Le texte de l’article 45 – Transferts fondés sur une décision d’adéquation
”Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique. Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants: a) l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel ”
article 45
L’analyse du texte – Transferts fondés sur une décision d’adéquation
Dans le cadre d’enquêtes contre la fraude, la concurrence, la sous-traitance de service ou tout simplement l’organisation de déplacements professionnels, certaines institutions de l’Union européenne peuvent avoir à transférer des données à caractères personnel. Lorsque ce transfert s’effectue vers un pays tiers ou une organisation internationale hors de l’Union, la commission européenne vérifie le niveau de protection du destinataire de ces données.
En accord avec le RGPD, la commission (ou la personne concernée elle-même) valide le transfert par la voie d’une décision d’adéquation vérifiant le droit fondamental de chaque individu à la protection de ses données personnelles.
Cette décision d’adéquation est basée sur l’existence et le fonctionnement d’une autorité indépendante chargée de la protection des données (APD). Cet organisme doit pouvoir surveiller les traitements, fournir un avis extérieur et instruire les plaintes des citoyens le cas échéant. À titre d’exemple, le CEPD est l’autorité de contrôle au niveau de l’UE.
Les pays tiers ou les organisations internationales sont ainsi évalués au moins tous les 4 ans et la liste de ceux respectant le niveau de protection adéquat est publiée au journal officiel et sur le site internet de la commission. Plusieurs pays sont ainsi reconnus, notamment les États-Unis avec la mise en place d’un cadre législatif appelé « Le bouclier de protection des données UE-Etats-Unis ».
Si les garanties minimales de protection des données ne sont pas respectées, le transfert peut néanmoins avoir lieu sous certaines conditions. Il peut y avoir dérogation si le transfert est unique et validé par la personne concernée par les données ou lorsque le transfert est effectué dans le cadre d’une procédure judiciaire. Une autre possibilité est celle par l’organisme initiant le transfert de fournir des garanties adéquates sous la forme d’un contrat ou d’un protocole d’accord. Ce document détaillant les principes de protection à respecter (droit de retrait, restriction de partage, délais de conservation…).
