Transferts de données hors UE - dérogations pour des situations particulières
Certaines dérogations au principe d’encadrement général des transferts vers un Etat non membre de l’Union sont prévues par l’article 49 du RGPD. Ces exceptions ne peuvent être mobilisées que dans des situations particulières.
Lorsqu’un Etat tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré. Ces dérogations ne peuvent être utilisées que dans des situations particulières : les responsables de traitement doivent s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties. L’article 49 du RGPD fait l’objet d’une interprétation stricte par les autorités de protection des données, afin que l’exception ne devienne pas la règle.
Les dérogations prévues par le RGPD (art. 49.1 RGPD) :
- la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle ;
- le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à sa demande ;
- le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
- le transfert est nécessaire pour des motifs importants d'intérêt public ;
- le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ;
- le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;
- le transfert a lieu au départ d'un registre qui est légalement destiné à fournir des informations au public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime.
Ces dérogations sont soumises à des conditions particulières, d’interprétation stricte, détaillées à l’article 49 du RGPD.
Le RGPD prévoit enfin, lorsqu’aucune de ces dérogations n’est applicable, la possibilité de procéder au transfert dans les conditions cumulatives suivantes.
Le transfert :
- ne revêt pas de caractère répétitif,
- ne touche qu'un nombre limité de personnes concernées,
- est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée,
- et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel.
L’évaluation faite par l’organisme et les garanties mises en place pour encadrer le transfert, doivent être inscrites dans le registre du responsable de traitement ou du sous-traitant.
Lignes directrices G29 sur les dérogations
Le comité européen sur la protection des données (EDPB) a adopté des lignes directrices sur l’interprétation de l’article 49 du RGPD, qui établissent sa doctrine sur ces dérogations réservées à des situations particulières.