Transferts internationaux

Que sont les transferts internationaux ?

En tant que responsables du traitement des données à caractère personnel, les institutions, organes, offices et agences de l'UE (IOAA) sont responsables des transferts de données à caractère personnel qu'ils effectuent et qui sont réalisés en leur nom à l'intérieur et à l'extérieur de l'Espace économique européen (EEE : États membres de l'UE ainsi qu'Islande, Liechtenstein et Norvège). Ces transferts ne peuvent avoir lieu que si l'IOAA concernée les a ordonnés ou autorisés, ou si ces transferts sont requis en vertu du droit de l'Union ou du droit des États membres de l'UE.

Le transfert de données à caractère personnel au-delà de l'EEE peut créer des risques supplémentaires pour les personnes, car le niveau de protection dans le pays tiers ou l'organisation internationale de destination peut être moins élevé. Cela peut avoir une incidence négative sur la capacité des personnes à exercer leurs droits en matière de protection des données, notamment à se protéger contre une utilisation ou une divulgation illicite de leurs données à caractère personnel.

Conformément au règlement (UE) 2018/1725, les transferts de données à caractère personnel des IOAA vers des pays tiers et des organisations internationales ne peuvent avoir lieu que lorsque les conditions énoncées au chapitre V sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs, afin de garantir que le niveau de protection assuré par le règlement n'est pas compromis.

Définition d'un transfert : Le règlement (UE) 2018/1725 ne fournit pas de définition des transferts internationaux. Cependant, le Comité européen de la protection des données (EDPB) a identifié trois critères cumulatifs pour identifier un transfert international que les IOAA peuvent utiliser, comme suit :

Le responsable du traitement ou le sous-traitant impliqué dans le transfert est soumis au droit de l'Union en matière de protection des données pour le traitement concerné ;
Le responsable du traitement ou le sous-traitant met des données à caractère personnel à la disposition d'un autre responsable du traitement ou sous-traitant par voie de divulgation ou de transmission ;
Cet autre responsable du traitement ou sous-traitant se trouve dans un pays situé en dehors de l'EEE ou est une organisation internationale.

En pratique, s'agissant de la deuxième condition, un transfert de données à caractère personnel implique la communication, la transmission, la divulgation ou la mise à disposition de données à caractère personnel à un tiers, effectuée avec la connaissance ou l'intention de l'expéditeur que le ou les destinataires y ont accès. Cela inclut le « transfert délibéré » de données à caractère personnel et l'« accès autorisé » aux données à caractère personnel, mais exclut les cas d'accès survenus dans le contexte d'actions illicites (par exemple, le piratage informatique).

Lorsqu'une IOAA transfère des données en dehors de l'UE/EEE, elle est l'exportateur de données et le destinataire est l'importateur de données. Les transferts sont des opérations de traitement et doivent donc être conformes au droit de l'Union en matière de protection des données.

L'accès à distance depuis un pays tiers à des données à caractère personnel constitue un transfert ; cela implique qu'aucun stockage de données dans ce pays tiers n'est requis. Toutefois, selon l'avis du CEPD, le simple risque (par exemple, une législation nationale autorisant les autorités à accéder aux données dans certaines conditions) que des entités de pays tiers puissent accéder à distance à des données traitées dans l'EEE ne constitue pas encore un transfert soumis au chapitre V du règlement.

Les transferts ultérieurs sont des transferts subséquents de données à caractère personnel effectués par des responsables du traitement, des sous-traitants ou d'autres destinataires dans le pays tiers ou l'organisation internationale vers d'autres responsables du traitement, sous-traitants ou destinataires dans un autre pays tiers ou une autre organisation internationale, ou dans le même pays tiers ou la même organisation internationale. S'agissant des transferts internationaux entre autorités publiques, ce second type de transferts ultérieurs est généralement appelé partage ultérieur de données à caractère personnel.

Il incombe au responsable du traitement du transfert initial de veiller à ce que les transferts ultérieurs garantissent le même niveau de protection que le transfert initial.

