mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

arrow_backArticle précédent
Article 45
Article suivantarrow_forward

Transferts fondés sur une décision d'adéquation

Textes
officiels Guidelines Jurisprudence Analyse du
droit européen
Afficher les articles et mots clés liés à l’article 45 expand_more Cacher les articles et mots clés liés à l’article 45 expand_less

Mots clés liés à l'article 45

Afficher les considérants du Règlement liés à l'article 45 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 45 keyboard_arrow_up

(101) Les flux de données à caractère personnel à destination et en provenance de pays en dehors de l'Union et d'organisations internationales sont nécessaires au développement du commerce international et de la coopération internationale. L'augmentation de ces flux a créé de nouveaux enjeux et de nouvelles préoccupations en ce qui concerne la protection des données à caractère personnel. Cependant, il importe que, lorsque des données à caractère personnel sont transférées de l'Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l'Union par le présent règlement ne soit pas compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et à des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les dispositions du présent règlement relatives au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

(102) Le présent règlement s'entend sans préjudice des accords internationaux conclus entre l'Union et les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les garanties appropriées au bénéfice des personnes concernées. Les États membres peuvent conclure des accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales dans la mesure où ces accords n'affectent pas le présent règlement ou toute autre disposition du droit de l'Union et prévoient un niveau approprié de protection des droits fondamentaux des personnes concernées.

(103) La Commission peut décider, avec effet dans l'ensemble de l'Union, qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans l'ensemble l'Union en ce qui concerne le pays tiers ou l'organisation internationale qui est réputé(e) offrir un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. La Commission peut également décider, après en avoir informé le pays tiers ou l'organisation internationale et lui avoir fourni une justification complète, de révoquer une telle décision.

(104) Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en particulier la protection des droits de l'homme, la Commission devrait, dans son évaluation d'un pays tiers, d'un territoire ou d'un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays tiers déterminé respecte l'état de droit, garantit l'accès à la justice et observe les règles et normes internationales dans le domaine des droits de l'homme, ainsi que sa législation générale et sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi que l'ordre public et le droit pénal. Lors de l'adoption, à l'égard d'un territoire ou d'un secteur déterminé dans un pays tiers, d'une décision d'adéquation, il y a lieu de tenir compte de critères clairs et objectifs, telles que les activités de traitement spécifiques et le champ d'application des normes juridiques applicables et de la législation en vigueur dans le pays tiers. Le pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l'Union, en particulier quand les données à caractère personnel sont traitées dans un ou plusieurs secteurs spécifiques. Plus particulièrement, le pays tiers devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres, et les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel.

(105) Outre les engagements internationaux pris par le pays tiers ou l'organisation internationale, la Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de l'organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection des données à caractère personnel, ainsi que de la mise en oeuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Lorsqu’elle évalue le niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité.

(106) La Commission devrait surveiller le fonctionnement des décisions relatives au niveau de protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou par une organisation internationale, et surveiller le fonctionnement des décisions adoptées sur la base de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE. Dans ses décisions d'adéquation, la Commission devrait prévoir un mécanisme d'examen périodique de leur fonctionnement. Cet examen périodique devrait être effectué en consultation avec le pays tiers ou l'organisation internationale en question et tenir compte de l'ensemble des évolutions présentant un intérêt dans le pays tiers ou au sein de l'organisation internationale. Aux fins de la surveillance et de la réalisation des examens périodiques, la Commission devrait prendre en considération les observations et les conclusions du Parlement européen et du Conseil, ainsi que d’autres organes et sources pertinents. La Commission devrait évaluer le fonctionnement desdites décisions dans un délai raisonnable et communiquer toute conclusion pertinente au comité au sens du règlement (UE) n° 182/2011 du Parlement européen et du Conseil1 établi en vertu du présent règlement, au Parlement européen et au Conseil.

(107) La Commission peut constater qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale n'assure plus un niveau adéquat de protection des données. En conséquence, le transfert de données à caractère personnel vers ce pays tiers ou à cette organisation internationale devrait être interdit, à moins que les exigences du présent règlement relatives aux transferts faisant l'objet de garanties appropriées, y compris des règles d'entreprise contraignantes et des dérogations pour des situations particulières, soient respectées. Dans ce cas, il y aurait lieu de prévoir des consultations entre la Commission et le pays tiers ou l'organisation internationale en question. La Commission devrait informer en temps utile le pays tiers ou l'organisation internationale des motifs de sa conclusion et engager des consultations avec ceux-ci en vue de remédier à la situation.

(108) En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

(109) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient compléter les clauses types de protection.

(110) Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

(111) Il y a lieu de prévoir la possibilité de transferts dans certains cas où la personne concernée a donné son consentement explicite, lorsque le transfert est occasionnel et nécessaire dans le cadre d'un contrat ou d'une action en justice, qu'il s'agisse d'une procédure judiciaire, administrative ou extrajudiciaire, y compris de procédures devant des organismes de régulation. Il convient également de prévoir la possibilité de transferts lorsque des motifs importants d'intérêt public établis par le droit de l'Union ou le droit d'un État membre l'exigent, ou lorsque le transfert intervient au départ d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime. Dans ce dernier cas, ce transfert ne devrait pas porter sur la totalité des données à caractère personnel ni sur des catégories entières de données contenues dans le registre et, lorsque celui-ci est destiné à être consulté par des personnes ayant un intérêt légitime, le transfert ne devrait être effectué qu'à la demande de ces personnes ou lorsqu'elles doivent en être les destinataires, compte dûment tenu des intérêts et des droits fondamentaux de la personne concernée.

