Actualité
3 min de lecture
20 mars 2023
Le Comité européen de la protection des données (CEPD) précise la notion de transfert de données hors de l’Union européenne et le régime applicable en présence d’un tel transfert.

Le 14 février 2023, le Comité européen de la protection des données (CEPD) a publié ses lignes directrices sur l’articulation de l’article 3 du règlement général sur la protection des données (RGPD), relatif à l’application territoriale du RGPD, et du chapitre V de ce même texte sur les flux de données hors de l’Union européenne.

Pour l’essentiel, le CEPD reprend les lignes directrices qu’il avait publiées pour consultation publique le 18 novembre 2021 et qui précisaient la notion de transfert de données et les conséquences juridiques associées à la présence, ou non, d’un tel transfert.

Ainsi, trois critères doivent être réunis pour être en présence d’un transfert de données vers un pays tiers ou une organisation internationale conformément au chapitre V du RGPD :

  • premièrement, le responsable du traitement ou le sous-traitant qui est à l’origine du transfert (« exportateur ») doit être soumis au RGPD pour le traitement en question en vertu des critères établis à l’article 3 de ce texte ;
  • deuxièmement, l’exportateur doit divulguer par transmission ou mettre d’une autre manière les données à caractère personnel utilisées dans le cadre du traitement en question, à la disposition d’un autre responsable du traitement, d’un responsable conjoint ou d’un sous-traitant (« importateur »). Cela sous-entend, d’une part, que la personne concernée ne peut pas être source d’un transfert de données au sens du chapitre V du RGPD et, d’autre part, que deux parties distinctes sont impliquées. Pour qu’il y ait transfert, il faut en effet qu’il y ait un responsable du traitement ou un sous-traitant divulguant les données et un autre responsable du traitement ou sous-traitant recevant les données ou y ayant accès. Comme il l’avait fait dans ses lignes provisoires soumises à consultation publique, le CEPD souligne que des entités qui font partie d’un même groupe de sociétés peuvent être considérées comme des responsables du traitement ou des sous-traitants distincts de sorte que les divulgations de données entre entités appartenant au même groupe peuvent constituer des transferts de données à caractère personnel (point 21) ;
  • troisièmement, l’importateur doit se trouver dans un pays tiers, peu important le fait qu’il soit ou non soumis au RGPD pour le traitement concerné conformément à l’article 3, ou être une organisation internationale.

Si ces trois critères sont remplis, un transfert de données personnelles a lieu et cela impose à l’exportateur de recourir à un outil dédié, choisi dans la liste de ceux proposés par le RGPD. Ainsi, il peut fonder le transfert sur une décision d’adéquation, des clauses contractuelles types, des règles d’entreprise contraignantes (Binding Corporate Rules), des codes de conduite approuvés, des mécanismes de certification, des clauses contractuelles types ad hoc, un accord international ou un arrangement administratif (sur ces bases juridiques, voir l’article 46 du RGPD).

Dans le cas où les trois critères ne seraient pas réunis, aucun transfert ne peut être qualifié. L’exportateur n’a donc pas à utiliser un outil dédié. Il reste néanmoins tenu de respecter les dispositions du RGPD pour les traitements de données qu’il met en œuvre.

Pour terminer, deux points méritent d’être soulignés. Tout d’abord, le CEPD insiste sur les risques liés à un accès aux données par un gouvernement étranger qui pourraient naître en cas de transfert. Il n’exclut pas de revenir sur ce sujet pour préciser les garanties à mettre en œuvre dans ce cas. Ensuite, le CEPD fournit une annexe illustrant les différents cas de transferts de données dans un pays tiers, auquel le responsable du traitement, le responsable conjoint ou le sous-traitant pourront utilement se référer.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica EYNARD, Maître de conférences HDR en droit à l’Université de Toulouse-Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
Aller plus loin
Dalloz IP/IT - Droit de la propriété intellectuelle et du numérique
Une approche pluridisciplinaire de l’actualité IP / IT : propriété littéraire et artistique, propriété industrielle et droit du numérique
348,67 € TTC au lieu de 697,34 € TTC
Dalloz IP/IT - Droit de la propriété intellectuelle et du numérique