Principes généraux

Les transferts de données à caractère personnel doivent être conformes aux dispositions du chapitre V du règlement (UE) 2018/1725, tout en étant soumis aux autres dispositions du règlement et en étant conformes à la finalité initiale du traitement. En particulier, ils doivent respecter les principes consacrés par les articles 4 et 5, ainsi que l'article 10 du règlement (UE) 2018/1725 si le traitement porte sur des catégories particulières de données.

Pour ce faire, un processus en deux étapes doit être suivi :

Premièrement, le traitement des données doit reposer sur une base juridique valide et toutes les obligations pertinentes du règlement (UE) 2018/1725 doivent être respectées ;
Deuxièmement, les dispositions du chapitre V doivent être respectées.

En d'autres termes : les IUE souhaitant transférer des données en dehors de l'EEE doivent veiller à ce que le transfert respecte les principes de loyauté, de licéité, de limitation des finalités (c'est-à-dire que les données doivent être transférées à des fins spécifiques et utilisées ultérieurement uniquement dans la mesure où cela n'est pas incompatible avec la finalité du transfert), de minimisation des données, d'exactitude des données et de conservation des données.

Les personnes doivent être informées de leurs droits et des finalités pour lesquelles leurs informations sont traitées, tant avant le transfert (c'est-à-dire lors de la première collecte des données) qu'au moment du transfert.
Des exceptions peuvent s'appliquer, par exemple dans le contexte d'enquêtes relatives à des infractions pénales. Le report de l'information doit être décidé au cas par cas et les motifs de toute restriction doivent être documentés.
Les personnes doivent également être informées de la manière dont elles peuvent exercer leurs droits.

Obligations des responsables du traitement

Conformément au principe de responsabilité, les responsables du traitement doivent s'assurer, vérifier et démontrer que tout traitement qu'ils effectuent, ou qui est réalisé en leur nom, est effectué en conformité avec le règlement, y compris les dispositions relatives aux transferts de données à caractère personnel.

Les IUE doivent rester maîtresses de la situation et prendre des décisions éclairées lorsqu'elles sélectionnent des sous-traitants et autorisent des transferts de données à caractère personnel en dehors de l'EEE.

Les IUE doivent évaluer soigneusement la nécessité et la proportionnalité de leurs transferts envisagés, y compris une évaluation du niveau de protection dans le pays tiers de destination, afin de justifier l'ingérence implicite dans les droits fondamentaux des personnes à la vie privée et à la protection des données.

Les IUE devraient suivre les lignes directrices et recommandations de l'EDPB sur les transferts en plus de celles du CEPD. Chaque fois que les dispositions du RGPD UE suivent les mêmes principes que les dispositions du RGPD, les deux ensembles de dispositions doivent, selon la jurisprudence de la CJUE, être interprétés de manière homogène, notamment parce que le régime du règlement (UE) 2018/1725 doit être compris comme équivalent au régime du RGPD (tel qu'applicable aux autorités publiques des États membres). Les références aux dispositions du RGPD dans les lignes directrices et recommandations de l'EDPB doivent être lues comme des références aux dispositions correspondantes du RGPD UE.

Évaluation de l'impact du transfert (EIT)

Les IUE, en tant que responsables du traitement, sont responsables et doivent rendre compte du respect du règlement (UE) 2018/1725 tel qu'interprété par la CJUE à travers sa jurisprudence. Avant qu'un transfert ait lieu, l'IUA doit déterminer si, dans le contexte du transfert spécifique, le pays tiers de destination offre aux données transférées un niveau de protection essentiellement équivalent à celui en vigueur dans l'UE/EEE. La meilleure façon d'y parvenir est de réaliser une évaluation de l'impact du transfert (EIT).

Les délégués à la protection des données des IUA peuvent fournir des conseils (par exemple sur l'évaluation du niveau de protection ou sur l'adéquation des mesures supplémentaires identifiées), mais le DPD n'est pas responsable de la réalisation des EIT au nom ou à la place d'autres responsables du traitement au sein de leur IUA.