(112) Ces dérogations devraient s'appliquer en particulier aux transferts de données requis et nécessaires pour des motifs importants d'intérêt public, par exemple en cas d'échange international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale ou relatives à la santé publique, par exemple aux fins de la recherche des contacts des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d'éliminer le dopage dans le sport. Le transfert de données à caractère personnel devrait également être considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel pour la sauvegarde des intérêts vitaux, y compris l'intégrité physique ou la vie, de la personne concernée ou d'une autre personne, si la personne concernée se trouve dans l'incapacité de donner son consentement. En l'absence d’une décision d'adéquation, le droit de l'Union ou le droit d'un État membre peut, pour des motifs importants d'intérêt public, fixer expressément des limites au transfert de catégories particulières de données vers un pays tiers ou à une organisation internationale. Les États membres devraient notifier ces dispositions à la Commission. Tout transfert vers une organisation humanitaire internationale de données à caractère personnel d'une personne concernée qui se trouve dans l'incapacité physique ou juridique de donner son consentement, en vue d'accomplir une mission relevant des conventions de Genève ou de respecter le droit humanitaire international applicable dans les conflits armés, pourrait être considéré comme nécessaire pour des motifs importants d'intérêt public ou parce que ce transfert est dans l'intérêt vital de la personne concernée.

(113) Les transferts qui peuvent être qualifiés de non répétitifs et qui ne touchent qu'un nombre limité de personnes concernées pourraient également être autorisés aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement, lorsque ces intérêts prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée et lorsque le responsable du traitement a évalué toutes les circonstances entourant le transfert de données. Le responsable du traitement devrait accorder une attention particulière à la nature des données à caractère personnel, à la finalité et à la durée de la ou des opérations de traitement envisagées ainsi qu'à la situation dans le pays d'origine, le pays tiers et le pays de destination finale, et devrait prévoir des garanties appropriées pour protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement de leurs données à caractère personnel. De tels transferts ne devraient être possibles que dans les cas résiduels dans lesquels aucun des autres motifs de transfert ne sont applicables. À des fins de recherche scientifique ou historique ou à des fins statistiques, il y a lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances. Le responsable du traitement devrait informer l'autorité de contrôle et la personne concernée du transfert.

(114) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat du niveau de protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent aux personnes concernées des droits opposables et effectifs en ce qui concerne le traitement de leurs données dans l'Union une fois que ces données ont été transférées, de façon à ce que lesdites personnes continuent de bénéficier des droits fondamentaux et des garanties.

(115) Certains pays tiers adoptent des lois, des règlements et d'autres actes juridiques qui visent à réglementer directement les activités de traitement effectuées par des personnes physiques et morales qui relèvent de la compétence des États membres. Il peut s'agir de décisions de juridictions ou d'autorités administratives de pays tiers qui exigent d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel, et qui ne sont pas fondées sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre. L'application extraterritoriale de ces lois, règlements et autres actes juridiques peut être contraire au droit international et faire obstacle à la protection des personnes physiques garantie dans l'Union par le présent règlement. Les transferts ne devraient être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, notamment, lorsque la divulgation est nécessaire pour un motif important d'intérêt public reconnu par le droit de l'Union ou le d'un État membre auquel le responsable du traitement est soumis.

(116) Lorsque des données à caractère personnel franchissent les frontières extérieures de l'Union, cela peut accroître le risque que les personnes physiques ne puissent exercer leurs droits liés à la protection des données, notamment pour se protéger de l'utilisation ou de la divulgation illicite de ces informations. De même, les autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontalier peuvent également être freinés par les pouvoirs insuffisants dont elles disposent en matière de prévention ou de recours, par l'hétérogénéité des régimes juridiques et par des obstacles pratiques tels que le manque de ressources. En conséquence, il est nécessaire de favoriser une coopération plus étroite entre les autorités de contrôle de la protection des données, pour les aider à échanger des informations et mener des enquêtes avec leurs homologues internationaux. Aux fins d'élaborer des mécanismes de coopération internationale destinés à faciliter et à mettre en place une assistance mutuelle internationale pour faire appliquer la législation relative à la protection des données à caractère personnel, la Commission et les autorités de contrôle devraient échanger des informations et coopérer dans le cadre d'activités liées à l'exercice de leurs compétences avec les autorités compétentes dans les pays tiers, sur une base réciproque et conformément au présent règlement.

Afficher les considérants de la Directive 95/46 liés à l'article 45 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 45 keyboard_arrow_up

(56) considérant que des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international; que la protection des personnes garantie dans la Communauté par la présente directive ne s'oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat; que le caractère adéquat du niveau de protection offert par un pays tiers doit s'apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts;

(57) considérant, en revanche, que, lorsqu'un pays tiers n'offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit;

(58) considérant que des exceptions à cette interdiction doivent pouvoir être prévues dans certaines circonstances lorsque la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le contexte d'un contrat ou d'une action en justice, lorsque la sauvegarde d'un intérêt public important l'exige, par exemple en cas d'échanges internationaux de données entre les administrations fiscales ou douanières ou entre les services compétents en matière de sécurité sociale, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime; que, dans ce cas, un tel transfert ne devrait pas porter sur la totalité des données ni sur des catégories de données contenues dans ce registre; que, lorsqu'un registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert ne devrait pouvoir être effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires;

 (60) considérant que, en tout état de cause, les transferts vers les pays tiers ne peuvent être effectués que dans le plein respect des dispositions prises par les États membres en application de la présente directive, et notamment de son article 8;

(66) considérant que, pour ce qui est du transfert de données vers les pays tiers, l'application de la présente directive nécessite l'attribution de compétences d'exécution à la Commission et l'établissement d'une procédure selon les modalités fixées dans la décision 87/373/CEE du Conseil (1);

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données

Foire aux questions sur l’arrêt rendu dans l’affaire C-311/18 - Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (23 juillet 2020)

L'objectif de ce document consiste à fournir des réponses à plusieurs questions fréquemment posées aux autorités de contrôle; ces questions seront développées et complétées par des analyses plus approfondies, étant donné que le comité européen de la protection des données continue d'examiner et d'évaluer l'arrêt rendu par la Cour de justice de l'Union européenne (la «Cour»).

