Mikel Recuero Linares (UPV/EHU)
Cette partie des lignes directrices a été revue et validée par Marko Sijan, conseiller principal spécialiste (APD RH).
Le RGPD ne définit pas expressément ce que l’on entend par transfert de données vers des pays tiers ou des organisations internationales (ci-après “transfert international”). Toutefois, le régime des transferts internationaux est explicitement défini aux articles 44 à 50 du règlement. Par conséquent, la définition du transfert international doit être déduite en évaluant chaque concept individuellement, ce qui aboutira à la définition suivante :
Le traitement par lequel un responsable du traitement ou un sous-traitant au sein de l’EEE (“exportateur de données”) transfère (ou donne accès à) des données à caractère personnel à un responsable du traitement ou à un sous-traitant en dehors de l’EEE (“importateur de données”) ou à une organisation internationale. |
Ces transferts sont parfaitement acceptables et souvent nécessaires, mais ils ne doivent pas porter atteinte au niveau de protection des personnes concernées donné dans l’UE ou accordé par le RGPD. Par conséquent, les transferts vers des pays tiers ou des organisations internationales doivent être effectués dans le plein respect du chapitre V du RGPD.
Exigences
Les transferts de données à caractère personnel vers des pays tiers et des organisations internationales ne peuvent être effectués que :
- Lorsque le responsable du traitement ou le sous-traitant s’est conformé aux autres dispositions du RGPD[1] . Avant d’effectuer le transfert international, les dispositions et exigences prévues par le RGPD doivent également être respectées. Outre les règles spécifiques du chapitre V applicables aux transferts de données, l’importateur de données et l’exportateur de données devront se conformer aux “autres dispositions du présent règlement” (par exemple, principes généraux, base légale, dérogations pour le traitement des données sensibles, etc.)
- Lorsque les conditions spécifiques prévues pour les transferts de données à caractère personnel sont respectées par le responsable du traitement ou le sous-traitant. Cela peut se faire, principalement, par le biais de trois instruments, dans cet ordre exact :
- Ces principes et exigences s’appliqueront non seulement au premier transfert de données, mais aussi aux transferts ultérieurs vers d’autres responsables du traitement ou sous-traitants dans le même pays ou dans un autre pays tiers ou organisation internationale[2] .
A) Transferts sur la base d’une décision d’adéquation
Premièrement, un transfert ne peut être effectué que s’il est couvert par une décision d’adéquation. Cette décision est une décision de la Commission européenne selon laquelle le cadre juridique en place dans ce pays, territoire, secteur ou organisation internationale assure une protection “adéquate” des droits et libertés des personnes pour leurs données à caractère personnel[3] . Une “décision d’adéquation” est un acte d’exécution de la Commission[4] adopté conformément à une procédure d’examen[5] et soumis à un examen périodique.
L’adoption d’une décision d’adéquation implique :
- une proposition de la Commission européenne ;
- un avis du Comité européen de protection des données (“EDPB”) ;
- une approbation des représentants des pays de l’UE ; et
- l’adoption de la décision par les Commissaires européens.
L’objectif de cette décision est donc d’évaluer si un pays, un territoire, un secteur ou une organisation internationale offre un niveau “adéquat” de protection des droits et libertés des personnes (voir “Droits des personnes concernées” dans la partie II des présentes lignes directrices). En outre, l’article 45, paragraphe 2, du RGPD énumère les éléments que la Commission doit notamment prendre en compte pour évaluer le caractère adéquat du niveau de protection dans un pays tiers ou une organisation internationale.
Les avantages de s’appuyer sur des décisions d’adéquation pour effectuer des transferts internationaux sont évidents. La décision aura un effet à l’échelle de l’UE[6] et aucune autorisation spécifique ne sera requise[7] . Toutefois, ce mécanisme présente également plusieurs inconvénients :
- Il y a très peu de pays où des décisions d’adéquation valides sont en vigueur[8] .
- Les décisions d’adéquation en vigueur ne s’appliquent pas nécessairement à et/ou ne couvrent pas toutes les opérations de traitement et tous les secteurs.
