant sur le mécanisme de transfert de l'article 46.
Si vous vous demandez si vous êtes arrivé à la bonne conclusion, vous pouvez toujours demander l'avis d'un professionnel de la protection des données pour revoir votre évaluation.
7.5. Inclure toute autre information qui pourrait être pertinente pour votre analyse, y compris si vous avez décidé de vous appuyer sur une exception pour certaines catégories d'informations, et retirer d'autres catégories du champ d'application du transfert.
1. Résultats liés à l'identification des données lors des questions 3, 4 et 5
1.1. Toutes les données à haut risque sont à la fois des données à risque en matière de droits de l'homme et des données à risque en matière d'applicabilité.
Listez toutes les catégories de données à haut risque :
Vous avez coché la case B(3) Option (ii) lors de la Question 3.
1.2. Toutes les catégories de données sont des données sur les risques liés aux droits de l'homme.
Énumérez toutes les catégories de données :
Vous avez répondu « Toutes les catégories d'informations personnelles » à la question « Quelles catégories d'informations personnelles entraînent une augmentation du risque ? » sous la Question 4.
1.3. Les catégories de données suivantes sont des données présentant un risque pour les droits de l'homme.
Dressez la liste des catégories de données dont vous craignez que l'inclusion dans le transfert restreint n'augmente de manière significative le risque de violation des droits de l'homme dans le pays de destination pour les personnes sur lesquelles portent les informations :
Vous avez répondu « Seulement les catégories suivantes d'informations personnelles » à la question « Quelles catégories d'informations personnelles entraînent une augmentation du risque ? » sous la Question 4.
1.4. Toutes les données à haut risque sont des données à risque d'applicabilité.
Listez toutes les catégories de données à haut risque :
Vous avez répondu « Non » à la question clé 4 sous la Question 5.
2. Liste de contrôle des exceptions
1. Première exception
1.1. Le scénario s'applique-t-il ?
1.2. À quels types de données à risque important le scénario s'applique-t-il ? (Vous pouvez tous les indiquer si le scénario d'exception peut s'appliquer à toutes les données à risque important).
1.3. Vos raisons.
2. Deuxième exception
2.1. Le scénario s'applique-t-il ?
2.2. À quels types de données à risque important le scénario s'applique-t-il ? (Vous pouvez tous les indiquer si le scénario d'exception peut s'appliquer à toutes les données à risque important).
2.3. L'avantage du transfert pour cette exception l'emporte-t-il sur le ou les risques que vous avez identifiés (selon les résultats au 7.1.) ?
2.4. Vos raisons.
3. Troisième exception
3.1. Le scénario s'applique-t-il ?
3.2. À quels types de données à risque important le scénario s'applique-t-il ? (Vous pouvez tous les indiquer si le scénario d'exception peut s'appliquer à toutes les données à risque important).
3.3. L'avantage du transfert pour cette exception l'emporte-t-il sur le ou les risques que vous avez identifiés (selon les résultats au 7.1.) ?
3.4. Vos raisons.
4. Quatrième exception
4.1. Le scénario s'applique-t-il ?
4.2. À quels types de données à risque important le scénario s'applique-t-il ? (Vous pouvez tous les indiquer si le scénario d'exception peut s'appliquer à toutes les données à risque important).
4.3. L'avantage du transfert pour cette exception l'emporte-t-il sur le ou les risques que vous avez identifiés (selon les résultats au 7.1.) ?
4.4. Vos raisons.
5. Cinquième exception
5.1. Le scénario s'applique-t-il ?
5.2. À quels types de données à risque important le scénario s'applique-t-il ? (Vous pouvez tous les indiquer si le scénario d'exception peut s'appliquer à toutes les données à risque important).
5.3. L'avantage du transfert pour cette exception l'emporte-t-il sur le ou les risques que vous avez identifiés (selon les résultats au 7.1.) ?
5.4. Vos raisons.
6. Sixième exception
6.1. Le scénario s'applique-t-il ?
6.2. À quels types de données à risque important le scénario s'applique-t-il ? (Vous pouvez tous les indiquer si le scénario d'exception peut s'appliquer à toutes les données à risque important).
6.3. L'avantage du transfert pour cette exception l'emporte-t-il sur le ou les risques que vous avez identifiés (selon les résultats au 7.1.) ?
6.4. Vos raisons.
7. Septième exception
7.1. Le scénario s'applique-t-il ?
7.2. À quels types de données à risque important le scénario s'applique-t-il ? (Vous pouvez tous les indiquer si le scénario d'exception peut s'appliquer à toutes les données à risque important).
7.3. L'avantage du transfert pour cette exception l'emporte-t-il sur le ou les risques que vous avez identifiés (selon les résultats au 7.1.) ?
7.4. Vos raisons.
8. Huitième exception
8.1. Le scénario s'applique-t-il ?
8.2. À quels types de données à risque important le scénario s'applique-t-il ? (Vous pouvez tous les indiquer si le scénario d'exception peut s'appliquer à toutes les données à risque important).
8.3. L'avantage du transfert pour cette exception l'emporte-t-il sur le ou les risques que vous avez identifiés (selon les résultats au 7.1.) ?
8.4. Vos raisons.
Créé le:2023-02-01T21:07:56.427133
Mis à jour le :2023-02-01T21:49:06.3613631
Licence : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Attribution / Pas d'utilisation commerciale
CC-BY-NC
Auteur :
Nombre d'utilisations :8