Transferts de données hors de l’UE : deux nouveaux documents du CEPD
Le 3 décembre 2024, le CEPD a adopté des lignes directrices sur l'article 48 du RGPD et une lettre destinée à la Commission européenne sur la nécessité de procéder à un suivi attentif des conditions d’accès et d'utilisation des données personnelles par les autorités des pays tiers dans le cadre de futurs réexamens de ses décisions d'adéquation.
Lettre à la Commission européenne sur le réexamen de onze décisions d'adéquation adoptées avant le RGPD
Le 15 janvier 2024, la Commission européenne a conclu son réexamen des onze décisions d'adéquation adoptées en vertu de la directive 95/46/CE. La Commission européenne a constaté que les données à caractère personnel transférées depuis l'Union européenne (UE) vers Andorre, l'Argentine, le Canada, les îles Féroé, Guernesey, l'île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay continuent de bénéficier d’un niveau de protection adéquat. Par conséquent, ces transferts peuvent avoir lieu sans garanties supplémentaires.
Dans son rapport et son document de travail, la Commission européenne a examiné les cadres de protection des données dans les onze pays et territoires concernés, et, pour la première fois, les règles concernant l'accès aux données à caractère personnel par les autorités publiques de ces pays à des fins répressives et de sécurité nationale.
Dans sa lettre, le CEPD fait part à la Commission d’observations méthodologiques sur certains aspects de son évaluation qui auraient pu être décrits plus en détail : l’État de droit, certains éléments du cadre de protection des données (notions clés, bases de licéité, droits des personnes, garanties en matière de prise de décision automatisée, transferts ultérieurs, etc.), ainsi que l'accès et l'utilisation des données à caractère personnel par les autorités des pays tiers. Le CEPD estime que ces aspects doivent faire l’objet d’un suivi attentif par la Commission lors de ses futures réévaluations des lois et pratiques des pays et territoires tiers.
Ce courrier a été adressé par la Présidente du CEPD au Commissaire européen à la Justice, Michael McGrath, le 5 décembre 2024.
Les lignes directrices 02/2024 sur l'article 48 du RGPD
L'article 48 du RGPD prévoit que « toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en vertu du présent chapitre».
Les lignes directrices 02/2024 visent à clarifier la logique et l'objectif de cet article et à fournir des recommandations pratiques aux responsables du traitement et aux sous-traitants dans l'UE susceptibles de recevoir des demandes de divulgation ou de transfert de données à caractère personnel de la part d'autorités de pays tiers.
Selon le CEPD, l’objectif de l’article 48 est de clarifier le fait que les jugements ou décisions émanant d'autorités de pays tiers ne peuvent pas être automatiquement et directement reconnus ou exécutés dans un État membre de l'UE. En règle générale, la reconnaissance et l'exécution des jugements et décisions étrangers sont garanties par les accords internationaux applicables.
Indépendamment de l'existence d'un accord international applicable, si un responsable du traitement ou un sous-traitant dans l'UE reçoit une demande de transmission de données à caractère personnel de la part d'une autorité d'un pays tiers et y répond, ce flux de données constitue un transfert au sens du RGPD et doit être conforme à l'article 6 et aux dispositions du chapitre V.
Un accord international peut constituer à la fois une base juridique et un instrument de transfert.
En l'absence d'accord international, ou si l'accord ne prévoit pas de base juridique au titre de l'article 6 du RGPD, d'autres bases juridiques pourraient être envisagées. De même, en l'absence d'accord international ou si l'accord ne prévoit pas de garanties appropriées au titre de l'article 46 du RGPD, d'autres instruments de transfert pourraient s'appliquer, y compris les dérogations prévues à l'article 49.
Ces lignes directrices sont soumises à une consultation publique jusqu’au 27 janvier 2025. Les contributions peuvent être transmises à l'aide du formulaire disponible sur le site du CEPD.