Lors de la réalisation des EIT, les IUAdevraient se référer aux recommandations 01/2020 de l'EDPB sur les mesures supplémentaires et, en ce qui concerne l'évaluation de l'accès des autorités publiques à des fins de surveillance, aux recommandations 02/2020 de l'EDPB sur les garanties essentielles européennes, toutes deux adoptées par le Comité européen de la protection des données.

Les IUAdevraient également tenir compte des lignes directrices de l'EDPB sur les instruments juridiquement contraignants et les arrangements administratifs pour les transferts entre autorités publiques de l'EEE vers des autorités publiques de pays tiers et vers des organisations internationales.

L'EIT doit couvrir tous les transferts qui ont lieu ou sont envisagés dans le cadre du contrat de les IUA ou dans le cadre d'une autre relation organisée avec les destinataires dans les pays tiers. Les IUA ne peut pas déléguer la responsabilité de l'EIT à son sous-traitant ou destinataire (importateur de données) dans un pays tiers.

L'EIT doit prendre en considération les circonstances spécifiques du transfert (par exemple, les types de données transférées, les finalités pour lesquelles elles sont transférées et traitées dans le pays tiers et la manière dont elles le sont) ainsi que tous les acteurs participant au transfert, tels qu'identifiés dans l'exercice de cartographie du transfert. Elle doit également prendre en compte les transferts ultérieurs envisagés. Cela signifie que l'IUA doit obtenir toutes les informations nécessaires auprès de son sous-traitant ou destinataire dans le pays tiers.

L'IUA doit évaluer si des lois ou pratiques du pays tiers, applicables aux données transférées et/ou à l'importateur de données, compromettent la capacité de l'importateur de données à respecter ses engagements pris dans l'instrument de transfert, compte tenu des circonstances entourant le transfert.

Si l'IUAa identifié que des mesures supplémentaires sont nécessaires, elle doit les mettre en œuvre avant d'effectuer le transfert.

Mécanismes de transfert prévus au chapitre V du règlement (UE) 2018/1725

Le chapitre V du règlement (UE) 2018/1725 prévoit des mécanismes et conditions spécifiques pour les transferts de données à caractère personnel des institutions de l'UE vers un pays tiers ou une organisation internationale. Ces mécanismes et conditions visent à garantir que le niveau de protection des personnes physiques garanti par la législation de l'UE en matière de protection des données n'est pas compromis lorsque leurs données à caractère personnel sont transférées en dehors de l'UE.

La boîte à outils de transfert du règlement comprend trois types d'instruments :

les décisions d'adéquation,
les instruments offrant des garanties appropriées
les dérogations pour des situations spécifiques, telles que pour des motifs importants d'intérêt public.

Aucun transfert ne peut avoir lieu sans être fondé sur l'un des instruments de transfert définis dans le règlement.

Transferts fondés sur des décisions d'adéquation

Les données à caractère personnel peuvent être transférées vers des pays tiers ou des organisations internationales sur la base d'une décision d'adéquation de la Commission et lorsque les données à caractère personnel sont transférées uniquement pour permettre l'exécution de tâches relevant de la compétence du responsable du traitement (c'est-à-dire lIUA).

Un transfert fondé sur une décision d'adéquation ne nécessite aucune autorisation de l'EDPB.

L'IUA qui effectue le transfert et l'importateur de données doivent tous deux mettre en œuvre des mesures pour se conformer aux autres obligations du règlement (UE) 2018/1725.

Il s'agit d'une exigence particulière du règlement (UE) 2018/1725 que les IUA doivent limiter les transferts de données en dehors de l'UE/EEE aux tâches relevant de leur compétence.

La Commission européenne réalise des évaluations d'adéquation des pays tiers et des organisations internationales afin de déterminer si un niveau adéquat de protection des données des personnes est offert.