Lien

Recommandations sur les critères de référence pour l’adéquation dans le cadre de la directive en matière de protection des données dans le domaine répressif - 1/2021 (2 février 2021) 

Le groupe de travail «Article 29» (GT29) a publié un document de travail sur les critères de référence pour l’adéquation dans le cadre du règlement général sur la protection des données (RGPD) . Ce document de travail a été approuvé par le comité européen de la protection des données (EDPB) lors de sa première session plénière.

Tel qu’indiqué dans la déclaration 21 annexée au Traité de Lisbonne, des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation de ces données dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du traité sur le fonctionnement de l’Union européenne pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines.

C’est sur cette base que le législateur de l’Union a adopté la directive (UE) 2016/680 (ci-après la «directive en matière de protection des données dans le domaine répressif») qui établit les règles spécifiques relatives au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

La directive en matière de protection des données dans le domaine répressif fixe les motifs autorisant le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale dans ce contexte. Parmi les motifs d’un tel transfert, la Commission européenne peut décider que le pays tiers ou l’organisation internationale en question garantit un niveau adéquat de protection.

Si le document de travail WP254.rev01 sur les critères de référence pour l’adéquation entend donner à la Commission européenne des orientations dans le cadre du RGPD quant au niveau de protection des données au sein des pays tiers et des organisations internationales, le présent document a pour but de fournir des orientations similaires dans le cadre de la directive en matière de protection des données dans le domaine répressif. Il instaure dans ce contexte les principes essentiels en matière de protection des données qui doivent être présents dans le cadre juridique d’un pays tiers ou dans une organisation internationale afin de garantir l’équivalence fondamentale avec le cadre de l’Union dans le contexte de la directive en matière de protection des données dans le domaine répressif (c’est-à-dire pour le traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales). En outre, il peut donner des orientations à des pays tiers et à des organisations internationales souhaitant obtenir l’adéquation.

 Le présent document est uniquement axé sur les décisions d’adéquation. Il s’agit des actes d’exécution établis par la Commission européenne conformément à l’article 36, paragraphe 3, de la directive en matière de protection des données dans le domaine répressif.

Lien

Statement on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework - 1/2022 (6 Avril 2022)

The EDPB welcomes the announcement of a political agreement in principle between the European Commission and the United States on 25 March on a new Trans-Atlantic Data Privacy Framework. This announcement is made at a time where transfers from the European Economic Area to the U.S. face significant challenges. The commitment of the U.S. highest authorities to establish ‘unprecedented’ measures to protect the privacy and personal data of individuals in the European Economic Area (EEA individuals) when their data are transferred to the U.S. is a positive first step in the right direction. The EDPB will examine how this political agreement translates into concrete legal proposals to address the concerns raised by the Court of Justice of the European Union (CJEU) in order to provide legal certainty to EEA individuals and exporters of data. At this stage, this announcement does not constitute a legal framework on which data exporters can base their data transfers to the United States. Data exporters must therefore continue taking the actions required to comply with the case law of the CJEU, and in particular its Schrems II decision of 16 July 2020. The GDPR requires that the Commission seeks an opinion of the EDPB before adopting a possible new adequacy decision recognising as satisfactory the level of data protection guaranteed by the U.S. authorities. The EDPB looks forward to assessing carefully the improvements that a new Trans-Atlantic Data Privacy Framework may bring in the light of EU law, the case-law of the CJEU and the recommendations the EDPB made on that basis. The EDPB will prepare its opinion when it receives from the European Commission all supporting documents. In particular, the EDPB will analyse in detail how these reforms ensure that the collection of personal data for national security purposes is limited to what is strictly necessary and proportionate. The EDPB will also examine to what extent the announced independent redress mechanism respects the EEA individuals’ right to an effective remedy and to a fair trial. In particular, the EDPB will look at whether any new authority part of this mechanism has access to relevant information, including personal data, when exercising its mission and can adopt decisions binding on the intelligence services. The EDPB will also consider whether there is a judicial remedy against this authority’s decisions or inaction. The EDPB remains committed to playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA individuals and organisations. The EDPB stands ready to provide the European Commission with support to help it build, together with the U.S., a new framework that fully complies with EU data protection law.

Link

Recommandations sur les garanties essentielles européennes pour les mesures de surveillance - 2/2020 (10 novembre 2020)

1. À la suite de l’arrêt Schrems I, les autorités de l’UE chargées de la protection des données réunies au sein du groupe de travail «Article 29» se sont appuyées sur la jurisprudence pour recenser les garanties essentielles européennes à respecter afin que les ingérences dans les droits fondamentaux au respect de la vie privée et à la protection des données par le biais de mesures de surveillance lors du transfert de données à caractère personnel n’aillent pas au-delà de ce qui est nécessaire et proportionné dans une société démocratique.

