With your agreement, we and our 789 partners use cookies or similar technologies to store, access, and process personal data like your visit on this website, IP addresses and cookie identifiers. Some partners do not ask for your consent to process your data and rely on their legitimate business interest. You can withdraw your consent or object to data processing based on legitimate interest at any time by clicking on “Learn More” or in our Privacy Policy on this website.

We and our partners process data for the following purposesPersonalised advertising and content, advertising and content measurement, audience research and services development , Precise geolocation data, and identification through device scanning, Store and/or access information on a device

Logo Lefebvre Dalloz Desktop
Votre métier
icone de recherche
ACTUALITESNOS OFFRESESSAIS GRATUITS
RESSOURCES
CHIFFRES & TAUX
AGENDA
SIMULATEURS
BOUTIQUE
Logo Lefebvre Dalloz Desktop
icone de recherche
logo
Partager sur LinkedInPartager sur TwitterPartager sur Facebook
Envoyer par mail
Accueil/ Actualités - La Quotidienne/ Affaires/ Informatique et libertés
Affaires - Informatique et libertés

Le CEPD apporte des précisions sur le transfert international de données personnelles

Le Comité européen de la protection des données (CEPD) publie des lignes directrices pour préciser ce qu’est un transfert de données personnelles vers un pays tiers ou une organisation internationale et les conséquences de cette qualification.

Lignes directrices CEPD du 14-2-2023 n° 05/2021 : https://edpb.europa.eu/ 

Publié le 20/04/2023
quoti-20230420-affaires.jpg

©Gettyimages

Ni le règlement général sur la protection des données (RGPD) ni la loi de 1978 dite « Informatique et libertés » ne précisent ce qu'il faut entendre par « transfert » de données. Pour la Cnil, il s’agit de « toute communication, copie ou déplacement de données personnelles ayant vocation à être traitées dans un pays tiers à l’Union européenne » (https://www.cnil.fr/fr/definition/transfert-de-donnees). Le Comité européen pour la protection des données (CEPD) précise la notion dans ses lignes directrices (publiées en anglais) sur l’articulation de l’article 3 du RGPD, relatif à l’application territoriale du RGPD, et du chapitre V de ce même texte sur les flux de données hors de l’Union européenne. Ces lignes directrices reprennent pour l’essentiel les lignes directrices que le CEPD avait publiées pour consultation publique le 18 novembre 2021.

Qu'est ce qu'un transfert de données ?

Le CEPD dégage trois critères cumulatifs permettant de caractériser l’existence d’un tel transfert.  

Premier critère. Un responsable de traitement ou un sous-traitant (« exportateur ») doit être soumis au RGPD pour le traitement en cause.

Deuxième critère. Cet exportateur doit transmettre ou rendre disponible par un autre moyen (dont les lignes directrices donnent des exemples) les données personnelles faisant l’objet du traitement à un autre responsable de traitement, un responsable conjoint ou un sous-traitant (« importateur »).

A cet égard, les lignes directrices fournissent plusieurs exemples de situations qui ne peuvent pas être qualifiées de transferts, ce qui est notamment le cas lorsque les données sont transmises directement par la personne concernée, celle-ci n’étant susceptible d’être considérée ni comme un responsable de traitement, ni comme un sous-traitant.

A l’inverse, l’existence d’un transfert sera caractérisée si un sous-traitant transmet des données à un autre sous-traitant ou à un responsable de traitement dans un pays tiers conformément aux instructions de son propre responsable de traitement.

Le responsable de traitement ou le sous-traitant qui divulgue les données doit en outre être distinct de celui qui les reçoit ou qui y a accès. Il est à ce titre précisé que des transferts entre des entités appartenant à un même groupe de sociétés peuvent constituer des transferts de données.

Troisième critère. L'importateur doit se trouver dans un pays tiers (le fait qu’il soit soumis au RGPD pour le traitement concerné ou pas étant indifférent) ou il s’agit d’une organisation internationale, circonstances au sujet desquelles les lignes directrices donnent également des exemples concrets.

