Lignes directrices du CEPD sur l'article 48 RGPD

Les lignes directrices du CEPD sur l’article 48 du RGPD

Introduction

Le Comité Européen de la Protection des Données (CEPD) a récemment adopté des lignes directrices pour clarifier les dispositions de l’article 48 du Règlement Général sur la Protection des Données (RGPD). Cet article traite des décisions de pays tiers ordonnant des transferts de données personnelles. Selon l’article 48, une décision judiciaire ou administrative d’un pays tiers ne peut être reconnue ou rendue exécutoire par les États membres de l’UE que si elle est fondée sur un accord international.

Un champ d’application large

Le CEPD souligne que l’article 48 couvre toute décision émanant d’une autorité publique d’un pays tiers, comme un régulateur bancaire ou une autorité fiscale. Peu importe que l’organisme destinataire soit responsable du traitement ou sous-traitant. Cependant, cet article ne s’applique pas si l’organisme n’est pas le destinataire direct de la requête, par exemple, une filiale dans l’UE transférant des données à une société mère dans un pays tiers.

Le CEPD rappelle que tout transfert de données en réponse à une requête d’une autorité d’un pays tiers constitue un transfert de données hors UE, qui doit reposer sur une base légale et être conforme aux exigences du RGPD en matière de transferts de données hors UE/EEE.

Quelle base légale ?

Concernant la base légale :

Si un accord international existe et oblige l’organisme à répondre à la requête, la base légale peut être l’obligation légale. Si aucun accord international n’existe, ou si l’accord n’impose pas d’obligation légale, l’organisme doit se baser sur d’autres bases légales du RGPD, comme l’exécution d’une mission d’intérêt public ou la sauvegarde des intérêts vitaux de la personne concernée.

Quelles garanties appropriées pour le transfert de données personnelles hors UE/EEE ?

L’article 46 du RGPD prévoit qu’un « instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics » peut fournir les « garanties appropriées » pour assurer la conformité du transfert de données personnelles hors UE/EEE.

Si la requête étrangère s’appuie sur un accord international, ce dernier peut fournir les garanties appropriées, sous réserve d’inclure les stipulations requises par le CEPD, telles que :

- Permettre aux personnes concernées d’exercer leurs droits de manière effective.

- Restreindre les transferts de données subséquents.

- Accorder une protection supplémentaire aux données sensibles.

- Offrir un moyen de règlement des conflits indépendant.

Si aucun accord international n’existe, ou si l’accord n’inclut pas ces stipulations, l’organisme devra mobiliser une autre garantie appropriée pour rendre le transfert conforme au RGPD, ou s’appuyer sur l’une des exceptions de l’article 49 du RGPD.

Synthèse

En synthèse, si un organisme soumis au RGPD reçoit une demande de communication de données personnelles d’une autorité publique d’un pays tiers, il doit s’assurer que le transfert repose sur une base légale et s’appuie sur des garanties appropriées, ce qui est le cas si les conditions suivantes sont remplies :

- La demande de communication s’appuie sur un accord international.

- L’accord international oblige l’organisme à communiquer les données.

- L’accord international comprend l’ensemble des stipulations requises par le CEPD.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Vérifiez l’existence d’accords internationaux pertinents pour les transferts de données.

- Assurez-vous que les accords incluent les stipulations requises par le CEPD.

- Évaluez les bases légales disponibles pour chaque transfert de données.

- Mettez en place des garanties appropriées pour les transferts de données hors UE.

- Formez votre équipe sur les nouvelles lignes directrices du CEPD.