2. Le comité européen de la protection des données tient à souligner que les garanties essentielles européennes reposent sur la jurisprudence de la Cour de justice de l’Union européenne (ci-après la «CJUE») concernant les articles 7, 8, 47 et 52 de la Charte des droits fondamentaux de l’Union européenne (ci-après la «Charte») et, le cas échéant, sur la jurisprudence de la Cour européenne des droits de l’homme (ci-après la «CouEDH») relative à l’article 8 de la Convention européenne des droits de l’homme (ci-après la «CEDH») concernant les questions de surveillance dans les États parties à la CEDH 

3. La mise à jour du présent document vise à préciser davantage les garanties essentielles européennes élaborées à l’origine en réponse à l’arrêt Schrems I 4 , en tenant compte des clarifications apportées par la CJUE (et par la CouEDH) depuis sa publication, notamment dans son arrêt phare Schrems II5 .

4. Dans son arrêt Schrems II, la CJUE a déclaré que l’examen de la décision 2010/87/UE de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, à la lumière des articles 7, 8 et 47 de la Charte, n’avait révélé aucun élément de nature à affecter la validité de cette décision, mais elle a invalidé la décision relative au « bouclier de protection des données» (ci-après la «décision BPD»). La CJUE a déclaré que la décision BPD était incompatible avec l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte. L’arrêt peut donc servir d’exemple lorsque des mesures de surveillance prises dans un pays tiers (en l’occurrence, les États-Unis, avec l’article 702 du FISA et le décret présidentiel nº 12 333) ne sont pas suffisamment limitées et ne sont pas susceptibles d’un recours effectif permettant aux personnes concernées de faire valoir leurs droits, comme l’exige le droit de l’Union pour considérer que le niveau de protection dans le pays tiers est «essentiellement équivalent» à celui qui est garanti dans l’Union, au sens de l’article 45, paragraphe 1, du RGPD.

5. Les raisons de l’invalidation du bouclier de protection des données ont également eu des conséquences sur d’autres outils de transfert6 . Bien que la Cour ait interprété l’article 46, paragraphe 1, du RGPD dans le contexte de la validité des clauses contractuelles types (ci-après les «CCT»), son interprétation s’applique à tout transfert vers des pays tiers au moyen de l’un des outils visés à l’article 46 du RGPD7 .

6. En dernier ressort, il appartient à la CJUE de juger si des ingérences dans un droit fondamental peuvent être justifiées. Toutefois, en l’absence d’un tel jugement et conformément à la jurisprudence actuelle, les autorités chargées de la protection des données sont tenues d’évaluer les cas individuels, soit d’office, soit à la suite d’une plainte, et de renvoyer l’affaire devant une juridiction nationale si elles soupçonnent que le transfert n’est pas conforme à l’article 45 dans le cas d’une décision d’adéquation, ou de suspendre ou interdire le transfert si elles estiment qu’il n’est pas possible de respecter l’article 46 du RGPD et que la protection des données transférées que requiert le droit de l’Union ne peut pas être assurée par d’autres moyens.

7. Les garanties essentielles européennes mises à jour ont pour but de fournir des éléments permettant de déterminer si des mesures de surveillance autorisant l’accès d’autorités publiques d’un pays tiers à des données à caractère personnel, qu’il s’agisse d’agences de sécurité nationale ou d’autorités répressives, peuvent être considérées comme une ingérence justifiable ou non.

8. En effet, les garanties essentielles européennes font partie de l’évaluation à réaliser afin de déterminer si un pays tiers offre un niveau de protection essentiellement équivalent à celui qui est garanti au sein de l’Union, mais elles n’ont pas en soi pour objectif de définir tous les éléments. nécessaires pour considérer qu’un pays tiers offre ce niveau de protection conformément à l’article 45 du RGPD. De même, elles ne visent pas, en soi, à définir tous les éléments qu’il conviendrait de prendre en considération pour apprécier si le régime juridique d’un pays tiers empêche l’exportateur et l’importateur des données de fournir des garanties appropriées conformément à l’article 46 du RGPD.

9. Par conséquent, les éléments décrits dans le présent document devraient être considérés comme étant les garanties essentielles qui doivent être trouvées dans le pays tiers lors de l’évaluation de l’ingérence, découlant des mesures de surveillance dudit pays, dans les droits au respect de la vie privée et à la protection des données, plutôt que comme une liste d’éléments visant à démontrer que le régime juridique d’un pays tiers dans son ensemble assure un niveau de protection essentiellement équivalent.

10. L’article 6, paragraphe 3, du traité sur l’Union européenne dispose que les droits fondamentaux énoncés dans la CEDH constituent des principes généraux du droit de l’Union. Toutefois, comme le rappelle la CJUE dans sa jurisprudence, la CEDH ne constitue pas, tant que l’Union n’y a pas adhéré, un instrument juridique formellement intégré à l’ordre juridique de l’Union8 . Dès lors, le niveau de protection des droits fondamentaux exigé par l’article 46, paragraphe 1, du RGPD doit être déterminé sur la base des dispositions dudit règlement, lues à la lumière des droits fondamentaux consacrés par la Charte. Cela étant, conformément à l’article 52, paragraphe 3, de la Charte, les droits contenus dans cette dernière et les droits correspondants garantis par la CEDH doivent avoir la même signification et la même portée que ceux énoncés dans ladite convention et, partant, comme l’a rappelé la CJUE, il convient de tenir compte de la jurisprudence de la CouEDH relative aux droits déjà prévus dans la Charte des droits fondamentaux de l’Union européenne en tant que seuil de protection minimale en vue de l’interprétation des droits correspondants de la Charte . Toutefois, conformément à l’article 52, paragraphe 3, dernière phrase, de la Charte, «[c]ette disposition ne fait pas obstacle à ce que le droit de l’Union accorde une protection plus étendue».

11. Dès lors, la teneur des garanties essentielles continuera de s’appuyer en partie sur la jurisprudence de la CouEDH, dans la mesure où la Charte telle qu’interprétée par la CJUE n’offre pas un niveau de protection supérieur imposant d’autres exigences que la jurisprudence de la CouEDH. 12. Le présent document situe le contexte et précise les quatre garanties essentielles européennes

Lien

Retour au sommaire

Groupe 29

Critères de référence pour l’adéquation -  wp254rev.01 (6 février 2018)

(approuvé par l'EDPB)

Le groupe de travail des autorités européennes chargées de la protection des données (le GT29) a publié précédemment un document de travail sur les transferts de données personnelles vers des pays tiers (WP 12). Après le remplacement de la directive par le règlement général sur la protection des données (RGPD), le GT29 réexamine le WP 12, son précédent document d’orientation, afin de le mettre à jour dans le cadre de la nouvelle législation et de la jurisprudence récente de la Cour européenne de justice.
Le présent document de travail vise à mettre à jour le chapitre premier du WP 12 relatif à la question essentielle du niveau adéquat de protection des données dans un pays tiers, un territoire ou un ou plusieurs secteurs déterminés au sein de ce pays tiers ou d’une organisation internationale (ci-après «pays tiers ou organisations internationales»). Ce document sera continuellement révisé et mis à jour si nécessaire dans les années à venir, en fonction de l’expérience concrète acquise dans le cadre de l’application du RGPD. Les chapitres 2 (Application concrète de l’approche aux pays ayant ratifié la convention 108) et 3 (Application de l’approche aux codes d’autoréglementation sectoriels) du document WP 12 devraient être mis à jour à un stade ultérieur.
Le présent document de travail porte uniquement sur des décisions d’adéquation, qui sont des actes d’exécution de la Commission européenne, conformément à l’article 45 du RGPD. D’autres aspects des transferts de données à caractère personnel vers des pays tiers et des organisations internationales seront examinés dans de prochains documents de travail qui seront publiés séparément (BCR, dérogations).
Le présent document entend donner à la Commission européenne et au GT29 des orientations dans le cadre du RGPD pour évaluer le niveau de protection des données dans les pays tiers et les organisations internationales en instaurant des principes essentiels de protection des données qui doivent être présents dans le cadre juridique d’un pays tiers ou dans une organisation internationale afin de garantir l’équivalence fondamentale avec le cadre de l’Union. En outre, il peut donner des orientations à des pays tiers et à des organisations internationales souhaitant obtenir l’adéquation. Toutefois, les principes énoncés dans le présent document de travail ne s’adressent pas directement aux responsables du traitement des données ou aux sous-traitants.
Le présent document est composé de quatre chapitres:
Chapitre 1: Informations générales relatives au concept d’adéquation
Chapitre 2: Aspects procéduraux des décisions d’adéquation dans le cadre du RGPD
Chapitre 3: Principes généraux en matière de protection des données. Ce chapitre comprend les principes généraux fondamentaux en matière de protection des données visant à garantir que le niveau de protection des données dans un pays tiers ou une organisation internationale est substantiellement équivalent à celui établi par la législation européenne.
Chapitre 4: Garanties essentielles en matière d’application de la loi et d’accès pour raison de sécurité nationale afin de limiter les ingérences dans les droits fondamentaux. Ce chapitre comprend les garanties essentielles en matière d’application de la loi et d’accès pour raison de sécurité nationale à la suite de l’arrêt Schrems de la CJUE en 2016.

Lien

Retour au sommaire
arrow_back Article précédentArticle 45Article suivant arrow_forward

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-362/14 (6 octobre 2015) - Schrems

1)      L’article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, telle que modifiée par le règlement (CE) no 1882/2003 du Parlement européen et du Conseil, du 29 septembre 2003, lu à la lumière des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, telle que la décision 2000/520/CE de la Commission, du 26 juillet 2000, conformément à la directive 95/46 relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États‑Unis d’Amérique, par laquelle la Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, telle que modifiée, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui‑ci n’assurent pas un niveau de protection adéquat.

2)      La décision 2000/520 est invalide.

Conclusions de l'Avocat général

Arrêt rendu

C-311/18 (16 juillet 2020) - Facebook Ireland et Schrems

1)   L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

2)   L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.

3)   L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.

4)   L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.

5)   La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.

Conclusions de l'avocat général

Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

CE  Be., n°251378 (19 aout 2021)

Le Conseil d'État a conclu que le dossier révèle l’existence d’un ensemble de garanties dont le détail n’est pas fourni mais qui comprend au minimum un cryptage complet avant que les données soient confiées au prestataire de services, avec conservation en interne des clés de cryptage.

Arret rendu (néérlandias)

Retour au sommaire

France

Jurisprudence française

CE Fr., n°450163 (12 mars 2021)

1. Pour les besoins de l'hébergement de ses données, la société Doctolib a recours aux prestations de la société de droit luxembourgeois AWS Sarl, filiale de la société américaine Amazon Web Services Inc. L'association InterHop et les autres requérants font valoir les risques que cette situation comporte au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les Etats-Unis. Si la société AWS est certifiée " hébergeur de données de santé " en application de l'article L. 1111-8 du code de la santé publique, que les données traitées par la société AWS sont hébergées dans des centres de données situés en France et en Allemagne et que le contrat conclu entre la société Doctolib et AWS ne prévoit pas le transfert de données pour des raisons techniques aux Etats-Unis, l'association InterHop et les autres requérants font valoir que, du fait de sa qualité de filiale d'une société de droit américain, la société AWS peut faire l'objet de demandes d'accès à certaines données de santé par les autorités américaines, dans le cadre de programmes de surveillance fondés sur l'article 702 du FISA ou sur l'EO 12333. En faisant application aux relations entre responsable du traitement et sous-traitant des critères appliqués par la Cour de justice dans son arrêt du 16 juillet 2020, il convient de vérifier le niveau de protection assuré lors du traitement des données en prenant en considération non seulement les stipulations contractuelles convenues entre le responsable du traitement et son sous-traitant, mais aussi, en cas de soumission de ce sous-traitant au droit d'un Etat tiers, les éléments pertinents du système juridique de celui-ci.