- La jurisprudence de la Cour de justice de l’Union européenne a considérablement diminué la robustesse et la confiance de ces outils. Il convient de mentionner en particulier les arrêts Schrems I[9] et II[10] qui, entre autres, ont annulé les décisions relatives à la “sphère de sécurité” et au “bouclier de protection des données”, respectivement :
- Le terme “adéquat” doit être compris comme exigeant que le pays tiers assure en fait, en raison de son droit interne ou de ses engagementsinternationaux, un niveau de protection des droits et libertés fondamentaux essentiellement équivalent à celui garanti dans l’UE[11] , même si les moyens auxquels ce pays tiers a recours peuvent différer de ceux employés dans l’UE[12] .
- Les autorités nationales de contrôle sont investies du pouvoir de vérifier si un transfert de données personnelles de son propre État membre vers un pays tiers est conforme aux règles européennes de protection des données[13] . Toutefois, en règle générale, tant que la décision de la Commission n’est pas déclarée invalide par la CJUE, les États membres et les autorités de contrôle ne peuvent pas adopter de mesures contraires à cette décision[14] . Cela ne peut empêcher les personnes dont les données personnelles ont été ou pourraient être transférées vers un pays tiers d’introduire une réclamation[15] .
- La législation permettant aux autorités publiques d’avoir accès, sur une base généralisée, au contenu des communications électroniques doit être considérée comme compromettant l’essence des droits fondamentaux des personnes concernées européennes[16] . De même, une législation ne prévoyant aucune possibilité pour les personnes d’exercer des voies de recours afin d’avoir accès aux données à caractère personnel les concernant, ou d’obtenir la rectification ou l’effacement de ces données, ne respecte pas l’essence du droit fondamental à une protection juridictionnelle effective[17] .
B) Transferts soumis à des garanties appropriées
En l’absence de “décision d’adéquation”, un responsable du traitement ou un sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou une organisation internationale que si le responsable du traitement ou le sous-traitant a prévu des garanties appropriées, et à condition que les droits exécutoires des personnes concernées et des recours juridiques effectifs pour les personnes concernées soient disponibles[18] . En d’autres termes, en l’absence de “décision d’adéquation” concernant le pays, le territoire ou le secteur vers lequel le transfert doit être effectué, le responsable du traitement ou le sous-traitant peut choisir entre les mécanismes énoncés à l’article 46 du RGPD afin de fournir des “garanties appropriées”.
Il n’est pas nécessaire de respecter un ordre précis dans l’application des mécanismes prévus à l’article 45. Il est possible de choisir les mécanismes en fonction des besoins particuliers ou de la finalité du traitement. Toutefois, le RGPD classe ces mécanismes selon qu’ils nécessitent ou non une autorisation spécifique d’une autorité de contrôle :
- Mécanismes ne nécessitant pas d’autorisation spécifique d’une autorité de contrôle[19] :
- Instruments juridiquement contraignants et exécutoires entre autorités ou organismes publics. Par exemple, des arrangements administratifs qui comprennent des droits individuels exécutoires et efficaces.
- Règles d’entreprise contraignantes (BCR). Ces règles sont couramment utilisées pour les transferts de données au sein des entreprises multinationales. Les BCR sont un code de conduite interne fonctionnant au sein d’un groupe multinational, qui s’applique aux transferts restreints de données à caractère personnel des entités du groupe situées dans l’EEE vers des entités du groupe situées en dehors de l’EEE. Il existe de nombreux documents sur les BCR adoptés par le Conseil européen de la protection des données et l’ancien WP29[20]
- Clauses contractuelles types (SCC) adoptées par la Commission. Également appelées clauses types. Elles contiennent des obligations contractuelles pour l’exportateur de données et l’importateur de données et des droits pour les personnes. Elles doivent donc être signées entre l’exportateur de données (pays de l’EEE) et l’importateur de données (pays hors EEE ou organisation internationale). La Commission européenne a adopté des modèles de SCC pour lesresponsables du traitement et pour les sous-traitants[21] .
