Les transmissions de données
Distinction entre les transmissions, les transferts européens et les transferts internationaux de données
Lorsque des données sont transmises à autrui, plusieurs hypothèses doivent être distinguées.
Une communication de données peut être faite à un destinataire. Cette transmission de données peut notamment se faire dans le cadre d’un contrat, comme un contrat d’hébergement de données ou encore un contrat de cession de fichier clients. Elle implique alors le respect de certaines règles, qui peuvent varier suivant la portée de la transmission et qui est mise en œuvre suivant les stipulations contractuelles (cf. chapitre Le(s) responsable(s) et le(s) sous-traitant(s)).
Les transmissions de données peuvent en outre présenter un caractère international ou européen.
Il peut s’agir de transferts de données vers des pays tiers ou à des organisations internationales (RGPD, art. 44 et suivants).
Il peut encore s’agir de « flux transfrontaliers de données » qui résultent de traitements impliquant plusieurs États membres de l’UE (RGPD, art. 4-23).
Lorsque la transmission dépasse le cadre national, des questions particulières de droit international se posent : d’une part, des questions de conflits de lois (détermination de la loi applicable) et, d’autre part, des questions de conflits de juridictions (détermination des juridictions internationalement compétentes). Il est essentiel, pour le responsable de traitement ou le sous-traitant réalisant des traitements de données qui, d’une manière ou d’une autre, présentent un aspect international, de déterminer si le RGPD est applicable ou non.
Le champ d’application territorial du RGPD résulte de deux critères principaux posés à son article 3. Le premier est celui d’activités réalisées dans le cadre d’un d’établissement situé sur le territoire de l’UE, peu importe que ce traitement ait lieu ou non dans l’UE (RGPD, art. 3 § 1). À défaut d’établissement sur le territoire de l’UE, l’établissement du responsable dans un lieu où le droit d’un État...
Transmission de données en France
Un responsable de traitement de données en France transmet des données à un destinataire situé en France. Une telle transmission n’impliquant que la France, l’application du droit français est indiscutable (le droit français incluant notamment le RGPD et la loi du 6 janvier 1978 sur le plan des données à caractère personnel). Une telle transmission peut tout d’abord résulter d’un contrat liant un responsable à un sous-traitant. Par exemple, une entreprise française héberge ses données à caractère personnel chez un hébergeur français, ce qui, du point de vue du règlement, implique une sous-traitance.
Mais elle peut également se faire en France au sein d’un groupe d’entreprises, à des fins administratives internes, ce qui est le cas d’une communication de données relatives à des clients ou à des employés (RGPD, Considérant n° 48).
La transmission de données peut encore résulter d’une simple cession de données à caractère personnel, par exemple de fichiers clients ou encore à l’occasion d’une cession de fonds de commerce en France.
En toute hypothèse, les droits de la personne concernée doivent être respectés, quel...
Traitements transfrontaliers
1. Définition
Le traitement transfrontalier est tout d’abord « un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres » (RGPD, art. 4-23 a).
Constitue par exemple un tel traitement l’hébergement de données clients d’une société française par une société allemande ou encore le traitement de données par un responsable qui a des établissements en France, en Belgique et au Luxembourg.
Un traitement transfrontalier est également un « traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres » (RGPD, art. 4-23 b).
Tel est le cas par exemple d’une société française qui exploite une application logicielle récoltant les données non seulement d’utilisateurs français, mais également d’utilisateurs belges.
2. Particularité de ces traitements
Le règlement conduit à une uniformisation du droit des données à caractère personnel au sein de l’UE. En conséquence, le niveau de protection est équivalent dans les différents États membres, ce qui ne justifie pas l’application de mesures particulières pour les responsables dans les différents États impliqués. Certes, le règlement ne contient pas tout le droit des données à caractère personnel. Mais s’il est complété par des directives et règlements énonçant des règles particulières, ces textes vont aussi dans le sens d’une plus grande harmonisation du droit dans les États membres.
En réalité, c’est le défaut d’harmonisation...
Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales
Une entreprise française aimerait confier la sauvegarde de ses données à caractère personnel à une société située en dehors de l’UE, autrement dit à une société établie dans un pays tiers. Quelles règles faut-il alors appliquer ?
Cette situation diffère de la précédente dès lors que l’un des pays concernés par le transfert n’est pas un État membre de l’UE. Certes, d’un côté, elle conduit à des interrogations similaires, telles que, d’une part, la détermination de la loi applicable et, d’autre part, la détermination des juridictions compétentes pour exercer des recours soit contre une décision d’autorité de contrôle, soit contre un responsable ou un sous-traitant. Mais d’un autre côté, elle soulève des questions supplémentaires.
Alors que le règlement contient peu de dispositions relatives aux opérations transfrontières (soit des opérations intra-UE), de nombreuses dispositions s’appliquent aux transferts de données vers des pays tiers ou des organisations internationales. Cela s’explique par le fait que le droit des données à caractère personnel peut y être beaucoup moins protecteur pour la personne concernée que ne l’est le droit des données à caractère personnel dans l’ensemble de l’UE (du fait de l’uniformisation du droit résultant notamment du RGPD). En ce sens, l’article 44 in fine du RGPD prévoit que les dispositions du règlement sont appliquées « de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis ».
1. Principe général applicable aux transferts
Le principe général énoncé à l’article 44 du RGPD est qu’un transfert vers un pays tiers ou à une organisation internationale de données à caractère personnel qui font, ou sont destinées à faire, l’objet d’un traitement...
Traitement d’un responsable ou sous-traitant de pays tiers vers l’UE
Si une entreprise étrangère veut procéder à un traitement de données à caractère personnel dans l’UE, le règlement est-il applicable ?
Tel est le cas, par exemple, lorsqu’un un responsable de traitement établi au Canada traite les données à caractère personnel d’une personne se trouvant en France dans le cadre d’offre de biens ou de services ou encore lorsqu’un responsable de traitement d’un État tiers suit le comportement de personnes qui se trouvent dans un État membre.
Et si oui, quelles mesures doit-elle prendre pour que ce traitement soit conforme aux prescriptions du droit des données à caractère personnel ?
1. Applicabilité du règlement
En vertu de l’article 3 § 2, le règlement s’applique « aux traitements concernant des personnes qui se trouvent sur le territoire de l’Union effectués par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées », soit à une offre de biens ou de services, soit à un suivi de comportement.
Dans le premier cas, toutes les offres de biens ou de services à des personnes concernées dans l’Union...