2. Il résulte de l'instruction que, pour accélérer la campagne de vaccination contre la Covid-19, la gestion de prise de rendez-vous de vaccination est assurée par trois sociétés différentes, dont la société Doctolib. Les données litigieuses comprennent les données d'identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d'éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l'honneur qu'elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier. Ces données sont supprimées au plus tard à l'issue d'un délai de trois mois à compter de la date de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne. La société Doctolib et la société AWS ont conclu un addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demandes d'accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne. La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS par le biais d'une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d'empêcher la lecture des données par des tiers. Eu égard à ces garanties et aux données concernées, le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants. Si l'association requérante a également invoqué des risques liés au recours à d'autres prestataires qu'AWS, il ne résulte pas de l'instruction que ces prestataires interviendraient dans l'hébergement des données en litige. Ainsi, et sans qu'il soit besoin de saisir la Commission nationale de l'informatique et des libertés d'une demande d'avis, il n'apparaît pas, en l'état de l'instruction, que la décision du ministre des solidarités et de la santé de confier à la société Doctolib, parmi d'autres voies possibles de réservation de rendez-vous, la gestion de rendez-vous de vaccination contre la Covid-19 porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles.

Arrêt rendu

Retour au sommaire
arrow_back Article précédentArticle 45Article suivant arrow_forward

Le GDPR

Le principe d’adéquation est maintenu par le Règlement en son article 45,  mais il est néanmoins amendé : c’est dorénavant à la seule Commission de constater que le pays tiers, un territoire ou, un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assurent un niveau de protection adéquat.

Outre ceux déjà contenus dans la Directive, l’article 45, § 2. du Règlement énonce de manière non exhaustive certains critères d’appréciation du niveau d’adéquation : la primauté du droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle (relevant par exemple de la sécurité publique ou nationale, de la défense, du droit pénal etc.), les règles en matière de protection des données et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une organisation internationale, qui sont respectées dans le pays tiers en question ou par l'organisation internationale en question, etc. (a)).

Conformément à la jurisprudence de l’Union, le Règlement introduit également comme critère l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante disposant notamment de pouvoirs de sanction, d’assistance et de conseils à l’attention des personnes concernées dans l’exercice de leurs droits. (b).

L’adéquation du pays de destination implique également d’examiner les engagements internationaux relatifs à la protection des données à caractère personnel pris par le pays tiers ou l’organisation internationale concernée, ainsi que sa participation à des systèmes multilatéraux ou régionaux en matière de protection de données personnelles (c).

Initialement, la nouvelle procédure mise en place prévoyait de consulter le comité européen de la protection des données sur l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale. Cette disposition a toutefois été supprimée de la version finale du Règlement. 

La Commission européenne est ainsi seule compétente pour constater, par voie de décision prise conformément à l’article 93, § 2, le caractère adéquat du niveau de protection d’un pays tiers, mais aussi d’une organisation internationale, d’un territoire ou d’un ou différents secteurs d’un pays tiers (§1 et §3).

La décision d’adéquation de la Commission doit indiquer son champ d’application territorial et sectoriel, l’autorité de contrôle compétente (le cas échéant), et déterminer une procédure de révision périodique, à tout le moins tous les 4 ans, tenant compte des développements pertinents dans le pays tiers, l’organisation internationale, ou le territoire concerné. Il incombe également à la Commission d’évaluer sur cette base les décisions adoptées sur base de cette disposition ou de l'article 25, paragraphe 4, de la Directive.

La Commission peut également abroger, modifier ou suspendre une décision d’adéquation antérieure si le pays tiers, le territoire ou l’organisation internationale n’assure plus un niveau de protection adéquat, mais sans rétroactivité, conformément à la procédure de comité visée à l’article 93 §2 du Règlement. En cas d’extrême urgence, la décision abrogeant, modifiant ou suspendant une décision peut toutefois être prise conformément à l’article 93, §3 selon une procédure accélérée (§ 5). Notons que la Commission ne peut plus -comme le prévoyait la Directive (art. 25 §4)- constater qu’un Pays tiers n’assure pas un niveau de protection adéquat en dehors d’une décision positive antérieure.

En cas de décision d’inadéquation, la Commission engage des consultations avec le pays concerné afin de remédier à cette situation ( § 6).

En l’absence de décision contraire, les décisions d’adéquation de la Commission prises sous le couvert de la Directive restent valables jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3.

Comme nous le verrons ci-après, les articles 46 à 49 permettent, sous certaines conditions, de transférer des données vers un pays tiers en l’absence de décision d’adéquation (Cfr. commentaires des articles 46 à 49), notamment lorsque le responsable du traitement ou le sous-traitant offre des garanties appropriées pour pallier l'insuffisance du niveau de protection du pays de destination des données personnelles.

Le paragraphe 7 de l’article 45 précise qu’une décision d’inadéquation au sens du paragraphe 5 ne porte pas atteinte aux transferts effectués conformément aux articles 46 à 49 vers le pays tiers en cause, ou le territoire ou secteur déterminé dans ce pays tiers, ou l'organisation internationale en question.

Il appartient à la Commission de publier une liste des pays tiers, territoires, secteurs et des organisations internationales qui ont fait l’objet d’une décision constatant qu’un niveau adéquat de protection est ou n’est plus assuré.

La Directive

En matière de transfert de données à caractère personnel, l’article 25 de la Directive posait le principe d’adéquation suivant lequel un transfert de données à caractère personnel vers un pays en dehors de l’Union européenne ne peut avoir lieu que si le pays destinataire des données assure un niveau de protection adéquat.

L’appréciation du niveau de protection du pays destinataire des données portait sur un ensemble de facteurs, contenus à l’article 25 de la Directive à titre indicatif. L’évaluation supposait donc de prendre en compte toutes les circonstances relatives au transfert, par exemple la nature des données, la finalité et la durée du traitement. On notera que, selon la CJUE, l’indépendance de l’autorité de contrôle du pays tiers devait également être garantie (CJUE, 9 mars 2010, C-518/7).

À cet égard, il convient de souligner le rôle majeur joué par le Groupe Article 29 dans l’appréciation de la notion de protection adéquate à travers les différents documents de travail réalisés (Cfr. notamment WP4, WP7, WP 12, WP 74, WP 114).

La Directive mettait aussi en place des mécanismes d’appréciation de l’adéquation tant au niveau communautaire qu’au niveau national. Au niveau communautaire, les paragraphes 4 et 6  de la Directive investissaient la Commission du pouvoir de déterminer les pays tiers qui assurent ou non un niveau de protection des données à caractère personnel, conformément à la procédure prévue à l’article 31, § 2. Selon cette procédure, un représentant de la Commission soumettait des projets de mesure à prendre pour avis à un comité de représentants des États membres, présidé par un représentant de la Commission. Il appartenait ensuite à la Commission d’arrêter des mesures directement applicables qui soient conformes à l’avis du Comité. Si tel n’était pas le cas, la Commission pouvait différer l’application de ces mesures et la décision finale appartenait au conseil statuant à majorité qualifiée (cfr. article 31 § 2 de la Directive).

Les États membres devaient se conformer à la décision de la Commission : en cas de décision d’adéquation (art. 25, § 6), ces derniers devaient prendre les mesures nécessaires et en cas de décision d’inadéquation, ils devaient empêcher les transferts vers les pays tiers en cause (art. 25, § 4). La Commission était ensuite chargée d’entamer des négociations avec le pays en cause afin de remédier à cette situation (article 25, § 5).

On rappelle que la décision de la Commission du 26 juillet 2000 adoptant le «Safe Harbor Act » sensé encadrer les transferts entre l’UE et les États-Unis et comprenant une série de principes relatifs à la protection des données personnelles a été invalidée par la Cour de justice de l’Union européenne (CJUE, arrêt du 6 octobre 2015, C-362/14). La Cour a notamment considéré que le régime de la « sphère de sécurité », en ce qu’il autorise des ingérences par les autorités américaines dans les droits fondamentaux des personnes, non encadrées par des règles limitant ces ingérences, est contraire à la Charte des droits fondamentaux de l’Union.

 

Belgique

La loi du 8 décembre 1992 ne déroge pas à la Directive en ce qu’elle impose de tenir compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées (cfr. art. 21, § 1er). Le second paragraphe autorise le Roi à déterminer les pays dont le niveau de protection doit être considéré comme insuffisant.

France

En droit français le principe d’adéquation figure à l’article 68 de la loi Informatique et Libertés : un transfert de données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne implique que le pays destinataire assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux. 

Outre les critères d’adéquation déjà contenus dans la Directive, le législateur français a introduit dans la loi Informatique et Libertés certains critères dégagés par le Groupe 29 dans ses diverses analyses tels que l'origine et la destination des données traitées (cfr. art. 68 de la loi Informatique et Libertés).

Difficultés probables

Les difficultés sont ici moins juridiques qu’elles n’étaient politiques.

Il est sans doute judicieux de ne plus laisser aux États le soin de décider de l’adéquation d’un niveau de protection adéquat d’un pays tiers. La compétence exclusive reconnue à la Commission assurera une plus grande sécurité juridique. Par contre, en l’absence de décision, il semble que l’interdiction de transfert prévale, sauf application des articles 46 et s.

Remarquons également que ce faisant, le responsable ou le sous-traitant ne peuvent plus apprécier non plus cette adéquation. En l’absence de décision, ils se retrouvent automatiquement à devoir couvrir le transfert hors UE par un des règles prévues aux articles 46 et s.

arrow_back Article précédentArticle 45Article suivant arrow_forward
arrow_back Article précédentArticle 45Article suivant arrow_forward
Règlement
1e 2e

Art. 45

1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

2. Lorsqu'elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants:

a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel, de même que la mise en oeuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l'organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;

b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d'application desdites règles, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et

c) les engagements internationaux pris par le pays tiers ou l'organisation internationale en question, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d'acte d'exécution, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L'acte d'exécution prévoit un mécanisme d'examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l'organisation internationale. L'acte d'exécution précise son champ d'application territorial et sectoriel et, le cas échéant, nomme la ou des autorités de contrôle visées au paragraphe 2, point b) du présent article. L'acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

4. La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE.

5. Lorsque les informations disponibles révèlent, en particulier à l'issue de l'examen visé au paragraphe 3 du présent article, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n'assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission si nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article par voie d’actes d’exécution sans effet rétroactif. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Pour des raisons d'urgence impérieuses dûment justifiées, la Commission adopte des actes d'exécution immédiatement applicables en conformité avec la procédure visée à l'article 93, paragraphe 3.

