Précisions sur la notion de "transfert" au sens du RGPD

Précisions sur la notion de "transfert" au sens du RGPD
Jérôme de Mercey

Lors de sa réunion plénière du 18 novembre 2021, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur l'interaction entre l'article 3 et le chapitre V du RGPD. Les lignes directrices fournissent une définition du terme "transfert".

Ce concept est essentiel pour déterminer quand les règles du chapitre V du RGPD s'appliquent, ainsi que pour savoir quand se conformer aux recommandations sur les mesures supplémentaires formulées à la lumière de l'affaire Schrems II.

Une définition fondée sur trois critères cumulatifs

Les orientations définissent trois critères cumulatifs pour déterminer s'il s'agit d'un transfert de données personnelles vers un pays tiers. Cela signifie que si un traitement répond à ces trois critères, il constituera un transfert au sens du chapitre V du RGPD.

Les trois critères sont les suivants :

  • Un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement donné.

  • Ce responsable du traitement ou ce sous-traitant ("exportateur") divulgue par transmission ou met autrement à la disposition d'un autre responsable du traitement, d'un responsable conjoint du traitement ou d'un sous-traitant ("importateur") des données à caractère personnel faisant l'objet de ce traitement.

  • L'importateur se trouve dans un pays tiers ou est une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement donné conformément à l'article 3.

En revanche, si un traitement ne répond pas à ces trois critères, il ne constituera pas un transfert au sens du chapitre V du RGPD.

Cependant, le CEPD souligne dans ses orientations que même si un traitement ne constitue pas un transfert vers un pays tiers, il peut néanmoins présenter des risques qui peuvent nécessiter la mise en place de garanties. Dans ce contexte, le CEPD rappelle que les responsables du traitement et les sous-traitants doivent toujours se conformer à toutes les dispositions pertinentes du RPGD, que le traitement ait lieu dans l'UE ou non.

Les lignes directrices fournissent également un certain nombre d'exemples illustrant l'application des critères susmentionnés.

Il ressort également de ces lignes directrices que la Commission européenne élaborera de nouvelles clauses contractuelles types qui pourront être utilisées dans le cadre de transferts à des responsables du traitement ou à des sous-traitants qui sont tenus de se conformer aux règles du règlement sur la protection des données en vertu de l'article 3, paragraphe 2.

Les lignes directrices ont été adoptées pour une consultation publique, après quoi le Comité européen de la protection des données adoptera la version finale des orientations.

Le lien vers les lignes directrices (en anglais) : https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf


newsletter

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution *

*Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

Dastra sera présente à la 16ème Université des DPO

Cette 16e édition de l’Université AFCDP des DPO devrait être à nouveau la plus grande conférence organisée en France sur le thème de la conf...

Estelle Penin

WEBINAR : Les 5 documents indispensables en cas de contrôle de la CNIL

Comment se déroule un contrôle de la CNIL ? Quels sont ses attentes ? Comment y répondre ?

Paul-Emmanuel Bidault

La protection des données sensibles

Dès 1974, la société civile prend conscience que certaines données dites données "sensibles" doivent bénéficier d’une protection renforcée.

Jérôme de Mercey

Quelles sont les 20 questions clés à se poser lors du choix d'un DPO ?

Désigner et choisir un délégué à la protection des données (DPD ou DPO pour data protection officer) n'est pas anodin. Cette fonction est tr...

Jérôme de Mercey

Envie de vous lancer ?

Découvrez Dastra en créant un compte en quelques minutes et commencez à cartographier vos traitements, faire des audits... Vous pouvez également nous contacter pour une démonstration adaptée à vos besoins.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement