Transférer des données à caractère personnel vers des pays hors de l’UE/EEE ou vers des organisations internationales peut entrainer des risques supplémentaires. Il peut en effet arriver que ces destinataires ne soient pas soumis à des règles relatives à la protection des données (ou à des règles qui ne correspondent pas aux normes européennes). Pour cette raison, le chapitre V du Règlement (UE) 2018/1725 contient des règles spécifiques pour de tels transferts.
Le Contrôleur Européen de la Protection des Données (CEPD) a expliqué les différentes possibilités pour obtenir des garanties pour ce genre de transfert dans un document d'orientation concernant le transfert de données à caractère personnel vers des pays tiers ou vers des organisations internationales par les institutions et organes de l’Union européenne. Même si ce document se fonde encore sur l'ancien Règlement (CE) 45/2001 ; l'architecture générale reste la même. L'option préférée sont des transferts vers des destinataires soumis à des règles offrant un niveau de protection adéquat. Des transferts garantis par des clauses contractuelles standardisées ou fondées sur un accord international incluant des garanties appropriées sont une seconde option. Ces transferts n'ont pas besoin d'une autorisation spécifique par le CEPD.
Une autre possibilité pour obtenir des garanties sont ce que l’on appelle « les clauses contractuelles 'ad hoc’ » entre l'institution européenne, l'organe ou l'agence transférant des données et le destinataire de ces données. Il est également possible de recourir à des dispositions administratives entre les autorités publiques ou les organismes publics afin de prévoir des droits opposables et effectifs pour les personnes concernées. Si les institutions européennes, organes ou agences souhaitent utiliser l'une ou l'autre de ces possibilités, ils doivent préalablement obtenir une autorisation du CEPD (cf. Articles 48(3), 58(3)(e) et (f) du Règlement (UE) 2018/1725).
Toutefois, des dérogations pour des situations particulières existent (cf. l'Article 50 du Règlement (UE) 2018/1725 ; le Comité Européen de la Protection des Données a analysé les dispositions équivalentes du RGPD dans ses Lignes directrices 2/2018).
Les institutions européennes, organes ou agences ne peuvent pas se fonder sur l'Article 48 sans avoir préalablement consulté et avoir obtenu une autorisation du CEPD. Ces autorisations font suite aux autorisations prévues à l'Article 9(7) de l'ancien Règlement (CE) 45/2001. Les autorisations accordées par le CEPD en vertu de cet Article de l'ancien Règlement demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation (cf. Article 48(4) du Règlement (UE) 2018/1725)
Le CEPD publie ces autorisations. Vous les trouverez ci-dessous.
EDPS Decision of 13 March 2019 concerning the use of the IOSCO-ESMA Administrative Arrangement by the European Securities and Markets Authority.
EDPS Decision pursuant to Article 9(7) of Regulation (EC) No 45/2001 concerning the transfers of personal data carried out by the European Centre for Disease Prevention and Control (ECDC) to the World Health Organization (WHO) (Case 2017-1120)
EDPS Decision pursuant to Article 9(7) of Regulation (EC) No 45/2001 concerning the transfers of personal data carried out by the European Central Bank for its supervisory activities (Case 2016-0308)
EDPS Decision concerning the transfers of personal data carried out by OLAF through the Investigative Data Consultation Platform pursuant to Article 9(7) of Regulation (EC) No 45/2001