AccueilJuridiqueRGPD #7 - Les transferts de données hors de l'Union Européenne

RGPD #7 – Les transferts de données hors de l’Union Européenne

6 min de lecture

Si le Règlement a pour vocation de créer un régime juridique unique dans toute l’Union Européenne, les traitements de données personnelles ne s’arrêtent pas toujours à ses frontières.

Le RGPD prévoit des règles pour encadrer les flux de données hors de l’Union Européenne.

Pour cela, il distingue principalement trois types de pays : ceux qui sont reconnus par la Commission Européenne comme bénéficiant d’un niveau de protection suffisante, le cas spécifique des États-Unis et enfin tous les autres pays du monde.

Pour ces autres pays, sans protection « adéquate », même la décision d’une juridiction ou d’une autorité ne permet pas d’opérer un transfert qui ne soit pas fondé sur un accord international, tel qu’un traité d’entraide judiciaire.

Il ne sera possible de réaliser des traitements qui induisent des transferts de données dans ces autres pays que s’ils sont fondés sur des « garanties appropriées » ou s’ils peuvent s’inscrire dans des « situations particulières ».

Quelle que soit la méthode, l’esprit est que le citoyen européen ne perde pas les droits que lui donne le Règlement à l’occasion d’un transfert de données hors de sa zone d’application, l’Union Européenne.

Le Règlement exprime cette volonté en disant que les citoyens européens doivent se voir fournir des « garanties appropriées ». Pour autant, sur ce sujet, si le Règlement a apporté une simplification, il n’aboutit pas à une réelle clarification, l’enchevêtrement des systèmes restant relativement complexe en rentrant dans le détail de ces différents régimes.

Transfert de données vers un pays ayant un niveau de protection adéquat

Un certain nombre de pays, dont la liste a vocation à s’élargir, sont reconnus par la Commission Européenne comme garantissant un niveau de protection « adéquat » selon une liste précise de critères qu’énonce le Règlement.

Ces pays sont pour l’instant relativement peu nombreux. Il y a, par exemple, la Nouvelle-Zélande, l’Argentine, la Suisse, Israël ou le Canada.

Cette reconnaissance leur est attribuée après analyse de leur régime de protection des données qui doit être au moins équivalent à celui de la législation de l’Union Européenne. La Commission tient compte, en particulier de l’état de droit, du respect des droits de l’homme et des libertés fondamentales, de la législation en la matière, de l’existence et du fonctionnement effectif d’une autorité de contrôle indépendante.

Avec ces pays, il est possible de faire circuler librement des flux de données personnelles mais, bien sûr, en respectant les règles de la législation européenne et celles que le pays concerné applique sur son territoire.

Transfert de données vers les États-Unis

Les États-Unis sont un cas particulier. Ils bénéficient d’une convention spécifique, le Privacy Shield, entrée en vigueur en 2016 après l’annulation du Safe Harbor par la Cour de Justice.

Il est possible de s’y référer pour transférer des données personnelles mais sous la condition que les entreprises destinataires se soient préalablement inscrites sur le registre tenu par l’administration américaine.

En s’inscrivant sur ce registre, les entreprises américaines prennent l’engagement d’apporter des garanties sur le traitement des données personnelles qui leur sont confiées.

Avant de transférer des données à caractère personnel auprès d’une entreprise établie aux États-Unis qui déclare être certifiée, les entreprises européennes doivent s’assurer que la société américaine dispose d’une certification active (les certifications doivent être renouvelées tous les ans) qui couvre les données en question.

Un mécanisme d’évaluation régulier du fonctionnement de ce système existe comme pour tous les pays qui sont déclarés comme ayant un niveau de protection adéquat par la Commission Européenne mais cela n’empêche pas le Privacy Shield d’être à la fois critiqué sur le caractère effectif de la protection qu’il apporte et sur le respect de ses règles par les entreprises américaines qui y adhérent.

Cet accord fait l’objet d’une procédure devant la Cour de Justice de l’Union Européenne. Les pronostics les plus nombreux prédisent une annulation du Privacy Shield, comme cela avait été le cas du Safe Harbor.

Transfert de données vers le reste du monde

Pour les pays qui ne sont pas reconnus par l’Union Européenne comme bénéficiant d’une protection adéquate, le Règlement apporte une simplification par rapport à la législation précédente car, jusqu’à présent, les transferts de données personnelles étaient soumis à autorisation.

Désormais, le responsable du traitement ou le sous-traitant peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale sans autorisation préalable s’il a lui-même prévu des garanties appropriées pour que les personnes concernées disposent de garanties effectives et recours et qu’il pourra en justifier dans le cadre de l’accountability.

