Les transferts de données libérés mais encadrés
Extrait de l’ouvrage de Bruno DUMAY : RGPD DÉCRYPTAGE – Pour les Dirigeants, les Directions Stratégiques et les collaborateurs des entreprises et des organisations – Préface de Gaëlle MONTEILLER
Aussi étonnant que cela puisse paraître dans une économie mondialisée où la notion de frontière semble incompatible avec des transactions par l’internet, le transfert de données à caractère personnel en vue d’un autre traitement était interdit par l’U.E. vers un pays tiers, c’est-à-dire situé en dehors de l’Union, sans une autorisation délivrée par une autorité de contrôle.
Le RGPD supprime le régime de l’autorisation préalable. Certaines conditions sont cependant nécessaires pour que le transfert puisse avoir lieu. Il faut que la Commission ait constaté, par voie de décision, que le destinataire hors U.E. (pays, territoire ou secteur d’un pays, organisation internationale) « assure un niveau de protection adéquat » (art 45-1).
Le 2e alinéa de l’article 45 liste les critères correspondant à ce niveau adéquat de protection, parmi lesquels l’état de droit, le respect des droits de l’homme et libertés fondamentales, la législation, l’existence effective d’autorité de contrôle indépendante, les engagements internationaux… Si l’examen de ces critères permet de conclure à une adéquation avec les règles européennes, la Commission adopte un « acte d’exécution », soumis à un examen périodique au moins tous les quatre ans (art. 45-3). Il est de plus précisé que la Commission suit en permanence les évolutions dans les pays tiers (art. 45-4).
Le transfert est néanmoins possible, toujours sans autorisation préalable, vers une destination qui n’aurait pas fait l’objet d’un acte d’exécution. En effet, l’article 46 prévoit qu’un responsable de traitement ou un sous-traitant peut transférer « s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives » (art. 46-1).
Ces garanties appropriées peuvent être fournies par différents moyens, que nous avons déjà évoqués pour certains :
- Un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ;
- Des règles d’entreprise contraignantes (pour les groupes d’entreprises, les modalités de ces règles, qui doivent être approuvées par l’autorité de contrôle, sont précisées à l’article 47) ;
- Des clauses types approuvées par la Commission, soit directement soit via une autorité de contrôle ;
- Un code de conduite ou un mécanisme de certification « assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées » (art. 46-2).
Les garanties appropriées pour le transfert peuvent être fournies, cette fois après autorisation de l’autorité de contrôle, par deux autres moyens :
– Un contrat entre le responsable de traitement ou le sous-traitant avec leurs homologues dans le pays tiers ;
– « Des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics » (art. 46-3).
Tout transfert est donc interdit en dehors d’un acte d’exécution garantissant un niveau de protection adéquat ou de garanties particulières. Des dérogations sont cependant prévues pour des situations particulières listées à l’article 49. Un transfert est notamment possible :
– Quand la personne concernée a donné son consentement explicite après avoir été informée des risques encourus ;
– Dans le cadre de l’exécution d’un contrat entre la personne concernée et le responsable du traitement (ou dans son intérêt avec une autre personne physique ou morale) ;
– Quand le transfert est d’intérêt public, ou lié à la mise en œuvre de droits en justice, ou nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.
Ces nombreuses dispositions concernant les possibilités de transfert montrent que les initiateurs du RGPD veulent tout à la fois garantir la protection des données à caractère personnel, sans pour autant entraver l’activité des entreprises et des administrations. En supprimant l’autorisation préalable dans la grande majorité des cas, ils font un pari sur la responsabilité des acteurs, dont on doit pouvoir vérifier le travail, selon le fameux principe d’accountability.