Lorsqu’il est question de protection des données et de la vie privée, le Règlement général sur la protection des données (RGPD) constitue un cadre réglementaire vital pour les entreprises opérant dans l’Union européenne. Parmi ses nombreuses dispositions, l’article 49 aborde spécifiquement le sujet des dérogations en matière de transferts internationaux de données à caractère personnel. Dans cet article, nous examinons les principales conditions permettant ces dérogations, ainsi que leur encadrement.
Transferts internationaux dans le RGPD
La libre circulation des données à caractère personnel est un élément essentiel du fonctionnement du marché unique européen. Toutefois, le législateur a reconnu que cette circulation pouvait poser des risques pour la protection des données et la vie privée des citoyens européens. Ainsi, le RGPD établit des règles strictes concernant les transferts de données à caractère personnel vers des pays situés en dehors de l’UE.
En principe, le RGPD exige que les transferts de données à un État tiers ou à une organisation internationale ne puissent avoir lieu que si certaines garanties appropriées sont en place. Ces garanties peuvent être juridiques, techniques ou organisationnelles, et doivent notamment assurer un niveau de protection adéquat des données conformément au RGPD.
Garanties appropriées
Parmi les garanties appropriées prévues par le RGPD figurent :
- Les clauses contractuelles types adoptées par la Commission européenne
- Les règles d’entreprise contraignantes pour les transferts internes de données entre différentes entités au sein du même groupe d’entreprises
- L’adhésion à des cadres juridiquement contraignants et un mécanisme d’application, tels que le bouclier de protection des données UE-États-Unis (Privacy Shield)
- L’accord sur la protection des données entre l’UE et un État tiers ayant été reconnu comme assurant un niveau de protection adéquat par une décision d’adéquation de la Commission européenne.
Dérogations à l’article 49
Cependant, dans certaines situations exceptionnelles, il peut ne pas être possible de mettre en place des garanties appropriées pour les transferts de données. C’est là qu’intervient l’article 49 RGPD, qui prévoit plusieurs dérogations permettant de justifier ces transferts même en l’absence de garanties appropriées. Voici les principales dérogations énoncées dans cet article :
- Le consentement explicite de la personne concernée, après avoir été informée des risques possibles liés au transfert;
- La nécessité du transfert pour l’exécution d’un contrat entre la personne concernée et le responsable du traitement, ou pour prendre des mesures précontractuelles à la demande de celle-ci;
- La nécessité du transfert pour la conclusion ou l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale;
- La nécessité de protéger un intérêt vital de la personne concernée lorsque celle-ci ne peut donner son consentement;
- Le transfert est nécessaire à partir d’un registre public;
- Lorsqu’aucune autre dérogation n’est applicable, le responsable du traitement doit prouver que le transfert est nécessaire aux fins de ses intérêts légitimes et informer l’autorité de contrôle et la personne concernée.
Conditions supplémentaires pour les dérogations
Il convient toutefois de préciser que ces dérogations prévues par l’article 49 RGPD doivent être mises en œuvre avec prudence et uniquement comme dernier recours. Elles sont soumises à des conditions supplémentaires :
- Les dérogations ne peuvent s’appliquer qu’en cas « d’absence de garanties appropriées » et, si ces garanties peuvent être mises en place, elles doivent l’être;
- Les transferts de données fondés sur une dérogation doivent rester limités et ponctuels. Les transferts réguliers ou massifs de données ne sont pas couverts par ces dérogations;
- La responsabilité de déterminer si une dérogation est applicable et respecte les conditions énoncées incombe au responsable du traitement des données. Celui-ci doit évaluer chaque situation au cas par cas et documenter sa décision.
Obligations en matière d’encadrement des transferts internationaux
Tous les responsables de traitement et sous-traitants qui envisagent de recourir à l’une des dérogations établies par l’article 49 RGPD doivent prendre des mesures pour s’assurer qu’ils respectent leurs obligations légales et protègent les droits et libertés des personnes concernées. Parmi ces obligations figurent :
- Effectuer une analyse des risques liés au transfert international, notamment en tenant compte du cadre réglementaire et des pratiques en matière de protection des données dans l’État destinataire;
- Informer la personne concernée de manière claire et transparente sur les conditions spécifiques du transfert, y compris sur les risques encourus et les garanties mises en place lorsque cela est possible;
- Si nécessaire, consulter et informer l’autorité compétente en matière de protection des données avant le transfert et lui fournir toute documentation pertinente;
- Mettre à jour leur politique de confidentialité et les mentions d’information aux utilisateurs pour indiquer clairement les situations dans lesquelles des transferts internationaux peuvent avoir lieu en vertu de l’article 49.
En définitive, conformément au principe de responsabilisation prévu par le RGPD, il appartient aux entreprises et organisations de justifier et prouver leur conformité avec les règles relatives aux transferts internationaux, y compris en ce qui concerne les dérogations et les garanties appropriées. Les responsables du traitement et les sous-traitants doivent donc être prêts à démontrer leur conformité en cas de demande ou d’enquête de la part des autorités de contrôle ou des personnes concernées.