Blog Données personnelles
Publication d’un recueil de jurisprudence relatif aux transferts de données personnelles vers un pays tiers
Le Contrôleur européen de la protection des données a publié, le 10 juin 2021, un recueil de jurisprudence sur les transferts de données personnelles vers des pays tiers.
En particulier, l’objectif du recueil de jurisprudence est de clarifier la structure de l’analyse effectuée par la Cour de justice de l’Union européenne (« CJUE ») dans les arrêts concernant le transfert de données à caractère personnel vers des pays tiers, en mettant en évidence la logique et les étapes suivies ainsi que l’acquis jurisprudentiel.
Le recueil de jurisprudence répond à un certain nombre de questions grâce à l’analyse des arrêts clés de la CJUE, telles que :
- quand a lieu un transfert vers un pays tiers ?
- quel est le régime global de protection des données applicable aux transferts ?
- quelle distinction entre les clauses contractuelles types et une décision d’adéquation de la Commission européenne ?
Dans ce recueil, le Contrôleur analyse les arrêts de la CJUE ayant eu un impact sur la notion de transfert de données personnelles vers un pays tiers.
Parmi ces arrêts, certains ont été rendus en application de la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel avant l’entrée en vigueur du RGPD.
C’est le cas par exemple de l’arrêt de la CJUE du 6 novembre 2003 « Lindqvist » selon lequel il n’y a pas de transfert de données personnelles vers un pays tiers lorsqu’une personne physique située dans un État membre charge des données à caractère personnel sur une page Internet stockée chez son fournisseur d’hébergement établi dans un État membre et rendant ces données accessibles à toute personne qui se connecte à l’internet, y compris les personnes situées dans un pays tiers.
Le recueil revient également sur les impacts de l’arrêt Schrems II sur les transferts de données personnelles vers un pays tiers.
A ce titre, le Contrôleur rappelle la distinction entre les clauses contractuelles types et les décisions d’adéquation de la Commission européenne.
Dans le cas où le responsable du traitement ne peut fonder son transfert de données sur une décision d’adéquation de la Commission européenne et qu’il se fonde sur des clauses contractuelles types, il appartient au responsable du traitement ou au sous-traitant établi dans l’Union européenne de prévoir, entre autres, des garanties appropriées afin de compenser l’éventuelle insuffisance de protection des données personnelles dans le pays tiers vers lequel les données sont transférées.
A cet égard, le Contrôleur renvoie aux recommandations du Comité européen de la protection des données relatives aux mesures supplémentaires à mettre en œuvre lors d’un transfert de données personnelles vers un pays tiers.
Pour rappel, la Commission européenne a récemment publié de nouvelles clauses contractuelles types relatives au transfert de données personnelles vers un pays tiers.