- Un code de conduite approuvé. Le transfert pourrait être effectué si le destinataire a souscrit à un code de conduite qui a été préalablement approuvé par une autorité de contrôle. Le code de conduite doit inclure un contenu et des exigences minimales conformément à l’article 40 du RGPD (c’est-à-dire des garanties appropriées pour protéger les droits des personnes). L’EDPB a adopté un ensemble de lignes directrices sur les codes de conduite.[22] Aucun code approuvé n’est encore utilisé. Cependant, de nombreuses institutions et organisations élaborent des codes (par exemple, le BBMRI-ERIC élabore un code de conduite pour la recherche dans le domaine de la santé).[23]
- Une certification approuvée. Le transfert pourrait être effectué si le destinataire dispose d’une certification, dans le cadre d’un dispositif approuvé par une autorité de contrôle. Le mécanisme de certification doit comporter un contenu et des exigences minimales conformément à l’article 40 du RGPD (c’est-à-dire des garanties appropriées pour protéger les droits des personnes). L’EDPB a adopté un ensemble de lignes directrices sur les mécanismes de certification[24] . Aucun mécanisme de certification approuvé n’est encore utilisé.
- Mécanismesnécessitant l’autorisation de l’autorité de contrôle compétente :
- Clauses contractuelles autorisées par une autorité de contrôle. Même si les clauses types adoptées par la Commission européenne ne sont pas utilisées, d’autres modèles de SCC peuvent être adoptés s’ils sont préalablement et individuellement approuvés par l’autorité de contrôle compétente.
- Dispositions à insérer dans les accords administratifs entre les autorités ou organismes publics qui comprennent des droits exécutoires et effectifs pour les personnes concernées, par exemple un document tel qu’un protocole d’accord.
Néanmoins, la jurisprudence découlant de l’arrêt Schrems II de la Cour de justice de l’Union européenne a entraîné des conséquences importantes pour les clauses contractuelles types et le reste des mécanismes de transfert de données vers des pays tiers sur la base de garanties appropriées. Premièrement, parce que les personnes concernées dont les données à caractère personnel sont transférées vers un pays tiers en vertu de clauses contractuelles types (ou d’autres mécanismes) devraient bénéficier, comme dans le cadre d’une décision d’adéquation, d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’Union européenne[25] . D’autre part, parce que cela peut nécessiter, en fonction de la situation prévalant dans un pays tiers particulier, l’adoption de mesures supplémentaires par le responsable du traitement afin d’assurer le respect de ce niveau de protection[26] . En conséquence, si l’exportateur de données établi dans l’UE n’est pas en mesure de prendre des mesures supplémentaires appropriées, il est tenu de suspendre ou d’interdire le transfert de données à caractère personnel “en cas de violation de ces clauses ou s’il est impossible de les honorer”[27] .
C) Dérogations pour des situations spécifiques
Enfin, lorsque le transfert n’est pas couvert par une décision d’adéquation, ni par un mécanisme de sauvegarde approprié, il n’est effectué que s’il est couvert par l’une des dérogations ou situations exceptionnelles énoncées à l’article 49 du RGPD[28] :
- Lorsque la personne concernée a explicitement consenti au transfert proposé.
- Lorsque le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée.
- Lorsque le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale.
- Lorsque le transfert est nécessaire pour des raisons importantes d’intérêt public.
- Lorsque le transfert est nécessaire pour l’établissement, l’exercice ou la défense de revendications légales.
- Lorsque le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée est physiquement ou juridiquement incapable de donner son consentement.
- Lorsque le transfert est effectué à partir d’un registre qui, selon le droit de l’Union ou des États membres, est destiné à l’information du public et qui est ouvert à la consultation soit du public en général, soit de toute personne pouvant justifier d’un intérêt légitime.
Autres lectures
Groupe de travail Article 29 sur la protection des données. Recommandation relative à l’approbation du formulaire de règles d’entreprise contraignantes pour le sous-traitant. https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51307
Groupe de travail Article29 sur la protection des données. Recommandation sur la demande standard d’approbation des règles d’entreprise contraignantes pour le responsable du traitement pour le transfert des données personnelles. https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf
Cour de justice de l’Union européenne. Arrêt du 16 juillet 2020, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II).
Cour de justice de l’Union européenne. Arrêt du 6 octobre 2015, Maximillian Schrems contre le commissaire à la protection des données (C-362/14, Schrems I).