C’est au responsable de traitement de s’assurer que la protection apportée sera suffisante et il doit pour cela intégrer tous les critères qui permettront de le vérifier dans le registre des traitements.

Pour parvenir à ce but, des Garanties appropriées ou des règles d’entreprise contraignantes vont pouvoir être utilisées.

Une autorisation de l’Autorité compétente demeurera nécessaire si l’entreprise veut utiliser des clauses contractuelles originales ou des dispositions dans des arrangements entre des personnes publiques.

Garanties appropriées

Le responsable du traitement peut effectuer des transferts s’il est capable de démontrer qu’il existe des garanties appropriées parmi celles qui figurent dans la liste suivante :

  • Un texte contraignant et exécutoire entre les autorités ou les organismes publics ;
  • Des règles d’entreprise contraignantes “binding corporate rules” ou “BCR” ;
  • Des clauses types de protection des données adoptées par la Commission ;
  • Des clauses types de protection des données adoptées par une autorité de contrôle nationale et approuvées par la Commission ;
  • Un code de conduite approuvé sur lequel le responsable du traitement ou le sous-traitant dans le pays tiers s’engage ;
  • Un mécanisme de certification approuvé.

Mais le responsable de traitement pourra toujours demander à l’autorité de valider des clauses contractuelles originales.

Dans cette liste, les règles d’entreprise contraignantes “binding corporate rules” ou “BCR” méritent des explications complémentaires.

Les BCR

Il s’agit de règles internes qu’une entreprise va adopter et surtout auxquelles elle va s’obliger pour tous les transferts de données pour lesquels ils pourront s’appliquer.  

Au résultat, elles seront le mode d’emploi des transferts de données de la structure qui les aura adoptées hors de l’Union Européenne et des pays qui ne bénéficient pas d’une décision d’adéquation.

De telles règles d’entreprise contraignantes ou Binding corporate rules (BCR) devront être mises en application par toutes les entités concernées du groupe d’entreprises (ou du groupe d’entreprises engagées dans une activité économique conjointe).

C’est une nouveauté du Règlement qu’elles puissent être appliquées dans une activité économique, une filière par exemple, et pas uniquement par des structures qui appartiennent légalement à un même groupe. Cela est possible car elles ont une nature contractuelle et il suffit donc d’y adhérer.

Dans tous les cas, les règles et principes prévus par les BCR devront être appliqués systématiquement et donc pas simplement de façon juridique par la structure mais de façon pratique par l’ensemble des employés de l’entreprise.

Lorsqu’il lui sera demandé de les valider, l’autorité compétente devra, entre autres, vérifier que ces BCR :

  • Précisent une liste de critères dont l’application des principes généraux relatifs à la protection des données,
  • Garantissent les droits des personnes concernées à l’égard du traitement et les moyens d’exercer ces droits,
  • Prévoient des procédures de réclamation, un mécanisme de coopération avec l’autorité de contrôle, une formation appropriée en matière de protection des données pour le personnel ayant un accès permanent ou régulier aux données à caractère personnel…

Enfin, les transferts seront possibles par dérogation dans certaines situations particulières.

Dérogations pour des situations particulières

Les transferts sont possibles sans autorisation dans une liste de cas :

  • La personne concernée a donné son consentement explicite au transfert envisagé après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ;
  • Le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ;
  • Le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
  • Le transfert est nécessaire pour des motifs importants d’intérêt public ;
  • Le transfert est nécessaire à la constatation, à l’exercice ou à la défense des droits en justice ;
  • Le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
  • Le transfert a lieu au départ d’un registre qui, conformément au droit de l’Union ou au droit d’un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime, mais uniquement dans la mesure où les conditions sont prévues.

Le transfert est aussi possible pour un cas spécifique qui nécessite des critères cumulatifs :

  • Il ne revêt pas de caractère répétitif,
  • Il ne touche qu’un nombre limité de personnes concernées,
  • Il est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée,
  • Le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.

Mais dans ce cas, le responsable du traitement doit informer l’autorité de contrôle et fournir à la personne concernée toutes les informations normales sur le traitement de ses données du transfert et des « intérêts légitimes impérieux » qu’il poursuit.

Chaque traitement de données hors des frontières de l’Union devra donc faire l’objet d’une attention toute particulière pour appliquer à la fois les règles générales du Règlement et celles spécifiques à ce type de transfert.

✅ Cet article vous a-t-il plu ? :
0 / 5

Note de l'article

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Catégories

articles les plus populaires

Shares
Share This