Plusieurs pays ont été jugés comme garantissant un niveau adéquat de protection :

Andorre,
Argentine,
Brésil
Canada (limité aux organisations commerciales),
Îles Féroé,
Guernesey,
Israël,
Île de Man,
Japon,
Jersey,
Nouvelle-Zélande,
République de Corée,
Suisse,
Royaume-Uni (en vertu du RGPD et de la directive LED),
États-Unis d'Amérique (organisations commerciales participant au cadre UE-États-Unis pour la protection des données à caractère personnel),
Uruguay.
L'Organisation européenne des brevets

À l'exception du Royaume-Uni, ces décisions d'adéquation ne couvrent pas les échanges de données dans le secteur de l'application de la loi, qui sont régis par la directive relative à l'application de la loi (article 36 de la directive (UE) 2016/680).

La Commission européenne publie la liste de ses décisions d'adéquation sur son site web, ainsi que les dernières nouvelles sur les questions d'adéquation. Plus généralement, elle fournit régulièrement des informations sur la dimension internationale de la protection des données qui peuvent être utiles aux IUA lorsqu'elles envisagent des transferts internationaux.

Les IUA sont responsables de surveiller si les décisions d'adéquation pertinentes et applicables à leurs transferts sont toujours en vigueur et ne sont pas en cours de révocation ou d'invalidation. Elles peuvent utiliser à cet effet les informations fournies par la Commission européenne.

Les IUA doivent également informer la Commission et le CEPD des cas où elles estiment qu'un pays tiers ou une organisation internationale ne garantit pas un niveau adéquat de protection.

Les décisions d'adéquation n'empêchent pas les personnes de déposer une plainte. Elles n'empêchent pas non plus le CEPD d'exercer ses pouvoirs en vertu du règlement (UE) 2018/1725.

Transferts fondés sur des garanties appropriées

En l'absence de décision d'adéquation, les données à caractère personnel peuvent néanmoins être transférées si des garanties appropriées sont prévues et à condition que des droits opposables des personnes concernées et des voies de recours effectives soient disponibles.

Ces garanties peuvent être prévues dans des clauses types de protection des données (dites clauses contractuelles types, « CCT ») ou dans un autre instrument de transfert en vertu de l'article 48 du RGPD UE ou, pour les transferts d'un sous-traitant non-IUA vers des sous-traitants ultérieurs, conformément à l'article 46 du RGPD.

L'objectif des instruments énumérés à l'article 48 du RGPD UE ou à l'article 46 du RGPD est de garantir un niveau adéquat (essentiellement équivalent) de protection dans le contexte d'un transfert spécifique, par opposition à une décision d'adéquation, qui est valable pour tout transfert vers ce pays. Afin de garantir ce niveau de protection, l'adoption de mesures complétant les garanties appropriées peut être nécessaire. À la lumière du niveau de protection garanti par les articles 4, 5, 6, 9 et 46 du règlement (UE) 2018/1725, un transfert vers un pays tiers non adéquat ne peut également avoir lieu que lorsque les données à caractère personnel sont transférées uniquement pour permettre l'exécution de tâches relevant de la compétence de l'IUA.

Conformément à l' article 48 du règlement (UE) 2018/1725, des garanties appropriées peuvent être prévues sans autorisation spécifique du Contrôleur européen de la protection des données (CEPD) sur la base de :

instruments juridiquement contraignants et exécutoires conclus avec des autorités publiques ou des organisations internationales. L'EDPB a publié des lignes directrices sur les instruments juridiquement contraignants et les arrangements administratifs en vertu du RGPD, qui établissent une liste de garanties minimales à inclure dans ces instruments. Ces lignes directrices s'appliquent mutatis mutandis aux institutions de l'UE. Conformément à l'article 42 du règlement, le CEPD est consulté sur ces accords internationaux, mais n'a pas besoin de délivrer une autorisation ;
clauses types de protection des données pour les transferts relevant du règlement (UE) 2018/1725 adoptées par la Commission ou par le CEPD ; ou
lorsque le sous-traitant n'est pas une institution ou un organe de l'Union, des règles d'entreprise contraignantes (« BCR »), des codes de conduite ou des mécanismes de certification en vertu des points b), e) et f) de l'article 46, paragraphe 2, du RGPD. Les trois instruments doivent prévoir des engagements contraignants et exécutoires, notamment en ce qui concerne les droits des personnes concernées.

