Réfé­rence : Moerel, What Hap­pen­ed to the Risk-Based Approach to Data Transfers ?

Lok­ke Moerel a publié sur le blog du Future of Pri­va­cy Forum (FPF) un Con­tri­bu­ti­on à l’appro­che fon­dée sur les ris­ques pour les trans­ferts à l’étran­ger a été publié. Il fait suite à une con­tri­bu­ti­on anté­ri­eu­re de Moerel, Les flux et reflux des trans­ferts de don­nées trans­at­l­an­ti­ques : c’est la géo­po­li­tique, stu­pi­des !.

L’ana­ly­se por­te essen­ti­el­le­ment sur la que­sti­on de savoir si les exi­gen­ces rela­ti­ves au trans­fert de don­nées per­son­nel­les à l’étran­ger doi­vent être pla­cées dans l’ar­tic­le 5 (prin­cipes de trai­te­ment) ou dans l’ar­tic­le 24 du RGPD (obli­ga­ti­ons du responsable du trai­te­ment) – ceci par­ce que l’ar­tic­le 24 du RGPD suit expres­sé­ment une appro­che basée sur les risques.

Dans son ana­ly­se histo­ri­que et gram­ma­ti­cale, Moerel par­vi­ent aux con­clu­si­ons suivantes :

• L’ar­tic­le 24 du RGPD, et donc l’appro­che basée sur les ris­ques, ne déter­mi­ne pas seu­le­ment la que­sti­on de la responsa­bi­li­té et donc de la char­ge de la preuve, mais con­sti­tue éga­le­ment un critère pour les obli­ga­ti­ons du responsable du trai­te­ment lui-même.
• Cela vaut éga­le­ment pour la com­mu­ni­ca­ti­on à l’étran­ger, notam­ment par­ce que l’ar­tic­le 46 du RGPD pré­voit une obli­ga­ti­on pour le responsable du trai­te­ment (“dans la mesu­re où le responsable du trai­te­ment ou le sous-trai­tant a pré­vu des garan­ties appro­priées”), qui est donc sou­mi­se à l’ar­tic­le 24 du RGPD.
• La Cour de justi­ce des Com­mun­au­tés euro­pé­en­nes l’a con­fir­mé dans Schrems II n’a pas été réfu­tée, pas plus que les Recom­man­da­ti­ons de l’ED­SA sur les mesu­res com­plé­men­tai­res.
• En revan­che, l’ar­tic­le 5, para­gra­phe 2, du RGPD ne pré­voit pas d’appro­che basée sur les ris­ques. Cet­te dis­po­si­ti­on ne s’ap­pli­que tou­te­fois qu’aux prin­cipes de trai­te­ment de l’ar­tic­le 5, para­gra­phe 1, du RGPD.