Le 3 décembre 2024, le Comité Européen de la Protection des Données (CEPD) a publié de nouvelles lignes directrices pour aider les entreprises européennes à gérer les demandes de transfert de données personnelles vers des pays hors de l’Union européenne (UE).
🔎 Que faut-il retenir ?
Lorsqu’une autorité étrangère (par exemple, un tribunal ou une agence gouvernementale) demande des données personnelles à une organisation basée dans l’UE, cette demande ne peut pas être acceptée automatiquement.
Pourquoi ? Parce que l’UE protège strictement les données personnelles de ses citoyens. Pour que ces demandes soient légales :
Elles doivent s’appuyer sur un accord international officiel (comme un traité d’entraide entre l’UE et le pays concerné).
Sinon, des règles précises doivent être suivies pour encadrer le transfert des données.
📌 Ce que cela implique pour les organisations européennes :
1️⃣ Si une demande est reçue :
Vérifiez si un accord international existe entre l’UE et le pays demandeur.
Si ce n’est pas le cas, assurez vous de respecter les règles européennes pour ce type de transfert (bases légales, garanties, exceptions, etc.).
2️⃣ Pas d’accord international ?
Pas de panique, il existe des alternatives (Clauses contractuelles types, dérogations...) , mais elles doivent être utilisées avec précaution.
Les transferts doivent toujours garantir un haut niveau de protection pour les données personnelles.
⚠️ Pourquoi c’est important ?
Ces nouvelles règles évitent que des autorités étrangères accèdent trop facilement aux données personnelles des citoyens européens. Elles rappellent aussi aux entreprises européennes de ne jamais transmettre des données sans réfléchir ou analyser la situation.
📝 Vous voulez donner votre avis ?
Le CEPD ouvre une consultation publique sur ces nouvelles règles jusqu’au
27 janvier 2025. Si vous souhaitez participer, un formulaire est disponible sur
le site du CEPD.
À bientôt sur Mission RGPD !
Tom
Juriste protection des données personnelles - Mission RGPD