6. La Commission engage des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

7. Une décision adoptée en vertu du paragraphe 5 du présent article est sans préjudice des transferts de données à caractère personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l'organisation internationale en question, effectués en application des articles 46 à 49.

8. La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat est ou n'est plus assuré.

9. Les décisions adoptées par la Commission sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article.
Proposition 1 close

1. Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation.

2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission prend en considération les éléments suivants:

a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;

b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, d’assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres,

et c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question.

3. La Commission peut constater par voie de décision qu’un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

4. L'acte d'exécution précise son champ d'application géographique et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).

5. La Commission peut constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question, ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 87, paragraphe 3.

6. Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, sans préjudice des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5.

7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.

8. Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par la Commission.
Proposition 2 close

1. Un transfert de données à caractère personnel à (...) un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission tient compte notamment des éléments suivants:

a) la primauté du droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente (…), tant générale que sectorielle, les règles en matière de protection des données et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une organisation internationale, qui sont respectées dans le pays tiers en question ou par l'organisation internationale en question, ainsi que l'existence de droits des personnes concernées effectifs et opposables, et un droit de recours administratif et judiciaire effectif des personnes concernées dont les données à caractère personnel sont transférées (…);

b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, notamment par des pouvoirs de sanction appropriés, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres;

c) les engagements internationaux relatifs à la protection des données à caractère personnel pris par le pays tiers ou l'organisation internationale concerné, ou d'autres obligations (...) lui incombant en raison de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

2 bis. Le comité européen de la protection des données rend à la Commission un avis en ce qui concerne l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale, y compris concernant l'évaluation visant à déterminer si un pays tiers, le territoire, l'organisation internationale ou un secteur déterminé n'assure plus un niveau adéquat de protection.

3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut constater par voie de décision qu'un pays tiers, ou un territoire ou un ou plusieurs secteurs déterminés dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. (…). L'acte d'exécution précise son champ d'application territorial et sectoriel et, le cas échéant, cite le nom de la ou des autorités de contrôle (indépendantes) mentionnées au paragraphe 2, point b). L'acte d'exécution est adopté conformément à la procédure d'examen visée à l'article 87, paragraphe 2.

3 bis. Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, (...) de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément aux dispositions du paragraphe 3 ou 5.

4. (…)

4 bis. La Commission contrôle le bon fonctionnement des décisions adoptées en vertu du paragraphe 3 et des décisions adoptées sur la base de l'article 26, paragraphe 6, ou de l'article 25, paragraphe 4, de la directive 95/46/CE.

5. La Commission peut constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur déterminé dans ce pays tiers, ou une organisation internationale n'assure plus un niveau de protection adéquat au sens du paragraphe 2, et peut, si nécessaire, abroger, modifier ou suspendre cette décision sans effet rétroactif. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2, ou, en cas d'extrême urgence (…), conformément à la procédure prévue à l'article 87, paragraphe 3. (…)

5 bis. La Commission engage des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

6. Une décision en vertu du paragraphe 5, est sans préjudice des transferts de données à caractère personnel vers le pays tiers, ou le territoire ou secteur déterminé dans ce pays tiers, ou à l'organisation internationale en question, mis en œuvre au titre des articles 42 à 44 (...).

7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs déterminés dans un pays tiers et des organisations internationales à l'égard desquels des décisions ont été prises au titre des paragraphes 3, 3 bis et 5.

8. (…)
Directive close

Art. 25

1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

3. Les États membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2.

4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.

6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.
France
Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 39

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Dans le cas où, saisie d'une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l'informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d'une personne à l'égard du traitement de ses données à caractère personnel, ou de manière générale afin d'assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d'Etat d'ordonner, le cas échéant sous astreinte, soit la suspension d'un transfert de données, soit la prolongation de la suspension d'un tel transfert qu'elle aurait elle-même préalablement ordonnée, et elle assortit alors ses conclusions d'une demande de question préjudicielle à la Cour de justice de l'Union européenne en vue d'apprécier la validité de la décision d'adéquation de la Commission européenne prise sur le fondement de l'article 45 du règlement (UE) 2016/679 du 27 avril 2016 ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l'article 46 du même règlement.

Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l'exercice de sa fonction juridictionnelle, la Commission nationale de l'informatique et des libertés peut saisir, dans les mêmes conditions, le Conseil d'Etat aux fins d'ordonner, soit la suspension du transfert de données fondé sur une décision d'adéquation de la Commission européenne prise sur le fondement de l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, soit la prolongation de la suspension de ce transfert qu'elle aurait elle-même déjà ordonnée, dans l'attente de l'appréciation par la Cour de justice de l'Union européenne de la validité de cette décision d'adéquation.
Ancienne loi
en France close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 68

Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.
Belgique
Ancienne loi

Aucune disposition spécifique
Ancienne loi
en Belgique close

Art. 21.

§ 1. Le transfert de données à caractère personnel faisant l'objet d'un traitement après leur transfert vers un pays non membre de la Communauté européenne, ne peut avoir lieu que si le pays en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions de la présente loi et de ses arrêtés d'exécution.

Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données ou à une catégorie de transferts de données; il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.

§ 2. Après avis de la Commission de la protection de la vie privée et conformément à l'article 25 de la directive 95/46/CE du Parlement européen et du Conseil concernant la protection des personnes physiques quant au traitement de données à caractère personnel et à la libre circulation de ces données, le Roi détermine pour quelles catégories de traitements de données à caractère personnel et dans quelles circonstances la transmission de données à caractère personnel vers des pays non-membres de la Communauté européenne n'est pas autorisée.

 
arrow_back Article précédentArticle 45Article suivant arrow_forward
Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK