Par Haas Avocats
Le 3 décembre 2024, le Contrôleur européen de la protection des données (CEPD) a adopté des lignes directrices relatives aux dispositions de l'article 48 du Règlement européen de protection des données (RGPD)[1]. Ces lignes directrices sont soumises à une consultation publique jusqu’au 27 janvier 2025.
Comment l’article 48 du RGPD encadre les transferts de données internationaux ?
Les lignes directrices ont pour objet de préciser les dispositions de l’article 48 du RGPD ainsi que son interaction avec les autres dispositions du chapitre V du RGPD.
Pour rappel, l'objectif principal de l’article 48 est de préciser que les jugements ou décisions des autorités de pays tiers ne peuvent pas être automatiquement et directement reconnus ou exécutés dans un État membre de l'UE. En règle générale, la reconnaissance et l'exécution des jugements et décisions étrangers sont garanties par les accords internationaux applicables.
Les lignes directrices précisent le champ d’application de l’article 48, ses objectifs, les situations qui lui sont applicables, les conditions permettant de répondre aux demandes de transfert de DCP et ce, à travers des modélisations du process relatif au raisonnement à adopter en cas d’interrogation.
Ces lignes directrices ont également pour objectif de fournir des recommandations pratiques aux responsables du traitement et aux sous-traitants de l'UE qui pourraient recevoir des demandes des autorités de pays tiers de divulguer ou de transférer des données à caractère personnel.
Les décisions d’adéquation révisées offrent-elles une protection des données conforme aux standards du RGPD ?
Le 15 janvier 2024, le CEPD a publié une lettre destinée à la Commission européenne sur la nécessité de procéder à un suivi attentif des conditions d’accès et d'utilisation des DCP par les autorités des pays tiers dans le cadre de futurs réexamens de ses décisions d'adéquation.
La Commission européenne a conclu le réexamen de onze décisions d'adéquation existantes adoptées avant l’entrée en vigueur du RGPD[2]. Elle a constaté que les DCP transférées de l’Union européenne vers Andorre, l'Argentine, le Canada, les îles Féroé, Guernesey, l'île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay continuent de bénéficier de garanties adéquates en matière de protection des données. Ainsi, les transferts de DCP de l'Union vers ces endroits peuvent être effectués sans exigences supplémentaires.
A ce titre, le CEPD se félicite du fait que de nombreux pays et territoires ont renforcé leurs cadres de protection des données.
Pour autant, le CEPD souhaite saisir cette occasion pour inviter la Commission à fournir des informations plus transparentes sur l'évaluation de ces éléments, en droit et en fait, dans le contexte des futures décisions et révisions d'adéquation de l'UE. (ex : indiquer les aspects des lois et pratiques du pays tiers vérifiés et qui sont restés inchangés ou encore quels aspects ont évolué).
Ces recommandations pratiques pour les acteurs de l’UE assurent ainsi une meilleure conformité face aux demandes internationales. Par ailleurs, la lettre adressée à la Commission européenne souligne l’importance d’un suivi rigoureux et transparent lors des réexamens des décisions d’adéquation, garantissant que les pays tiers continuent de respecter des normes élevées de protection des données.
Ces initiatives renforcent la confiance et la sécurité dans le cadre des transferts de données au niveau mondial, tout en garantissant une conformité stricte aux principes du RGPD.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Transferts de données hors de l’UE : deux nouveaux documents du CEPD | CNIL
[2] En vertu de l'article 25, paragraphe 6, de la directive 95/46/CE qui sont restées en vigueur en vertu de l'article 45, paragraphe 9, du RGPD.
