
Alors que l’article 3 du Règlement Général sur la Protection des Données (RGPD), expose une volonté non dissimulée d’imposer ses règles au plus grand nombre, les dispositions relatives aux transferts de données, prévues à son chapitre 5, ne font pas exception. Pour s’en convaincre, voici quelques précisions qui ont notamment pu être apportées par le Comité Européen de la Protection des données.
Une définition englobante
Tout d’abord, un transfert de données personnelles doit être identifié comme tel lorsque l’un des protagonistes divulgue ou permet l’accès à des données à un autre responsable de traitement ou sous-traitant. De surcroit, l’un d’eux doit, d’une part être soumis à ladite réglementation et d’autre part, être situé dans un pays tiers à l’Union européenne ou être une organisation internationale.
Une fois qualifié, un tel transfert doit nécessairement être encadré et imposer aux acteurs concernés des mesures permettant d’assurer un niveau de protection suffisant à l’égard des données transférées. Le standard de protection proposé par le RGPD se diffuse, par effet de cascade, à l’ensemble des acteurs mondiaux en relation avec des organismes soumis à cette même réglementation.
Une pluralité d’outils sur mesure
Pour se faire, il est laissé aux acteurs le choix, parmi une liste limitative, d’un outil permettant d’assurer une protection adéquate. En effet, lorsque ces derniers n’ont pas la chance de pouvoir se fonder sur une décision d’adéquation de la Commission européenne pour réaliser leur transfert (art. 45, paragraphe 3 RGPD), ceux-ci peuvent opter pour l’un des mécanismes juridiques proposés par l’article 46 du Règlement, à savoir :
- Les clauses contractuelles ayant été autorisées par l’autorité de contrôle ou sans autorisation lorsqu’elles ont été adoptées par la Commission européenne (Clause Contractuelles Types). À cet égard, il convient de préciser que, même si l’utilisation de ces dernières ont été validées par la Cour de Justice de l’Union Européenne (CJUE, 16 juill. 2020, aff. C-311/18), les protagonistes doivent être attentifs au fait que le droit interne de l’état tiers ne rend pas inefficaces lesdites clauses.
Il est à noter qu’à partir du 27 décembre 2022, seules les Clauses Contractuelles Types en date du 4 juin 2021 pourront être utilisées. Celles-ci sont à retrouver sur le site internet de l’Union européenne (https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr).
- Les règles d’entreprise contraignantes visant à appliquer des mesures uniformes à l’ensemble d’une entreprise qui serait implanté à la fois dans l’Union européenne et dans des pays tiers. Elles doivent notamment être approuvées par l’autorité de contrôle compétente (art. 47 RGPD).
- Un code de conduite et une certification respectant les dispositions des articles 40 et suivants du RGPD.
Des exceptions limitées et encadrées
Toutefois, l’utilisation de tels outils n’est pas nécessaire dès lors que les transferts envisagés revêtent une des caractéristiques limitativement énoncées par l’article 49.1 du RGPD. Il s’agit notamment :
- Du consentement de la personne concernée
- D’une exécution contractuelle entre la personne concernée et le responsable de traitement
- La constatation, l’exercice ou la défense de droit en justice
- La sauvegarde des intérêts vitaux.
Dans un environnement guidé par une mondialisation des échanges, il est aisé de constater que les institutions européennes ont souhaité diffuser un niveau minimal de protection à l’égard des données personnelles en capitalisant sur l’effet extraterritorial du RGPD.