Commission européenne. Règles d’entreprise contraignantes (BCR). https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en
Commission européenne. Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil. C/2021/3972. JO L 199 du 7.6.2021, p. 31-61. Disponible à l’adresse : https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj
Commission européenne. Règles sur les transferts internationaux de données. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/rules-international-data-transfers_en
Conseil européen de la protection des données (EDPB). Lignes directrices 1/2018 sur la certification et l’identification des critères de certification conformément aux articles 42 et 43 du règlement.
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201801_v3.0_certificationcriteria_annex2_en.pdf
Conseil européen de la protection des données (EDPB). Lignes directrices 1/2019 sur les codes de conduite et les organismes de contrôle en vertu du règlement 2016/679. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf
Conseil européen de la protection des données (EDPB). Lignes directrices 2/2018 relatives aux dérogations de l’article 49 dans le cadre du règlement 2016/679. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf
- Voir l’article 44 du RGPD ” Tout transfert de données à caractère personnel (…) n’a lieu que si, sous réserve des autres dispositions du présent règlement (…) “. ↑
- Voir article 44 in fine du RGPD. ↑
- Article 45(1) du RGPD. ↑
- Article 45(3) du RGPD. ↑
- Article 93(2) du RGPD. ↑
- Considérant 103 du RGPD. ↑
- Article 45(1) in fine du RGPD. ↑
- Après la nouvelle annulation du Privacy Shield par la CJUE, il n’y a actuellement que des décisions en vigueur avec : Andorre, l’Argentine, le Canada (organisationscommerciales), les îles Féroé, Guernesey, Israël, l’île de Man, le Japon, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay. ↑
- Cour de justice de l’Union européenne.Arrêt du 6 octobre 2015, Maximillian Schrems/Commissaire à la protection des données (C-362/14, Schrems I). ↑
- Cour de justice de l’Union européenne. Arrêt du 16 juillet 2020, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II) ↑
- Cour de justice de l’Union européenne.Arrêt du 6 octobre 2015, Maximillian Schrems contrele commissaire à la protection des données (C-362/14, Schrems I).Parag. 73. ↑
- Ibid. parag. 74. ↑
- Ibid. parag. 47. ↑
- Ibid. parag. 52. ↑
- Ibid. parag. 53 et 66. ↑
- Arrêt de la CJUE du 16 juillet 2020, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II) Parag. 185. ↑
- Ibid. parag. 197 et 198. ↑
- Art. 46 du RGPD. ↑
- En vertu de l’art.46.2 du RGPD. ↑
- CE.Règles d’entreprise contraignantes (BCR). À l’adresse : https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/binding-corporate-rules-bcr_en Consulté le 12 mai 2020. ↑
- Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil. C/2021/3972.JO L 199 du 7.6.2021, p. 31-61. Disponible à l’adresse : https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj ↑
- EDPB. Lignes directrices 1/2019 sur les codes de conduite et les organismes de contrôle en vertu du règlement 2016/679 Version 2.0 4 juin 2019. À l’adresse : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201901_v2.0_codesofconduct_en.pdf Consulté le 12 mai 2020 ↑
- BBMRI-ERIC, Code de conduite pour la recherche en santé : prendre de la vitesse et appeler votre contribution, à l’adresse : https://www.bbmri-eric.eu/news-events/code-of-conduct-for-health-research/ Consulté le 12 mai 2020. ↑
- EDPB. Lignes directrices 1/2018 sur la certification et l’identification des critères de certification conformément aux articles 42 et 43 du règlement Version 3.0 4 juin 2019. À l’adresse : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_201801_v3.0_certificationcriteria_annex2_en.pdf. Consulté le : 12 mai 2020. ↑
- Cour de justice de l’Union européenne. Arrêt du 16 juillet 2020, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, (C-311/18, Schrems II). Parag. 96. ↑
- Ibid. Parag. 132 et 125. ↑
- Ibid. Parag. 134 et 135. ↑
- De plus amples informations sur l’art. 49 et les exceptions peuvent être trouvées dans l’EDPB, Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679 Adopté le 25 mai 2018, sur: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdfconsulté le : 14 mai 2020 ↑