Le 17 novembre 2022, le régulateur britannique de la protection des données, l’Information Commissioner’s Office (« ICO »), a publié des directives mises à jour sur les transferts internationaux qui comprennent une nouvelle section sur les évaluations des risques de transfert (« TRA ») et un outil TRA.
Dans sa déclaration concernant les orientations mises à jour, l’ICO décrit les orientations TRA comme « une approche alternative à celle proposée par le Comité européen de la protection des données » et déclare que son objectif est « de trouver une approche alternative et réalisable offrant la bonne protection pour le personnes sur lesquelles portent les données, tout en veillant à ce que l’évaluation soit raisonnable et proportionnée.
Orientation TRA
Les orientations de la TRA stipulent que si une organisation s’appuie sur un mécanisme de transfert de l’article 46, elle doit effectuer une TRA. L’ICO note que la TRA aidera l’organisation à déterminer si, dans les circonstances du transfert et avec le mécanisme de transfert choisi en vertu de l’article 46, les « protections pertinentes pour les personnes dans le cadre du régime britannique de protection des données seront compromises ». En se référant à Schrem IIles orientations indiquent clairement que la décision de la Cour selon laquelle une EMR doit être menée avant de s’appuyer sur un mécanisme de l’article 46 fait partie des lois britanniques sur la protection des données.
L’ICO considère qu’il y a deux approches pour mener une TRA :
- Option 1 : L’approche de l’OIC dans l’outil TRA discutée plus en détail ci-dessous ; autre
- Option 2: approche du comité européen de la protection des données (c’est à dire, une évaluation où les lois et pratiques du pays exportateur sont comparées aux lois et pratiques du pays importateur afin d’évaluer les risques). Cela implique d’examiner les garanties en place concernant l’accès des tiers aux informations, en particulier par les gouvernements.
L’ICO déclare qu’il « est heureux que les organisations exportant des données du Royaume-Uni effectuent une évaluation qui répond à l’option 1 ou à l’option 2 ».
Outil TRA
L’outil TRA est un modèle de document avec six questions et des conseils sur la façon de remplir l’EMR. Il donne un niveau de risque initial pour les catégories de données et, selon l’ICO, a déplacé l’accent sur « si le transfert augmente de manière significative le risque d’une violation de la vie privée ou d’autres droits de l’homme » car il estime que « cela capture le risque clé pour les personnes sur lesquelles portent les données, et est également réalisable. »
Quelle est la prochaine étape pour l’ICO ?
L’ICO a confirmé qu’elle travaillait actuellement sur des organisations d’orientation montrant comment utiliser l’accord international de transfert de données et l’addendum aux clauses contractuelles types de l’UE, qui comprendront des orientations clause par clause. Il « envisage » également d’étendre les orientations de l’EMR pour inclure des exemples concrets de l’outil d’EMR dans la pratique. L’OIC se félicite également des expériences d’utilisation des conseils et de l’outil TRA et a l’intention d’organiser des sessions en 2023 dans le but d’apprendre des organisations et, en fin de compte, d’améliorer ses produits.