22/12/16

Données personnelles – Episode 6 : Aspects internationaux du règlement

holding privacy settings smartphoneLe 25 mai 2018, tous les organismes publics et privés devront avoir mis en place l’ensemble des moyens techniques et organisationnels prévus par le règlement européen sur la protection des données personnelles.

Dans l’épisode précédent, nous vous présentions l’analyse d’impact relative à la protection des données personnelles et ses conséquences pour les entreprises. Découvrez aujourd’hui le dernier épisode de notre série : Saison 1 épisode 6 : les aspects internationaux.

L’objectif, maintes fois souligné, d’harmonisation des politiques nationales relatives à la protection des données personnelles a pour corollaire la mise en place de mécanismes concrets destinés à conforter l’émergence rapide et efficace d’un « marché unique de la donnée personnelle », notamment pour créer une position forte au bénéfice des acteurs européens face aux GAFA ou autres géants mondiaux du digital.

Dès lors, le législateur européen a suivi une double trajectoire :

  • Simplifier et harmoniser le cadre juridique applicable aux traitements transfrontaliers ;
  • Sécuriser les transferts de données à caractère personnel hors de l’Union européenne (ci-après les « Transferts ») et œuvrer afin de rendre l’application de la législation relative à la protection des données à caractère personnel effective à l’égard des pays tiers et des organisations internationales.

En premier lieu, la simplification s’est concrétisée par une innovation pratique majeure : la création d’un mécanisme d’autorité « chef de file ». Cette autorité permettra aux responsables, coresponsables et sous-traitants concernés de bénéficier d’un interlocuteur unique lorsqu’ils mettront en œuvre des traitements transnationaux.

Conformément à l’article 56.1 du Règlement, l’autorité « chef de file » est celle « de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant ».

Notons toutefois que la compétence résiduelle de l’autorité de contrôle nationale peut, dans certains cas, a priori peu nombreux, trouver à s’appliquer. En effet, l’article 56.2 dudit Règlement prévoit qu’en cas de « réclamation introduite auprès d’elle ou [d’] une éventuelle violation du présent Règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement », l’autorité de contrôle nationale reste compétente.

Enfin, le Règlement prévoit une procédure (dont l’usage nous montrera si elle est complexe) de coopération entre l’autorité « chef de file » et les autres autorités de contrôle concernées par le traitement transfrontalier.

Cette coopération vise à trouver une solution acceptable pour l’ensemble de ces autorités et ainsi harmoniser, sur le long terme, les règles et recommandations de ces différentes entités. A ce titre, soulignons qu’en cas de désaccord persistant entre l’autorité « chef de file » et les autres autorités de contrôle, l’autorité « chef de file » doit soumettre la question à un Comité Européen à la Protection des Données (dans le cadre du contrôle de cohérence visé à l’article 63 du Règlement).

En second lieu, l’harmonisation s’est concrétisée, selon les articles 68 et suivants du Règlement, par la création d’un Comité qui veillera à l’application cohérente dudit Règlement, notamment en publiant des lignes directrices, des recommandations et des bonnes pratiques sur un ensemble de points critiques en ce qui concerne la protection des données à caractère personnel.

En pratique, ce Comité remplacerait l’actuel « Groupe de travail de l’article 29 ».

Le rôle de ce Comité (notamment dans le cadre du contrôle de cohérence visé ci-dessus) sera de garantir aux justiciables une réponse unique, quelle que soit l’autorité de contrôle compétente, et ce, sur l’ensemble du territoire de l’Union européenne.

En troisième lieu, pour les aspects propres aux transferts internationaux, si aucune modification profonde du cadre juridique existant n’est prévue dans le Règlement, certains ajustements sont néanmoins à noter.

Tout d’abord, les données transférées hors de l’Union européenne restent soumises au Règlement pour ledit Transfert, mais également pour tout traitement et transfert ultérieur (article 44 du Règlement).

Ensuite, des clauses contractuelles type pourront être adoptées par une autorité de contrôle et approuvées par la Commission européenne (article 46, 2, d. du Règlement).

Enfin, et c’est un point d’une grande importance pratique, aucune autorisation spécifique de l’autorité de contrôle ne sera nécessaire dès lors que la fourniture de garanties appropriées ont été mises en œuvre par l’entreprise (article 46, 2 du Règlement).

Selon l’article 50 du Règlement, la Commission et les autorités de contrôle devront prendre des mesures appropriées, à l’égard des pays tiers et des organisations internationales, pour notamment :

  • « élaborer des mécanismes de coopération internationale destinés à faciliter l’application effective» du Règlement ;
  • « se prêter mutuellement assistance sur le plan international dans l’application» du Règlement (partage d’informations, entraide lors des enquêtes, etc.) ;
  • « favoriser l’échange et la documentation de la législation et des pratiques en matière de protection des données à caractère personnel».

L’objectif poursuivi est clair. La localisation d’un responsable de traitement à l’étranger ne doit pas empêcher une application efficace de ce texte.

Reste à voir si les pays tiers, et à plus forte raison les organisations internationales, seront prêtes à coopérer.

Nous vous remercions d’avoir suivi notre série sur les données personnelles. Nos avocats sont à votre disposition pour vous accompagner dans l’application de ces nouvelles directives.

Retrouvez ici notre site internet dédié à la protection des données personnelles.

Lire aussi :
Données personnelles – épisode 5 : Analyse d’impact relative à la protection des données : quelles conséquences pour les entreprises ?
Données personnelles, épisode 4 – La publicité des failles de sécurité : vers davantage de transparence en cas de cyberattaque


Mots-clés : ,


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *