Ce que vous devez savoir sur les transferts internationaux
Dans le cadre de leurs activités quotidiennes, les institutions et organes de l’Union européenne (UE) peuvent avoir à transférer des données à caractère personnel à des destinataires situés en dehors de l’Union européenne. Ces activités peuvent inclure des contacts avec des organismes publics étrangers (dans le cadre d’enquêtes antifraude ou de concurrence, par exemple), la sous-traitance de services à des prestataires externes situés en dehors de l’UE et/ou le traitement de données en dehors de l’UE (informatique en nuage, services web, etc.) ou encore l’organisation de déplacements professionnels dans des pays tiers.
Les transferts de données à caractère personnel (ou informations à caractère personnel) à partir d’institutions et organes de l’Union européenne vers des pays non membres de l’Espace économique européen (EEE), constitué des États membres de l’UE, de la Norvège, de l’Islande et du Liechtenstein, sont régis par le Chapitre V du Règlement UE 2018/1725, similaire à bien des égards au Règlement UE 2016/679.
Conformément au Règlement UE 2018/1725, des transferts internationaux peuvent avoir lieu pour autant qu’un niveau de protection adéquat du droit fondamental des individus (les personnes concernées) à la protection des données soit assuré. Des évaluations de l’adéquation peuvent être réalisées par les personnes souhaitant transférer des données en dehors de l’EEE elles-mêmes ou par l’intermédiaire de la Commission européenne. La Commission a déterminé que plusieurs pays garantissent un niveau de protection adéquat à travers leur droit national ou les engagements internationaux qu’ils ont souscrits. Les transferts à des organisations américaines parties au régime de la «sphère de sécurité» ont été considérés comme adéquats par la décision 2000/520/CE de la Commission européenne du 26 juillet 2000. Toutefois, cette décision d’adéquation a été invalidée par la Cour de justice de l’Union européenne le 6 octobre 2015 (1) et par conséquent, les transferts vers les États-Unis ne peuvent plus avoir lieu au titre de cette décision. Le 2 février 2016, la Commission européenne et les États-Unis ont convenu d'un nouveau cadre pour les transferts transatlantiques de données: le «bouclier de protection des données UE-États-Unis», qui remplace le régime de la sphère de sécurité et a entraîné l’adoption par la Commission européenne d’une nouvelle décision d’adéquation, officiellement adoptée le 12 juillet 2016, pour les transferts aux organisations européennes qui adhèrent à ce nouveau dispositif.
En l’absence d’une décision d’adéquation, une institution de l’UE peut toujours transférer des données à caractère personnel à un pays non membre de l’EEE sous certaines conditions:
- l’organisation souhaitant transférer des données en dehors de l’EEE peut fournir des garanties adéquates, par exemple en adoptant des clauses contractuelles types de la Commission ou d’autres garanties contraignantes autorisées par le contrôleur européen de la protection des données (CEPD); (2)
- l’organisation souhaitant transférer des données en dehors de l’EEE peut faire valoir l’une des dérogations reprises dans le règlement, à condition que le transfert n’ait lieu qu’une seul fois, qu’il ne soit pas massif ni structurel et qu’aucun autre cadre juridique ne puisse être utilisé. Il y a par exemple dérogation lorsque la personne concernée consent au transfert de ses données et lorsque le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat ou à l’exercice des droits de la défense dans le cadre de procédures judiciaires.
(1) Arrêt de la Cour de justice de l’Union européenne du 6 octobre 2015 dans l’affaire C-362/14 (Schrems).
(2) Parmi les garanties supplémentaires figurent les règles d’entreprise contraignantes (BCR), un mécanisme de transfert développé par les autorités nationales chargées de la protection des données auquel les organisations privées peuvent recourir dans le cadre de leurs échanges de données à caractère personnel entre entités faisant partie de la même organisation. Il s’agit en quelque sorte d'un code de conduite interne auquel les entités d’une même organisation doivent adhérer. Les règles d’entreprise contraignantes ne peuvent être utilisés par les entités publiques telles que les institutions et les organes de l’UE, pour leurs propres transferts, et le CEPD ne peut dès lors les autoriser. Toutefois, les institutions et organes de l’UE peuvent valablement choisir un prestataire de services privé ayant adhéré à des règles d’entreprise contraignantes afin de garantir les transferts au sein de son groupe d’entités.
Quelles sont les principaux enjeux en matière de protection des données?
Licéité - La collecte, le stockage et l’utilisation (le traitement) de données à caractère personnel par toute organisation doivent être conformes à la législation en matière de protection des données (à savoir le règlement ou la directive). En outre, tout transfert de données à caractère personnel doit également reposer sur une base juridique adéquate (pour les institutions de l’UE, il s'agit du Règlement UE 2018/1725) et être compatible avec la finalité initiale du traitement.
Qualité des données - Les organisations souhaitant transférer des données en dehors de l’EEE doivent respecter les principes de limitation de la finalité (les données doivent être transférées dans un but spécifique et n’être utilisées ultérieurement que dans la mesure où cela n’est pas incompatible avec la finalité du transfert) et de limitation des données et garantir l’exactitude des données transférées et les délais de conservation des données.
