Do not follow this hidden link or you will be blocked from this website !

Règlement Général de Protection des Données : L’encadrement juridique des transferts des données personnelles

Wednesday 20 April 2016 CIL Consulting Visit source website

Depuis l’entrée en vigueur de la directive 95/46, les flux de données ont connu une croissance exponentielle. L’encadrement des transferts de données hors UE fait l’objet de l’article 26(2) de la directive dont l’interprétation a été fortement influencé par les prises de position du G29 et par les décisions des autorités de protection des données.

Par conséquent, dans les faits, l’entrée en vigueur du Règlement ne devrait pas bouleverser les règles du jeu, les « règles » de « droit mou » et de « droit dérivé » du Groupe de travail de l’article 29 devenant désormais le droit dur par son inscription dans le droit primaire de l’Union européenne.

Dès l’adoption du Règlement, le droit primaire comprendra donc les cadres juridiques suivants :

  • Les Clauses contractuelles types adoptées par la Commission (ci-après nommé « CCT ») ou par une autorité de contrôle.
  • Les Binding Corporate Rules (ci-après nommé « BCR »),
  • Les Codes de conduites conjointement avec les engagements contractuels du responsable de traitement ou du sous-traitant dans le pays tiers afin d’assurer les garanties applicables et les droits des personnes concernées ;
  • Un mécanisme de certification conformément à l’article 42 conjointement avec des engagements contractuels du responsable de traitement ou du sous-traitant dans le pays tiers afin d’assurer les garanties applicables et les droits des personnes concernées[1].

Les Clauses contractuelles types

Comme la directive 95/46, le Règlement prévoit de la même façon la possibilité pour la Commission européenne de créer des clauses contractuelles types afin d’encadrer les transferts de données vers les états tiers hors de l’Union européenne et n’ayant pas un niveau de protection adéquat. Néanmoins, il convient de noter quelques évolutions :

  • Les autorités de contrôle pourront aussi émettre des clauses types qui seront ensuite soumises à la Commission et à son comité de comitologie pour approbation[2];
  • Le paragraphe 6 indique que ces clauses sont basées « entièrement ou partiellement » sur les Clauses contractuelles types de la Commission[3]; cette formulation laisse à penser que les Clauses types sont cependant « fortement recommandé ».
  • Le champ d’application maternae des clauses contractuelles types est essentiellement abordé dans la section relative aux sous-traitants. Cela vient renforcer la nécessité d’encadrer les relations contractuelles entre le responsable de traitement et ses sous-traitants établis dans un pays tiers[4].

Les Binding Corporate Rules

Contrairement aux clauses contractuelles types, aucune décision de la Commission ne mentionnait jusque-là les BCR[5]. Désormais le Règlement donne une définition des BCR et l’article 47 consacre la légitimité juridique de cet outil en l’inscrivant en droit primaire. Il consacre par ailleurs quelques nouveautés :

  • Il faudra tenir « le plus grand compte » de l’avis du Comité européen de la protection des données.
  • Le périmètre des BCR est étendu aux sous-traitants,
  • et aux entreprises engagées dans une activité économique conjointe[6].

Sur ce dernier point, un certain nombre de questions restent en suspens : Que faut-il entendre par « entreprises engagées dans une activité économique conjointe » ? s’agit-il d’un groupement temporaire d’entreprises conjointes[7] ou bien appartenant à une même structure juridique ?

Les codes de conduite et le mécanisme de certification

Les mécanismes de certification et les codes de conduites peuvent être utilisés par les entreprises pour prouver la conformité des traitements. Dans le cadre des transferts, ils sont un moyen de vérificationex-ante de la légalité des transferts effectués au sein d’une entreprise ou d’un groupe[8].

Codes de conduite

Bien que l’article 27 de la directive 95/46 prévoit que les États membres et la Commission encouragent l’élaboration de codes de conduite, ce mécanisme a été peu utilisé[9]. L’article 40 du Règlement va plus loin en étendant son champ d’application aux traitements transfrontaliers[10]. Ces codes devraient être utiles à l’encadrement juridique des transferts dans certains secteurs règlementés à l’instar du secteur bancaire, par exemple, pour les traitements de KYC ou de déclarations suspectes intra-groupe.

Mécanismes de certification

En droit français, la CNIL a déjà le pouvoir de délivrer des labels pour les formations, les procédures d’audit et les coffre-fort. Le Règlement permet de transférer les données vers un Etat tiers sur la base d’un mécanisme de certification par des organisations professionnelles et par les autorités nationales. Il n’est donc pas exclu que soit créé un label « transferts » permettant de garantir un haut niveau de protection des données des personnes, quelle que soit leur localisation dans le monde.

On suivra de près l’évolution de la coexistence de ces nouveaux instruments juridiques (codes de conduite et certification) avec les BCR et les CCT.

[1] Article 46

[2] Article 46, para 2(d).

[3]  En plus, la pratique concernant les formalités nous démontre qu’il est préférable que les clauses contractuelles soient rédigées verbatim dans les contrats. Dans le cas échéant, chaque modification même minime doit être motivée dans un rapport.

[4] Considérant 168, considérant 81, et Article 28, para 3. Il est important de noter, cependant, que l’article 46, para 3, sous (a) est le seul endroit où on voit un cas d’utilisation des clauses contractuelles types entre deux responsables de traitement.

[5] Les BCR ont été consacrés par l’extension de l’article 26(2) de la directive 95/46 sur les clauses contractuelles entre entreprises à un Groupe d’entreprises dans le document de travail 75 du G29 en 2003.

[6] Le règlement cite « un groupe d’entreprises engagées dans une activité économique conjointe » comme un exemple d’alternative à un groupe d’entreprises dans l’article 47 relatif aux BCR. Il faut soulever le fait que cette notion n’est pas uniquement une autre façon de définir un groupe d’entreprises mais plutôt un moyen de dégager la notion de « contrôle » de l’appréciation de la forme du groupe. C’est un élargissement qui n’a été cité qu’une seule fois dans le document du travail 74 du G29 en 2003 et qui n’a jamais été repris dans les neuf suivants documents de référence.

[7] http://kiosque.bercy.gouv.fr/alyas/userfiles/files/GME.pdf

[8] Article 46, 2 sous e) et f)

[9] Il n’existe qu’un seul code de conduite approuvé par la CNIL qui s’agit d’un code pour la marketing direct, Délibération n°2005-51 du 30 mars 2005

[10] Article 40, para 7.