- L’EDSA souligne que même pour les destinataires soumis au RGPD, les transferts vers des pays tiers doivent être sécurisés, notamment contre les règles d’accès des autorités.
- “Communication à un pays tiers” se produit lorsqu’un responsable du traitement / sous-traitant du RGPD transmet des données à un importateur dans un pays tiers, à l’exception des opérations internes.
- Pour les importateurs qui sont soumis au règlement selon l’art.3, al.2 du RGPD, des CCS adaptés doivent être développés ; en attendant, les CCS existants sont utilisés provisoirement.
Le Comité européen de la protection des données (CEPD) a publié pour consultation publique un projet de lignes directrices sur la relation entre l’article 3 du RGPD (champ d’application territorial) et le chapitre V du RGPD (transferts à l’étranger) :
L’EDSA rappelle d’emblée qu’un transfert vers un pays tiers doit être assurée même si le destinataire est lui-même soumis au RGPD (selon l’article 3, paragraphe 2), car même dans ce cas, le droit local peut contrecarrer les effets du RGPD, par exemple les dispositions relatives à l’accès par les autorités (le fameux Lawful Access). L’article 3 du RGPD et les restrictions à la communication dans des pays tiers jouent donc un rôle ensemble.
Tout d’abord, l’EDSA détermine le Notion de divulgation vers un pays tiers. C’est le cas lorsqu’un responsable du traitement ou un sous-traitant est soumis au RGPD, qu’il communique des données personnelles à un importateur et que ce destinataire se trouve dans un pays tiers, que celui-ci soit ou non soumis au RGPD :
- Le site L’exportateur est soumis au RGPD: Cela peut être le cas même si l’exportateur n’est pas établi dans l’UE, mais qu’il est soumis au RGPD en vertu de l’article 3, paragraphe 2. Une entreprise suisse qui distribue par exemple des prestations B2C sur le marché de l’UE est couverte en conséquence.
- Les données sont annoncéCela peut se faire par une transmission, mais aussi par une mise à disposition. Le fait que l’importateur soit un autre responsable (commun ou non) ou un sous-traitant ne joue aucun rôle. La restitution de données par le sous-traitant de l’EEE au responsable du traitement dans le pays tiers est donc également couverte, tout comme la communication par le sous-traitant à un sous-traitant ultérieur. Toutefois, la communication au sein de la même personne morale n’est expressément pas couverte.:
-
Par conséquent, si l’expéditeur et le destinataire ne sont pas des contrôleurs/processeurs différents, la divulgation de données à caractère personnel ne devrait pas être considérée comme un transfert au titre du chapitre V du RGPD – puisque les données sont traitées au sein du même contrôleur/processeur. Dans ce contexte, il convient de garder à l’esprit que les contrôleurs et les processeurs sont néanmoins tenus de mettre en œuvre des mesures techniques et organisationnelles, en tenant compte des risques liés à leurs activités de traitement, conformément à l’article 32 du GDPR.
- Cela doit également s’appliquer au home office en dehors de l’EEE, mais aussi, par exemple, lorsqu’un exportateur de l’EEE transmet des données à un collaborateur d’un importateur de l’EEE se trouvant en dehors de l’EEE.
- L’importateur se trouve dans un pays tiersCela suppose sans doute un Siège dans un pays tiers (l’EDSA dit seulement que l’importateur “est” dans le pays tiers). Ce qui n’est pas clair, c’est ce qui s’applique à une succursale dans un pays tiers. On peut sans doute supposer ici que la même logique que pour le collaborateur s’applique : si la succursale n’est pas une entité juridique distincte, elle fait partie du responsable du traitement ou du sous-traitant, raison pour laquelle il ne peut y avoir de communication (ce qui ne signifie pas que les CSC n’entrent pas en ligne de compte ici comme un règlement au sens d’une mesure de sécurité organisationnelle).
On attendait avec impatience des déclarations sur l’importance de la CCN lorsque l’exportateur dans le pays tiers, en ce qui concerne le traitement des données reçues est soumis au RGPD. Ici, l’EDSA ne dit pas grand-chose. Mais dans ce cas, il faut des exigences plus faibles en matière de SCC s’appliquent :
De même, pour un transfert de données personnelles à un contrôleur dans un pays tiers moins de protection/garde-fous sont nécessaires si ce contrôleur est déjà soumis au GDPR pour le traitement donné. Par conséquent lors du développement d’outils de transfert pertinents (qui ne sont actuellement disponibles qu’en théorie), c’est-à-dire les clauses contractuelles standard ou les clauses contractuelles ad hoc, la situation de l’article 3(2) devrait être prise en compte afin de ne pas faire double emploi avec les obligations du GDPR […].
Dans un tel cas, les clauses utilisées ne doivent pas établir la protection du RGPD, mais protéger contre les dispositions contraires du droit local. En conséquence, il s’agit avant tout de traiter de telles dispositions, vaguement dans le sens des articles 14 et 15 de la nouvelle CSC.
Des CCC adaptés à cette situation n’existent pas encore, mais seraient en cours d’élaboration. L’EDSA tend la main à la Commission européenne sur ce point, après qu’elle a SCC actuel est connu pour considérer que les SCC ne sont pas appropriésLes données personnelles sont traitées conformément à l’art. 3, al. 2, du RGPD lorsque le destinataire est soumis au RGPD :
L’EDPB encourage et se tient prête à coopérer au développement d’un outil de transfert, tel qu’un nouvel ensemble de clauses contractuelles standard, dans les cas où l’importateur est soumis au RGPD pour le traitement donné conformément à l’article 3(2).
Jusqu’à ce que de nouveaux CCP soient disponibles, la pratique utilise – faute de mieux – les CCP actuels, même si le destinataire est soumis au RGPD pour les données concernées. Il n’est pas non plus évident de voir dans quelle mesure les personnes concernées seraient exposées à des risques plus élevés du fait d’une telle procédure.