Votre métier
icone de recherche
icone de recherche
logo
Accueil/ Actualités - La Quotidienne/ Affaires/ Informatique et libertés

Le CEPD apporte des précisions sur le transfert international de données personnelles

Le Comité européen de la protection des données (CEPD) publie des lignes directrices pour préciser ce qu’est un transfert de données personnelles vers un pays tiers ou une organisation internationale et les conséquences de cette qualification.

Lignes directrices CEPD du 14-2-2023 n° 05/2021 : https://edpb.europa.eu/ 


quoti-20230420-affaires.jpg

©Gettyimages

Ni le règlement général sur la protection des données (RGPD) ni la loi de 1978 dite « Informatique et libertés » ne précisent ce qu'il faut entendre par « transfert » de données. Pour la Cnil, il s’agit de « toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne » (https://www.cnil.fr/fr/definition/transfert-de-donnees). Le Comité européen pour la protection des données (CEPD) précise la notion dans ses lignes directrices (publiées en anglais) sur l’articulation de l’article 3 du RGPD, relatif à l’application territoriale du RGPD, et du chapitre V de ce même texte sur les flux de données hors de l’Union européenne. Ces lignes directrices reprennent pour l’essentiel les lignes directrices que le CEPD avait publiées pour consultation publique le 18 novembre 2021.

Qu'est ce qu'un transfert de données ?

Le CEPD dégage trois critères cumulatifs permettant de caractériser l’existence d’un tel transfert.  

Premier critère. Un responsable de traitement ou un sous-traitant (« exportateur ») doit être soumis au RGPD pour le traitement en cause.

Deuxième critère. Cet exportateur doit transmettre ou rendre disponible par un autre moyen (dont les lignes directrices donnent des exemples) les données personnelles faisant l’objet du traitement à un autre responsable de traitement, un responsable conjoint ou un sous-traitant (« importateur »).

A cet égard, les lignes directrices fournissent plusieurs exemples de situations qui ne peuvent pas être qualifiées de transferts, ce qui est notamment le cas lorsque les données sont transmises directement par la personne concernée, celle-ci n’étant susceptible d’être considérée ni comme un responsable de traitement, ni comme un sous-traitant.

A l’inverse, l’existence d’un transfert sera caractérisée si un sous-traitant transmet des données à un autre sous-traitant ou à un responsable de traitement dans un pays tiers conformément aux instructions de son propre responsable de traitement.

Le responsable de traitement ou le sous-traitant qui divulgue les données doit en outre être distinct de celui qui les reçoit ou qui y a accès. Il est à ce titre précisé que des transferts entre des entités appartenant à un même groupe de sociétés peuvent constituer des transferts de données.

Troisième critère. L'importateur doit se trouver dans un pays tiers (le fait qu’il soit soumis au RGPD pour le traitement concerné ou pas étant indifférent) ou il s’agit d’une organisation internationale, circonstances au sujet desquelles les lignes directrices donnent également des exemples concrets.

Le CEPD précise que ce troisième critère a pour objet de garantir que le niveau de protection des personnes physiques assuré par le RGPD n’est pas amoindri quand leurs données personnelles ne sont plus traitées dans le cadre juridique de l'espace économique européen.

Quelles sont les conséquences de cette qualification ?

Si les trois critères précités sont réunis, le transfert est constitué et il doit alors répondre à certaines exigences, que l’on trouve au chapitre V du RGPD, et qui visent à assurer que la protection des données personnelles se poursuit après le transfert dans le pays tiers ou à l’organisation internationale.

Ainsi, le transfert peut être fondé sur une décision d’adéquation par laquelle la Commission européenne constate que le pays tiers ou l'organisation internationale en cause assure un niveau de protection adéquat (RGPD art. 45). L’exportateur peut également avoir recours à d’autres outils, parmi lesquels des clauses contractuelles types, des règles d'entreprise contraignantes, un code de conduite ou un mécanisme de certification (RGPD art. 46).

En revanche, si les trois critères ne sont pas réunis, il n’y a pas de transfert et le chapitre V du RGPD ne trouve donc pas à s’appliquer. Le responsable de traitement restera cependant soumis aux autres dispositions du RGPD et notamment aux articles 5 (principes relatifs aux traitements de données à caractère personnel), 24 (responsabilité du responsable de traitement) et 32 (sécurité du traitement). Le CEPD relève en effet que de tels traitements hors UE peuvent être associés à des risques accrus, comme celui d’une contradiction entre des lois nationales ou l’accès disproportionné aux données par un gouvernement de pays tiers.

Avec le Bulletin Rapide Droit des Affaires, suivez toute l'actualité juridique commentée et analysée pour assurer la relance d'activité pour vos clients ou votre entreprise :

Vous êtes abonné ? Accédez la revue à distance grâce à la version en ligne 

Pas encore abonné ? Nous vous offrons un essai gratuit d'un mois à la revue Bulletin Rapide Droit des Affaires.

© Editions Francis Lefebvre - La Quotidienne