S’Abonner
Login
Transferts de Données Hors de l’UE : le niveau de protection adéquat

·

·

LegalPlanet > CNIL | RGDP > Transferts de Données Hors de l’UE : le niveau de protection adéquat
Transferts de Données Hors de l’UE : le niveau de protection adéquat
, , , , , ,

Le 3 décembre 2024, le Comité Européen de la Protection des Données (CEPD) a adopté des lignes directrices sur l’article 48 du Règlement Général sur la Protection des Données (RGPD) ainsi qu’une lettre adressée à la Commission Européenne concernant la nécessité d’un suivi minutieux des conditions d’accès et d’utilisation des données personnelles par les autorités des pays tiers, notamment dans le cadre des réexamens de ses décisions d’adéquation.

Lettre à la Commission Européenne sur les Décisions d’Adéquation

Le 15 janvier 2024, la Commission Européenne a achevé le réexamen des onze décisions d’adéquation adoptées en vertu de la directive 95/46/CE, qui ont permis le transfert de données personnelles vers plusieurs pays et territoires. La Commission a confirmé que les pays suivants maintiennent un niveau de protection adéquat pour les données personnelles :

  • Andorre
  • Argentine
  • Canada
  • Îles Féroé
  • Guernesey
  • Île de Man
  • Israël
  • Jersey
  • Nouvelle-Zélande
  • Suisse
  • Uruguay

Ces décisions permettent des transferts sans nécessiter de garanties supplémentaires, car ces pays respectent les normes européennes de protection des données.

Dans son rapport et document de travail, la Commission a détaillé les cadres de protection des données de ces pays, en particulier les règles relatives à l’accès aux données par les autorités publiques à des fins de sécurité nationale et répressives.

Le CEPD, dans une lettre adressée à la Commission Européenne, a exprimé des préoccupations méthodologiques, notamment sur certains aspects de l’évaluation. Ces éléments comprennent des questions telles que l’état de droit, les garanties en matière de prise de décision automatisée, ainsi que l’accès et l’utilisation des données personnelles par les autorités des pays tiers. Le CEPD a souligné que ces aspects doivent faire l’objet d’un suivi rigoureux lors des futures réévaluations des lois et pratiques de ces pays.

Cette lettre a été envoyée par la Présidente du CEPD, le 5 décembre 2024, au Commissaire européen à la Justice, Michael McGrath.

Lignes Directrices 02/2024 sur l’Article 48 du RGPD

L’article 48 du RGPD stipule que toute décision émanant d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant un transfert ou une divulgation de données personnelles ne peut être exécutée que si elle est fondée sur un accord international (par exemple, un traité d’entraide judiciaire) entre le pays tiers demandeur et l’Union Européenne ou un État membre.

Objectif de l’Article 48

Les lignes directrices 02/2024 ont été créées pour clarifier le but et la logique de l’article 48 et pour fournir des recommandations pratiques aux responsables du traitement et sous-traitants basés dans l’UE. Ces recommandations visent à les guider dans le cas où ils recevraient des demandes de divulgation ou de transfert de données de la part d’autorités d’un pays tiers.

L’objectif principal de l’article 48 est de garantir que les jugements ou décisions des autorités des pays tiers ne peuvent pas être automatiquement reconnus ou exécutés dans l’UE, à moins qu’un accord international ne le permette. Cette disposition vise à garantir que les flux de données en provenance de l’UE restent sous le contrôle de la législation européenne.

Principes Clés de l’Article 48

  1. Absence d’accord international : Si un responsable du traitement ou un sous-traitant reçoit une demande de transfert de données d’un pays tiers, ce transfert doit être conforme aux bases juridiques du RGPD. Cela signifie que l’article 6 (sur la légalité du traitement) et le chapitre V (relatif aux transferts internationaux) doivent être respectés.
  2. Accords internationaux comme base juridique : Lorsqu’un accord international est en place, il peut servir de base juridique pour le transfert de données. Ces accords peuvent garantir des garanties appropriées pour les transferts, mais si ces garanties ne sont pas suffisantes, d’autres instruments de transfert peuvent être envisagés, comme les dérogations de l’article 49.
  3. Contrôle des demandes de divulgation : Même si un accord international existe, chaque demande de transfert doit être examinée pour garantir qu’elle respecte les principes de protection des données. En l’absence d’accord, d’autres garanties doivent être mises en place pour protéger les droits des individus.

Conclusion

Le CEPD continue de jouer un rôle essentiel dans la régulation des transferts de données hors de l’UE, en veillant à ce que les données personnelles des citoyens européens soient protégées, même lorsqu’elles sont envoyées dans des pays tiers.

L’adoption des lignes directrices et la lettre à la Commission Européenne montrent l’engagement de l’Autorité à assurer la conformité continue des lois internationales avec les normes européennes de protection des données, notamment en matière de transfert de données personnelles, réexamen des décisions d’adéquation, et contrôle des accès des autorités des pays tiers.

  • Bienvenue, je suis votre assistant juridique
Réflexion en cours .... ...
Chat Icon