1

L’encadrement par le règlement des transferts de données à caractère personnel vers des pays tiers ou des organisations internationales

< Rapport d'information >

Si le règlement autorise les responsables de traitement et sous-traitants à transférer des données hors de l’Union européenne, ce n’est que dans la mesure où ces transferts garantissent un niveau de protection suffisant et approprié des données personnelles. Les données transférées hors Union restent soumises au droit de l’Union européenne non seulement pour leur transfert mais aussi pour tout traitement et transfert ultérieur.

Ces règles sont énoncées au chapitre V du règlement (« Transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales », articles 44 à 50).

L’article 44 précise le principe général applicable aux transferts : « _Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis. _ » .

L’article 45 autorise les transferts de donnée fondés sur une décision de la Commission constatant que le pays tiers assure un niveau de protection adéquat (« transferts fondés sur une décision d’adéquation »). Un tel transfert ne nécessite pas d’autorisation spécifique. L’acte d’exécution prévoit un mécanisme d’examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale ( 72 ).

Transferts de données : les critères de la décision d’adéquation de la Commission

Le paragraphe 2 de l’article 45 du règlement liste les éléments que doit prendre en compte la Commission afin de rendre sa décision d’adéquation, tels que l’État de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, l’existence d’autorités de contrôles indépendantes…

La Commission doit s’assurer que les éventuelles évolutions intervenues dans l’État tiers conservent intactes les garanties en matière de protection des données à caractère personnel pour les résidents européens.

Le règlement précise en particulier que le pays tiers devra assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres ; les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel.

En l’absence de décision d’adéquation de la Commission, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives (« transfert moyennant des garanties appropriées ». Ces garanties sont les suivants :

– un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;

– des règles d’entreprises contraignantes (« transfert moyennant des garanties appropriées ») détaillée au sein de l’article 47 du règlement ;

– des clauses types de protection des données adoptées par la Commission (article 46) ;

– des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission ;

– un code de conduite ou un mécanisme de certification assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées.

L’article 48 du règlement précise que toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être « reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre ».

Si aucune des conditions qui caractérisent ces types de transferts n’est remplie, l’article 49 permet un transfert dérogatoire pour des situations particulières qui sont énoncées de manière limitative aux points a) à g) du paragraphe 1 et au deuxième alinéa du même paragraphe. Il s’agit, par exemple, du transfert qui est « nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ».

En tout état de cause, l’article 49 rappelle que lorsqu’un transfert vers un pays tiers ou une organisation internationale ne peut être réalisé dans les conditions détaillées aux articles 46 à 48, il peut avoir lieu que s’il « ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel. » Dans ce cas, le responsable du traitement informe l’autorité de contrôle du transfert.

< Rapport d'information >