Lors de sa réunion plénière du 18 novembre 2021, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur l'interaction entre l'article 3 et le chapitre V du RGPD. Les lignes directrices fournissent une définition du terme "transfert".
Ce concept est essentiel pour déterminer quand les règles du chapitre V du RGPD s'appliquent, ainsi que pour savoir quand se conformer aux recommandations sur les mesures supplémentaires formulées à la lumière de l'affaire Schrems II.
Une définition fondée sur trois critères cumulatifs
Les orientations définissent trois critères cumulatifs pour déterminer s'il s'agit d'un transfert de données personnelles vers un pays tiers. Cela signifie que si un traitement répond à ces trois critères, il constituera un transfert au sens du chapitre V du RGPD.
Les trois critères sont les suivants :
- Un responsable du traitement ou un sous-traitant est soumis au RGPD pour le traitement donné.
- Ce responsable du traitement ou ce sous-traitant ("exportateur") divulgue par transmission ou met autrement à la disposition d'un autre responsable du traitement, d'un responsable conjoint du traitement ou d'un sous-traitant ("importateur") des données à caractère personnel faisant l'objet de ce traitement.
- L'importateur se trouve dans un pays tiers ou est une organisation internationale, indépendamment du fait que cet importateur soit ou non soumis au RGPD en ce qui concerne le traitement donné conformément à l'article 3.
En revanche, si un traitement ne répond pas à ces trois critères, il ne constituera pas un transfert au sens du chapitre V du RGPD.
Cependant, le CEPD souligne dans ses orientations que même si un traitement ne constitue pas un transfert vers un pays tiers, il peut néanmoins présenter des risques qui peuvent nécessiter la mise en place de garanties. Dans ce contexte, le CEPD rappelle que les responsables du traitement et les sous-traitants doivent toujours se conformer à toutes les dispositions pertinentes du RPGD, que le traitement ait lieu dans l'UE ou non.
Les lignes directrices fournissent également un certain nombre d'exemples illustrant l'application des critères susmentionnés.
Il ressort également de ces lignes directrices que la Commission européenne élaborera de nouvelles clauses contractuelles types qui pourront être utilisées dans le cadre de transferts à des responsables du traitement ou à des sous-traitants qui sont tenus de se conformer aux règles du règlement sur la protection des données en vertu de l'article 3, paragraphe 2.
Les lignes directrices ont été adoptées pour une consultation publique, après quoi le Comité européen de la protection des données adoptera la version finale des orientations.