Droit à l’information - Toute personne (personne concernée) doit être informée de ses droits et de la finalité du traitement de ses données tant avant le transfert (lors de la première collecte des données) que pendant celui-ci.
Droit d’accès et de rectification - Tout personne a le droit d’accéder à ses données à caractère personnel faisant l’objet du traitement et de rectifier toute information inexacte ou incomplète. Des exceptions peuvent s’appliquer, par exemple en cas d’enquête portant sur une infraction pénale. Le report de l’information doit être décidé au cas par cas et toute restriction doit être justifiée. Les personnes doivent également être informées de la façon dont elles peuvent exercer leurs droits.
Traitement de catégories particulières de données à caractère personnel - Le traitement de catégories particulières de données, telles que les données relatives à la santé ou révélant l’origine raciale ou ethnique, est en principe interdit en vertu de la législation relative à la protection des données, sauf dans certaines circonstances. Il est par exemple possible de traiter des données sensibles si le traitement est nécessaire aux fins de diagnostics médicaux ou s’il est assorti de garanties spécifiques en matière de droit du travail.
Garanties pour le transfert de données à caractère personnel vers des pays n’offrant pas un niveau de protection adéquat
Les garanties adéquates sont des garanties en matière de protection des données qui s’appliquent spécifiquement aux transferts de données à caractère personnel vers un destinataire situé dans un pays non membre de l’EEE considéré comme n’offrant pas un niveau de protection adéquat. Les garanties doivent être définies dans un instrument juridiquement contraignant tel qu’un contrat ou un protocole d’accord conclu entre la partie qui procède au transfert et le destinataire. Elles doivent décrire clairement les principes de protection des données à respecter, notamment les principes suivants:
- les données doivent être traitées dans un but spécifique et n’être utilisées ou communiquées ultérieurement que dans la mesure où cela n’est pas incompatible avec la finalité du transfert;
- qualité des données et proportionnalité;
- information des personnes concernées;
- mesures de sécurité;
- possibilité pour les personnes concernées d’exercer leurs droits d’accès, de rectification et d’opposition;
- restrictions aux transferts ultérieurs des données par le destinataire;
- mécanismes de contrôle et d’application efficaces afin de garantir le respect des principes susmentionnés.
Par ailleurs, une description des détails du transfert, tels que le type de données, les finalités, les délais de conservation, les mesures de sécurité détaillées, les informations à fournir aux personnes concernées et la façon dont elles peuvent exercer leurs droits, doit également être fournie.
Informations complémentaires
La liste suivante, non exhaustive, est une sélection de documents à consulter pour toute information complémentaire:
Documents du CEPD:
- Document d’orientation du CEPD sur les transferts, accompagné des consultations et des avis de contrôle préalable pertinents
- Consultation du CEPD sur l’impact de l’arrêt relatif à la sphère de sécurité sur le transfert de données à caractère personnel effectué par la DG MARE dans le cadre du «306° Feedback leadership Circle» (dossier 2015-0924) (en anglais uniquement)
- Décision du CEPD sur les transferts de données à caractère personnel effectués par l’OLAF par l’intermédiaire de la plateforme de consultation des données d’enquête (dossier 2012-0280) (en anglais uniquement)
- Avis de contrôle préalable relatif au système «Safe Mission Data» du Parlement européen fournissant un soutien aux missions externes en cas d’urgences médicales (2012-0105)
- Lettre du CEPD à l’Agence européenne de la sécurité aérienne au sujet des transferts internationaux (dossier 2010-0614)
- Consultation du CEPD au sujet du transfert de données à caractère personnel à American Express Corporate Travel SA (AMEX) (dossier 2009-0390)
Autres:
- Document de travail du groupe de travail «Article 29» relatif à une interprétation commune des dispositions de l’article 26, paragraphe 1, de la directive 95/46/CE concernant les dérogations
- Page web de la Commission (DG JUST) sur les transferts:
http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm
Au sujet de la sphère de sécurité et du bouclier de protection des données UE-États-Unis:
- Arrêt de la Cour de justice de l’Union européenne du 6 octobre 2015 dans l’affaire C-362/14 (Schrems)
- Communication de la Commission concernant le transfert transatlantique de données à caractère personnel conformément à la directive 95/46/CE faisant suite à l’arrêt de la Cour de justice dans l’affaire C-362/14 (Schrems)
- Déclaration du groupe de travail «Article 29» sur les conséquences de l’arrêt Schrems (en anglais uniquement)
- Bouclier de protection des données UE-États-Unis (site web de la DG JUST) (en anglais uniquement)
- Avis 01-2016 du groupe de travail «Article 29» sur le bouclier de protection des données UE-États-Unis (en anglais uniquement)
- Avis concernant le «Bouclier vie privée UE-États-Unis» (Privacy Shield) Projet de décision d’adéquation
Arbre de décision
Étape nº 1:
Étape nº 2: