Transférer des données à caractère personnel vers des pays hors de l’UE/EEE ou vers des organisations internationales peut entrainer des risques supplémentaires. Il peut en effet arriver que ces destinataires ne soient pas soumis à des règles relatives à la protection des données (ou à des règles qui ne correspondent pas aux normes européennes). Pour cette raison, le chapitre V du Règlement (UE) 2018/1725 contient des règles spécifiques pour de tels transferts.
Le Contrôleur Européen de la Protection des Données (CEPD) a expliqué les différentes possibilités pour obtenir des garanties pour ce genre de transfert dans un document d'orientation concernant le transfert de données à caractère personnel vers des pays tiers ou vers des organisations internationales par les institutions et organes de l’Union européenne. Même si ce document se fonde encore sur l'ancien Règlement (CE) 45/2001 ; l'architecture générale reste la même. L'option préférée sont des transferts vers des destinataires soumis à des règles offrant un niveau de protection adéquat. Des transferts garantis par des clauses contractuelles standardisées ou fondées sur un accord international incluant des garanties appropriées sont une seconde option. Ces transferts n'ont pas besoin d'une autorisation spécifique par le CEPD.
Une autre possibilité pour obtenir des garanties sont ce que l’on appelle « les clauses contractuelles 'ad hoc’ » entre l'institution européenne, l'organe ou l'agence transférant des données et le destinataire de ces données. Il est également possible de recourir à des dispositions administratives entre les autorités publiques ou les organismes publics afin de prévoir des droits opposables et effectifs pour les personnes concernées. Si les institutions européennes, organes ou agences souhaitent utiliser l'une ou l'autre de ces possibilités, ils doivent préalablement obtenir une autorisation du CEPD (cf. Articles 48(3), 58(3)(e) et (f) du Règlement (UE) 2018/1725).
Toutefois, des dérogations pour des situations particulières existent (cf. l'Article 50 du Règlement (UE) 2018/1725 ; le Comité Européen de la Protection des Données a analysé les dispositions équivalentes du RGPD dans ses Lignes directrices 2/2018).
Les institutions européennes, organes ou agences ne peuvent pas se fonder sur l'Article 48 sans avoir préalablement consulté et avoir obtenu une autorisation du CEPD. Ces autorisations font suite aux autorisations prévues à l'Article 9(7) de l'ancien Règlement (CE) 45/2001. Les autorisations accordées par le CEPD en vertu de cet Article de l'ancien Règlement demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation (cf. Article 48(4) du Règlement (UE) 2018/1725)
Le CEPD publie ces autorisations. Vous les trouverez ci-dessous.
In its Decision published on 13 July 2023, the EDPS finds that the use of Cisco Webex videoconferencing and related services by the Court of Justice of the European Union (the Court) meets the data protection standards under Regulation 2018/1725 applicable to EU institutions, bodies, offices and agencies.
EDPS Decision authorising until 30 June 2024 the use of the administrative arrangement between the Single European Sky ATM Research 3 Joint Undertaking (‘SESAR’) and the European Organisation for the Safety of Air Navigation (‘Eurocontrol’) in the context of Eurocontrol’s in-kind contributions to SESAR
Second EDPS Decision temporarily and conditionally authorising the use of contractual clauses between the Court of Justice of the EU and Cisco Systems Inc. US for transfers of personal data in the Court's use of Cisco Webex and related services.
EDPS Decision on the request for prior authorisation of the Working Arrangement establishing Operational Cooperation between the European Border and Coast Guard Agency and the Directorate for Territorial Surveillance of the Republic of Niger
EDPS Decision authorising temporarily the use of ad hoc contractual clauses between the Court of Justice of the EU and Cisco for transfers of personal data in the Court's use of Cisco Webex and related services