Des garanties appropriées peuvent également être prévues, mais sous réserve de l'autorisation du CEPD, par :

des clauses contractuelles ad hoc avec des entités privées hors UE/EEE entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale. Ces « clauses contractuelles ad hoc » doivent contenir des engagements et des obligations contraignants ainsi que des droits opposables pour l'IUA et les personnes concernées ; ou
des arrangements administratifs non contraignants conclus avec des autorités publiques ou des organisations internationales garantissant des droits opposables aux personnes concernées. L'EDPB a publié des lignes directrices sur les instruments juridiquement contraignants et les arrangements administratifs en vertu du RGPD, qui établissent une liste de garanties minimales à inclure dans ces instruments. Ces lignes directrices s'appliquent mutatis mutandis aux institutions de l'UE ; ou
les transferts préalablement autorisés en vertu de l'article 9, paragraphe 7, du règlement (CE) n° 45/2001.

Le CEPD publie les décisions autorisant l'utilisation de clauses contractuelles ou d'arrangements administratifs par les IUA.

Transferts fondés sur des dérogations pour des situations spécifiques

Le règlement (UE) 2018/1725 prévoit qu'en l'absence de décision d'adéquation ou de garanties appropriées en vertu de l'article 48 dudit règlement, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou une organisation internationale ne peut avoir lieu que si des conditions spécifiques sont remplies.

Les dérogations prévues à l'article 50 du règlement (UE) 2018/1725 sont des exemptions au principe général selon lequel les données à caractère personnel ne peuvent être transférées vers des pays tiers ou des organisations internationales que si un niveau adéquat de protection est prévu dans le pays tiers ou l'organisation internationale, ou si des garanties appropriées ont été fournies et si les personnes concernées disposent de droits opposables et effectifs.

Considérant que l'article 50 du règlement (UE) 2018/1725 doit être interprété conformément à la Charte, les dérogations ne peuvent s'appliquer que dans la stricte mesure du nécessaire et doivent être interprétées de manière restrictive.

Les dérogations doivent également être interprétées de manière restrictive afin que l'exception ne devienne pas la règle. Cela est également étayé par le libellé du titre de l'article 50, qui précise que les dérogations sont destinées à être utilisées pour des situations spécifiques.

Lorsqu'ils envisagent de transférer des données à caractère personnel vers des pays tiers ou des organisations internationales, les exportateurs de données devraient donc privilégier des solutions qui offrent aux personnes concernées la garantie qu'elles continueront à bénéficier des droits fondamentaux et des protections auxquels elles ont droit en ce qui concerne le traitement de leurs données une fois celles-ci transférées.

Ainsi, les IUA souhaitant transférer des données en dehors de l'UE/EEE peuvent — dans des cas limités et spécifiques — se référer à l'une des dérogations énumérées dans le règlement (UE) 2018/1725, à condition qu'aucun autre instrument de transfert ne puisse être utilisé.

Des exemples de dérogations incluent notamment le consentement explicite d'une personne pour le transfert de ses données à caractère personnel, lorsqu'un transfert est nécessaire à la conclusion ou à l'exécution d'un contrat, ou est nécessaire pour des motifs importants d'intérêt public reconnus par le droit de l'Union, ou pour la constatation, l'exercice ou la défense de droits en justice. Voir par exemple l'avis de surveillance du CEPD sur les transferts fondés sur le consentement : Avis de surveillance du CEPD sur l'utilisation du consentement explicite pour les transferts (27 juillet 2021).
Un autre exemple est la dérogation prévue à l'article 50, paragraphe 1, point d), du règlement (UE) 2018/1725, à savoir « lorsque le transfert est nécessaire pour des motifs importants d'intérêt public ». Cette dérogation exige que le transfert de données à caractère personnel soit nécessaire pour des motifs importants d'intérêt public reconnus par le droit de l'Union.

En premier lieu, l'exportateur de données doit identifier et documenter l'existence d'un tel « intérêt public ». Des exemples d'intérêt public peuvent inclure la gestion et le fonctionnement des IUA, ou la sécurité publique ou la santé.

L'intérêt public identifié doit être explicitement « reconnu » dans le « droit de l'Union », qui englobe le droit primaire de l'UE, les principes généraux du droit de l'UE, les accords internationaux reconnaissant un certain objectif ou prévoyant une coopération internationale pour promouvoir cet objectif, le droit dérivé de l'UE et la jurisprudence de la Cour de justice de l'UE. Il peut également englober les règles internes des IUAdans la mesure où elles remplissent les conditions pour être considérées comme relevant du « droit de l'Union » au sens du considérant 23 du règlement (UE) 2018/1725.

Étant donné que toute opération de traitement, telle qu'un transfert, constitue une ingérence dans les droits fondamentaux, les dispositions de l'article 50 du règlement (UE) 2018/1725 doivent être interprétées à la lumière de la Charte, en particulier de son article 52, paragraphe 1. Par conséquent, en second lieu, l'exportateur de données doit évaluer et documenter si le transfert de données à caractère personnel envisagé respecte l'essence des droits et libertés auxquels le transfert porte atteinte, et si le transfert envisagé est conforme aux principes de proportionnalité et de nécessité.

L'évaluation de la nécessité et de la proportionnalité doit être effectuée pour toutes les dérogations prévues à l'article 50, paragraphe 1, à l'exception du consentement.

L'EDPB rappelle que les sous-traitants ne devraient en principe pas s'appuyer sur les dérogations prévues à l'article 49 du RGPD pour transférer des données à caractère personnel au nom des IUA, cette décision relevant du ressort de l'IUA en tant que responsable du traitement. L'article 50 du règlement (UE) 2018/1725 devrait plutôt être invoqué.

L'obligation d'informer le CEPD de certaines catégories de transferts internationaux

Conformément à l'article 48, paragraphe 5, et à l'article 50, paragraphe 6, du règlement (UE) 2018/1725 respectivement, les IUA doivent informer le CEPD des catégories de cas dans lesquels elles effectuent des transferts soumis à des garanties appropriées ou lorsqu'elles font appel à des dérogations pour des situations spécifiques. Les IUA doivent déjà tenir, dans le cadre de leur registre des activités de traitement, des informations sur les transferts de données à caractère personnel vers des pays tiers et des organisations internationales, y compris l'identification du destinataire et la documentation des garanties appropriées, de sorte qu'elles peuvent s'appuyer sur cette obligation pour préparer la notification au CEPD.

Les IUA ont la flexibilité de choisir la fréquence à laquelle elles envoient des notifications sur la base de leur propre évaluation. Toutefois, le CEPD s'attend à recevoir ces informations au moins une fois par an.

Il n'existe pas encore de format standard pour ces notifications au CEPD. Toutefois, le CEPD recommande de veiller à ce que ces notifications contiennent pour chaque cas au moins les informations suivantes :

L'identification du responsable du traitement et le registre des activités de traitement auquel se rapporte le transfert ou l'ensemble de transferts
Le pays tiers ou l'organisation internationale de destination
L'instrument de transfert utilisé, y compris le cas d'utilisation spécifique lors du recours à des dérogations pour des situations spécifiques
Les catégories de données faisant l'objet du transfert, y compris des informations détaillées lorsque des catégories particulières de données à caractère personnel sont concernées
Le nombre de transferts / le nombre de personnes concernées

Conformément à l'article 47, paragraphe 2, les IUA doivent également informer la Commission et le CEPD des cas où elles estiment qu'un pays tiers ou une organisation internationale ne garantit pas un niveau adéquat de protection.

Le CEPD peut utiliser les informations fournies à des fins de surveillance et d'application, ainsi que pour fournir des orientations. À cet égard, le CEPD peut contacter les IUA sur la base des notifications reçues pour demander des informations supplémentaires.

Plus d'informations

La liste non exhaustive suivante est une sélection de documents pour approfondir le sujet :

Documents du CEPD :

Documents du CEPD sur les décisions d'autorisation et les consultations pertinentes sur les transferts

Autres :

Transferts internationaux