EDSA : Gui­de de l’ar­tic­le 48 du RGPD (pro­jet)

Français 
Français  Deutsch  English 

Contenu 

Le Comi­té euro­pé­en de la pro­tec­tion des don­nées (CEPD) a adop­té, en date du 3 décembre 2024, un Pro­jet de con­sul­ta­ti­on des Gui­de­lines 02/2024 on Artic­le 48 GDPR a été publiée. Les com­men­tai­res peu­vent être envoy­és jus­qu’au 27 jan­vier 2025.

L’ar­tic­le 48 du RGPD per­met une Trans­fert de don­nées sur ord­re d’u­ne juri­dic­tion ou d’u­ne auto­ri­té d’un État tiers que sur la base d’un Con­ven­ti­on d’en­trai­de judi­ciai­re ou d’u­ne aut­re convention :

  • Il s’a­git de tou­tes les deman­des offi­ci­el­les (“Offi­ci­al request”) ; la dési­gna­ti­on n’a pas d’im­portance, pas plus que, expres­sé­ment, le fait qu’u­ne non-obser­va­ti­on soit men­acée d’u­ne quel­con­que for­me de sanction.
  • Il s’a­git par exemp­le de deman­des éma­n­ant des auto­ri­tés char­gées de l’ap­pli­ca­ti­on de la loi, des auto­ri­tés fis­ca­les, des auto­ri­tés de sur­veil­lan­ce ou des auto­ri­tés d’immatriculation.

Les lignes direc­tri­ces de l’ED­SA à ce sujet se limi­tent à la trans­mis­si­on par Pri­vé et seu­le­ment ceux qui ont été clas­sés selon Art. 3, al. 1 tom­bent sous le coup du RGPD – les ent­re­pri­ses en Sui­s­se qui ne tom­bent sous le coup du RGPD qu’en rai­son d’u­ne ori­en­ta­ti­on de l’off­re ou d’u­ne obser­va­ti­on du com­porte­ment selon l’art. 3, al. 2, ne sont donc pas adres­sées (mais il n’est pas clair dans quel­le mesu­re la situa­ti­on juri­di­que dev­rait être dif­fé­ren­te pour l’art. 3, al. 2).

En cas de trans­fert vers un pays tiers, c’est le droit natio­nal qui s’ap­pli­que. Test en deux étapesLa trans­mis­si­on doit, pre­miè­re­ment, être con­for­me aux aut­res dis­po­si­ti­ons du RGPD et, deu­xiè­me­ment, aux dis­po­si­ti­ons des artic­les 44 et sui­vants du RGPD.

Dans la pre­miè­re étape, la trans­mis­si­on en exé­cu­ti­on d’un juge­ment ou d’u­ne ordon­nan­ce cor­re­spond­an­te exi­ge une Base juri­di­queL’ar­rêt ou l’or­don­nan­ce n’en sont pas (car le RGPD ne recon­naît géné­ra­le­ment que le droit de l’EEE ou des États mem­bres com­me base juri­di­que). Ent­rent tou­te­fois en ligne de compte

  • l’ac­com­plis­se­ment d’u­ne Obli­ga­ti­on léga­le au sens de l’ar­tic­le 6, para­gra­phe 1, point c), du RGPD, dans la mesu­re où il exi­ste une con­ven­ti­on d’en­trai­de judi­ciai­re ou un aut­re accord appli­ca­ble dans l’É­tat membre con­cer­né et exi­geant la communication ;
  • l’ac­com­plis­se­ment d’u­ne mis­si­on publi­que au sens de la let. e, lorsque l’ac­cord n’e­xi­ge pas la com­mu­ni­ca­ti­on mais l’au­to­ri­se – un point de vue peut-être un peu tiré par les cheveux ;
  • inté­rêts légiti­mes ent­rent éga­le­ment en ligne de comp­te (let. f), pour autant que la pesée des inté­rêts soit en faveur de la com­mu­ni­ca­ti­on. On peut tou­te­fois s’at­tendre à ce que l’ED­SA se mont­re sévè­re à cet égard :

    26. […] un opé­ra­teur pri­vé, agis­sant en tant que con­trô­leur, ne peut pas se fon­der sur l’ar­tic­le 6(1)(f) pour la coll­ec­te et le trai­te­ment des don­nées à carac­tère per­son­nel. le stocka­ge de don­nées per­son­nel­les de maniè­re pré­ven­ti­ve afin de pou­voir par­ta­ger de tel­les infor­ma­ti­ons, sur deman­de, avec les auto­ri­tés d’ap­pli­ca­ti­on de la loi afin de pré­ve­nir, de détec­ter et de pour­suiv­re des infrac­tions péna­les, lorsque de tel­les acti­vi­tés de trai­te­ment sont sans rap­port avec ses pro­pres acti­vi­tés (éco­no­mi­ques et com­mer­cia­les) réel­les. En out­re, le CEPD a, en ce qui con­cer­ne une situa­ti­on spé­ci­fi­que, pré­cé­dem­ment esti­mé que les inté­rêts ou les droits et liber­tés fon­da­men­taux du sujet des don­nées dans ces cir­con­stances par­ti­cu­liè­res serai­ent pri­mer l’in­té­rêt du con­trô­leur à se con­for­mer à la deman­de d’u­ne auto­ri­té d’ap­pli­ca­ti­on de la loi d’un pays tiers afin d’é­vi­ter des sanc­tions pour non-conformité.

En revan­che, l’exé­cu­ti­on d’un cont­rat (artic­le 6, para­gra­phe 1, point b), du RGPD) et, uni­quement dans des cas excep­ti­on­nels, la pro­tec­tion d’in­té­rêts vitaux (artic­le 6, para­gra­phe 1, point d), du RGPD) n’ent­rent guè­re en ligne de compte.

Deu­xiè­me­ment, les con­di­ti­ons des artic­les 44 et sui­vants doi­vent être respec­tées. RGPD, et l’ar­tic­le 48 ne con­sti­tue pas un motif d’au­to­ri­sa­ti­on. En revan­che, l’ar­tic­le 46, para­gra­phe 2, point a), du RGPD, un “docu­ment juri­di­quement con­traignant et exé­cu­toire ent­re les auto­ri­tés ou les orga­nis­mes publics”, par exemp­le un “accord de coopé­ra­ti­on”, peut ent­rer en ligne de comp­te. Accord au sens de l’ar­tic­le 48 du RGPD, tout en respec­tant les garan­ties mini­ma­les déter­mi­nées par l’ED­SA. En leur absence, l’ac­cord peut four­nir la base juri­di­que visée à l’ar­tic­le 6, mais l’AESD esti­me qu’u­ne aut­re base est néces­saire aux fins des artic­les 44 et suivants.

L’EDSA illu­stre la pro­cé­du­re com­me suit :