En l’absence de décision d’adéquation, de CCT ou de BCR, comment rendre légal un transfert de données hors UE? Quelles sont les conditions pour se baser sur le consentement ou l’exécution du contrat?
Il existe ainsi plusieurs outils listés par le Règlement (UE 2016/679) Général sur la Protection des Données (RGPD), qui permettent d’encadrer et donc de rendre licite un transfert de données personnelles en dehors de l’Union européenne :
- La décision d’adéquation (article 45 du RGPD) : il s’agit d’une décision prise par la Commission Européenne sur la base d’un examen global de la législation en vigueur dans un Etat. En l’absence de décision d’adéquation, des « garanties appropriées » peuvent être adoptées.
- Les « garanties appropriées » sont détaillées à l’article 46 du RGPD : il s’agit principalement des BCR, des CCT, des codes de conduites et des certifications. Ces « garanties » peuvent n’être mis en place pour un transfert qu’à « la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. » (article 46 (1) RGPD).
Par exception, en l’absence de ces outils, le transfert des données personnelles hors Union européenne peut avoir lieu dans le cadre des situations suivantes listées à l’article 49 du RGPD :
- La personne concernée a donné son consentement explicite après avoir été informée des risques ;
- le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable de traitement ou à la mise en œuvre de mesures précontractuelles ;
- le transfert est nécessaire à la conclusion d’un contrat ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le RT et une autre personne ;
- le transfert est nécessaire pour des motifs importants d’intérêt public ;
- le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ;
- le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement ;
- (…)
L’intérêt légitime du responsable de traitement ne peut fonder le transfert que si cet intérêt légitime est impérieux (et sur lequel ne prévalent pas les intérêts ou les droits et libertés de la personne concernée), sous réserve d’informer l’autorité de contrôle, et seulement si :
- ce transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées,
- le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel,
- le responsable de traitement a informé la personne.
Selon le Comité Européen de la Protection des Données (CEPD, anciennement G29) [2], « Les dérogations visées à l’article 49 sont donc des exemptions du principe général selon lequel des données à caractère personnel ne peuvent être transférées vers des pays tiers que si un niveau de protection adéquat est offert dans le pays tiers ou si des garanties appropriées ont été apportées et si les personnes concernées bénéficient de droits opposables et effectifs afin de continuer à bénéficier de leurs droits fondamentaux et garanties » . De ce fait et conformément aux principes de droit inhérents à l’ordre juridique européen, les dérogations doivent être interprétées de manière restrictive afin que l’exception ne devienne pas la règle. L’intitulé de l’article 49, qui indique que les dérogations doivent être utilisées pour les situations particulières («Dérogations pour des situations particulières»), va aussi dans ce sens.
Focus sur les exceptions relatives au consentement et à l’exécution d’un contrat
Le considérant 111 du RGPD opère une distinction entre les dérogations, en indiquant expressément que les dérogations liées à un «contrat» et à une «action en justice» [article 49, paragraphe 1, premier alinéa, points b), c) et e)] sont limitées aux transferts «occasionnels», tandis que cette limitation n’existe pas pour les dérogations relatives au «consentement explicite», aux «motifs importants d’intérêt public», aux «intérêts vitaux» et au «registre» en application de l’article 49, paragraphe 1, premier alinéa, respectivement points a), d), f) et g).
Mais selon le CEPD, même les dérogations qui ne sont pas expressément limitées aux transferts «occasionnels» ou «non répétitifs» doivent être interprétées de manière à ne pas contredire la nature même des dérogations, qui sont des exceptions à la règle qui veut que les données à caractère personnel ne peuvent être transférées vers un pays tiers à moins que ce pays offre un niveau adéquat de protection des données ou que des garanties appropriées soient mises en place.
Aussi, même si les transferts peuvent être basés sur le consentement, ces transferts peuvent être « plus qu’occasionnels », ils peuvent être répétitifs, mais ne doivent tout-de-même pas être quotidiens ou très réguliers. Le CEPD précise que le RGPD fixe « un seuil élevé » pour le recours à la dérogation relative au consentement.
Par ailleurs, le consentement devra être explicite, spécifique, libre, éclairé et conservé.
Quant au transfert fondé sur l’exécution d’un contrat, il doit être occasionnel et non répétitif, mais aussi nécessaire :
Selon le CEPD, les termes « occasionnels et non répétitifs » indiquent que les transferts peuvent avoir lieu plus d’une fois, mais pas régulièrement, « et ce en dehors du déroulement normal des opérations, par exemple dans des circonstances aléatoires ou inconnues et à des intervalles arbitraires ».
Ainsi dans ses lignes directrices, le CEPD donne à titre d’exemple : « Un transfert sera par exemple généralement considéré comme non occasionnel ou répétitif lorsque l’importateur de données dispose d’un accès direct à une base de données (par exemple au moyen d’une interface vers une application informatique) de manière générale. »
Le transfert doit également être « nécessaire » : conformément à l’avis du CEPD, le terme « nécessaire » indique que le transfert de données doit avoir un lien étroit avec les finalités du contrat. A titre d’exemple il indique que : « Le transfert par les agents de voyage de données à caractère personnel concernant leurs différents clients à des hôtels ou à d’autres partenaires commerciaux auxquels il est fait appel dans le cadre de l’organisation du séjour de ces clients à l’étranger peut être jugé nécessaire aux fins du contrat conclu par l’agent de voyage et le client car, dans ce cas, il existe un lien suffisamment étroit et important entre le transfert de données et la finalité du contrat (l’organisation du voyage du client). »
Les dispositions de l’article 49 du RGPD viennent encadrer les exceptions au transfert des données personnelles hors Union européenne. Néanmoins, même si ces exceptions existent, le texte du RGPD ainsi que le CEPD mettent en exergue le fait que, l’exception ne doit pas devenir la règle.
[1] Article 46 (1) du RGPD.
[2]Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE) 2016/679 adoptées le 25 mai 2018. https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_fr.pdf