Le CEPD précise que ce troisième critère a pour objet de garantir que le niveau de protection des personnes physiques assuré par le RGPD n’est pas amoindri quand leurs données personnelles ne sont plus traitées dans le cadre juridique de l'espace économique européen.

Quelles sont les conséquences de cette qualification ?

Si les trois critères précités sont réunis, le transfert est constitué et il doit alors répondre à certaines exigences, que l’on trouve au chapitre V du RGPD, et qui visent à assurer que la protection des données personnelles se poursuit après le transfert dans le pays tiers ou à l’organisation internationale.

Ainsi, le transfert peut être fondé sur une décision d’adéquation par laquelle la Commission européenne constate que le pays tiers ou l'organisation internationale en cause assure un niveau de protection adéquat (RGPD art. 45). L’exportateur peut également avoir recours à d’autres outils, parmi lesquels des clauses contractuelles types, des règles d'entreprise contraignantes, un code de conduite ou un mécanisme de certification (RGPD art. 46).

En revanche, si les trois critères ne sont pas réunis, il n’y a pas de transfert et le chapitre V du RGPD ne trouve donc pas à s’appliquer. Le responsable de traitement restera cependant soumis aux autres dispositions du RGPD et notamment aux articles 5 (principes relatifs aux traitements de données à caractère personnel), 24 (responsabilité du responsable de traitement) et 32 (sécurité du traitement). Le CEPD relève en effet que de tels traitements hors UE peuvent être associés à des risques accrus, comme celui d’une contradiction entre des lois nationales ou l’accès disproportionné aux données par un gouvernement de pays tiers.

Avec le Bulletin Rapide Droit des Affaires, suivez toute l'actualité juridique commentée et analysée pour assurer la relance d'activité pour vos clients ou votre entreprise :

Vous êtes abonné ? Accédez la revue à distance grâce à la version en ligne 

Pas encore abonné ? Nous vous offrons un essai gratuit d'un mois à la revue Bulletin Rapide Droit des Affaires.

© Editions Francis Lefebvre - La Quotidienne
AffairesInformatique et libertés
Partager sur LinkedInPartager sur TwitterPartager sur Facebook
Envoyer par mail

Aller plus loin

Mémento Sociétés civiles 2024
affaires -

Mémento Sociétés civiles 2024

Le mode d’emploi des SCI, SCPI, SCP, SCM, GAEC…
175,00 € TTC
Je découvre
Mémento Sociétés commerciales 2024
affaires -

Mémento Sociétés commerciales 2024

Maîtrisez chaque étape de la vie d'une société !
199,00 € TTC
Je découvre

A lire aussi

quoti-20230605-rgps.jpg
Affaires - Informatique et libertés

La violation du RGPD ne suffit pas à ouvrir droit à réparation : il faut aussi prouver un préjudice

La violation des dispositions du RGPD ne suffit pas à conférer un droit à réparation à la personne concernée par le traitement irrégulier : encore faut-il qu'elle prouve un dommage. Le dommage doit en revanche être réparé même s'il ne présente pas un certain degré de gravité.
quoti-20230104-affaires-2.jpg
Affaires - Informatique et libertés

Procédure de « pre-trial discovery » : une nouvelle étape dans la communication de pièces vers les Etats-Unis

La procédure américaine de « discovery » permet à une partie de demander la production de preuves situées sur le territoire français. Les règles sur la protection des données personnelles et la loi de blocage peuvent constituer un obstacle à cette procédure, vient de juger un tribunal américain. Explications par Me Mongin-Archambeaud.
quoti-20221202-affaires.jpg
Affaires - Informatique et libertés

Conditions de réutilisation de données personnelles dans le cadre d’un traitement ultérieur

Le traitement ultérieur ne doit pas s’écarter des attentes légitimes des personnes concernées quant à l’utilisation ultérieure de leurs données.