A la suite d’une consultation publique, et dans le but de garantir le même niveau de protection que le RGPD en cas de transferts des données à caractère personnel hors de l’Espace Economique Européen (EEE), la CNIL a publié, le 9 juillet 2025, la version finale de son guide sur les analyses d’impact des transferts des données (AITD)[1].
La méthodologie préconisée par la CNIL à travers ce guide consiste à procéder en une phase de questionnements préalables avant d’engager le transfert effectif des données hors de l’Espace Economique Européen.
Le guide énonce les étapes à suivre permettant la réalisation d’une AITD efficace :
- Une bonne connaissance du transfert et des outils utilisés ;
- Une évaluation de la législation et des pratiques du pays de destination des données ainsi que de l’efficacité de l’outil de transfert ;
- Le recensement et l’adoption de mesures supplémentaires
- Une réévaluation à intervalles appropriés du niveau de protection.
Par la publication de ce guide, la CNIL entend accompagner les responsables de traitement et les sous-traitants dans le transfert de données hors de l’Espace Economique Européen et permettant ainsi de garantir un niveau de protection similaire à celui offert par le RGPD y compris pour des transfert vers des pays non soumis à cette règlementation.
[1] https://www.cnil.fr/sites/default/files/2025-02/guide_aitd_pdf.pdf
