Bruxelles, le 3 décembre - Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a publié des lignes directrices sur l'article 48 du RGPD concernant les transferts de données aux autorités de pays tiers et a approuvé un nouveau label européen de protection des données.
L’EDPB aide les organisations à évaluer les demandes de transfert de données présentées par les autorités de pays tiers
Dans un monde fortement interconnecté, les organisations reçoivent des demandes de partage de données personnelles de la part d'autorités publiques d'autres pays. Le partage de données peut, par exemple, aider à recueillir des preuves en cas de criminalité, à vérifier les transactions financières ou à approuver de nouveaux médicaments.
Lorsqu’une organisation européenne reçoit une demande de transfert de données d’une autorité d’un «pays tiers» (c’est-à-dire non européenne), elle doit se conformer au règlement général sur la protection des données (RGPD).
Dans ses lignes directrices, l’EDPB fait un zoom sur l’article 48 du RGPD et précise comment les organisations peuvent évaluer au mieux les conditions dans lesquelles elles peuvent légalement répondre à de telles demandes. De cette manière, les lignes directrices aident les organisations à décider si elles peuvent légalement transférer des données à caractère personnel aux autorités de pays tiers lorsqu’elles y sont invitées.
Les jugements ou décisions émanant d'autorités de pays tiers ne peuvent pas être automatiquement reconnus ou exécutés en Europe. Si une organisation répond à une demande de données à caractère personnel émanant d'une autorité d'un pays tiers, ce flux de données constitue un transfert et le RGPD s'applique. Un accord international peut prévoir à la fois une base juridique et un motif de transfert. En l’absence d’accord international, ou si l’accord ne prévoit pas de base juridique ou de garanties appropriées, d’autres bases juridiques ou d’autres motifs de transfert pourraient être envisagés, dans des circonstances exceptionnelles et au cas par cas. *
Les lignes directrices font l’objet d’une consultation publique jusqu’au 27 janvier 2025.
Approbation du sceau européen de protection des données
Au cours de la réunion plénière, le comité a également adopté un avis approuvant les critères de certification de la conformité à la marque concernant les activités de traitement par les responsables du traitement ou les sous-traitants. En septembre 2023, le comité a déjà adopté un avis sur l’approbation des critères nationaux de certification de la conformité des marques, ce qui en fait des critères de certification officiellement reconnus aux Pays-Bas pour le traitement des données par les organisations. L'approbation du nouvel avis signifie que ces critères seront désormais applicables dans toute l'Europe et en tant que label européen de protection des données.
La certification GDPR aide les organisations à démontrer leur conformité avec la loi sur la protection des données. Cette transparence aide les gens à faire confiance au produit, au service, au processus ou au système pour lequel les organisations traitent leurs données personnelles.
Note aux rédacteurs:
* Le transfert doit être conforme à l'article 6 du RGPD et aux dispositions du chapitre V.
Un accord international peut prévoir à la fois une base juridique au titre de l’article 6, paragraphe 1, point c), ou de l’article 6, paragraphe 1, point e), du RGPD et un motif de transfert au titre de l’article 46, paragraphe 2, point a), du RGPD.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.