Analyse des dernières lignes directrices du CEPD (UE)

Maxime (he) D.A Telecoms, Regulatory & Commercial contracts - Dentons

𝗣𝗢𝗨𝗥 𝗖𝗘𝗟𝗟𝗘𝗦/𝗖𝗘𝗨𝗫 𝗤𝗨𝗜 𝗡’𝗢𝗡𝗧 𝗣𝗔𝗦 𝗟𝗨 𝗟𝗘𝗦 𝗗𝗘𝗥𝗡𝗜𝗘𝗥𝗘𝗦 𝗟𝗜𝗚𝗡𝗘𝗦 𝗗𝗜𝗥𝗘𝗖𝗧𝗥𝗜𝗖𝗘𝗦 𝗗𝗨 𝗖𝗘𝗣𝗗

• Lignes directrices sur l’interaction entre le champ d’application territorial du RGPD et les règles du RGPD relatives aux transferts internationaux de données.
• Non-définitives, soumises à consultation publique jusqu’au 31 janvier 2022.
• Clarifient des situations souvent rencontrées en pratique :

1️⃣ 𝗨𝗻 𝗿𝗲𝘀𝗽𝗼𝗻𝘀𝗮𝗯𝗹𝗲 𝗱𝗲 𝘁𝗿𝗮𝗶𝘁𝗲𝗺𝗲𝗻𝘁 𝗼𝘂 𝘂𝗻 𝘀𝗼𝘂𝘀-𝘁𝗿𝗮𝗶𝘁𝗮𝗻𝘁 𝗲́𝘁𝗮𝗯𝗹𝗶 𝗲𝗻-𝗱𝗲𝗵𝗼𝗿𝘀 𝗱𝗲 𝗹’𝗘𝘀𝗽𝗮𝗰𝗲 𝗘𝗰𝗼𝗻𝗼𝗺𝗶𝗾𝘂𝗲 𝗘𝘂𝗿𝗼𝗽𝗲́𝗲𝗻 (𝗘𝗘𝗘), 𝗾𝘂𝗶 𝘁𝗼𝗺𝗯𝗲 𝗱𝗮𝗻𝘀 𝗹𝗲 𝗰𝗵𝗮𝗺𝗽 𝗱’𝗮𝗽𝗽𝗹𝗶𝗰𝗮𝘁𝗶𝗼𝗻 𝘁𝗲𝗿𝗿𝗶𝘁𝗼𝗿𝗶𝗮𝗹 𝗱𝘂 𝗥𝗚𝗣𝗗, 𝗱𝗼𝗶𝘁 𝗿𝗲𝘀𝗽𝗲𝗰𝘁𝗲𝗿 𝗹𝗲𝘀 𝗿𝗲̀𝗴𝗹𝗲𝘀 𝗱𝘂 𝗥𝗚𝗣𝗗 𝗿𝗲𝗹𝗮𝘁𝗶𝘃𝗲𝘀 𝗮𝘂𝘅 𝘁𝗿𝗮𝗻𝘀𝗳𝗲𝗿𝘁𝘀 𝗶𝗻𝘁𝗲𝗿𝗻𝗮𝘁𝗶𝗼𝗻𝗮𝘂𝘅. Exemple : une société japonaise collecte des données sur des consommateurs se trouvant en France pour des études marketing, et est donc soumise au RGPD pour ce traitement. Elle doit s’assurer que son transfert des données desdits consommateurs à un sous-traitant établi au Japon respecte les exigences du RGPD relatives aux transferts internationaux de données 2️⃣ 𝗟𝗲𝘀 𝗲𝘅𝗶𝗴𝗲𝗻𝗰𝗲𝘀 𝗱𝘂 𝗥𝗚𝗣𝗗 𝗽𝗼𝗿𝘁𝗮𝗻𝘁 𝘀𝘂𝗿 𝗹𝗲𝘀 𝘁𝗿𝗮𝗻𝘀𝗳𝗲𝗿𝘁𝘀 𝗶𝗻𝘁𝗲𝗿𝗻𝗮𝘁𝗶𝗼𝗻𝗮𝘂𝘅 𝗱𝗲 𝗱𝗼𝗻𝗻𝗲́𝗲𝘀 𝗡𝗘 𝗦’𝗔𝗣𝗣𝗟𝗜𝗤𝗨𝗘𝗡𝗧 𝗣𝗔𝗦 𝗮̀ 𝘂𝗻𝗲 𝘀𝗼𝗰𝗶𝗲́𝘁𝗲́ 𝗲́𝘁𝗮𝗯𝗹𝗶𝗲 𝗲𝗻-𝗱𝗲𝗵𝗼𝗿𝘀 𝗱𝗲 𝗹’𝗘𝗘𝗘 𝗾𝘂𝗶 𝗿𝗲𝗰̧𝗼𝗶𝘁 𝗱𝗲𝘀 𝗱𝗼𝗻𝗻𝗲́𝗲𝘀 𝗽𝗲𝗿𝘀𝗼𝗻𝗻𝗲𝗹𝗹𝗲𝘀 𝗱𝗲 𝗹𝗮 𝗽𝗮𝗿𝘁 𝗱𝗲𝘀 𝗽𝗲𝗿𝘀𝗼𝗻𝗻𝗲𝘀 𝗱𝗼𝗻𝘁 𝗹𝗲𝘀 𝗱𝗼𝗻𝗻𝗲́𝗲𝘀 𝘀𝗼𝗻𝘁 𝘁𝗿𝗮𝗶𝘁𝗲́𝗲𝘀. Par exemple, un consommateur se trouvant en France renseigne ses coordonnées sur un site de e-commerce géré par une société Etats-unienne : cela n’est pas un transfert international de données !). Néanmoins, le gérant états-uniens du site de e-commerce devra respecter les autres règles du RGPD dès lors qu’il est territorialement soumis au RGPD (c’est le cas dans notre exemple : ledit gérant traite les données de consommateurs se trouvant en France dans le cadre d’une offre de biens à ces consommateurs –> il tombe dans le champ d’application territorial du RGPD) 3️⃣ 𝗣𝗼𝘂𝗿 𝗾𝘂’𝗶𝗹 𝘆 𝗮𝗶𝘁 𝘁𝗿𝗮𝗻𝘀𝗳𝗲𝗿𝘁 𝗶𝗻𝘁𝗲𝗿𝗻𝗮𝘁𝗶𝗼𝗻𝗮𝗹 𝗱𝗲 𝗱𝗼𝗻𝗻𝗲́𝗲𝘀 𝗽𝗲𝗿𝘀𝗼𝗻𝗻𝗲𝗹𝗹𝗲𝘀 𝗮𝘂 𝘀𝗲𝗻𝘀 𝗱𝘂 𝗥𝗚𝗣𝗗, 𝗶𝗹 𝗳𝗮𝘂𝘁 𝗾𝘂𝗲 𝗱𝗲𝘀 𝗱𝗼𝗻𝗻𝗲́𝗲𝘀 𝘀𝗼𝗶𝗲𝗻𝘁 𝗱𝗶𝘃𝘂𝗹𝗴𝘂𝗲́𝗲𝘀 𝗽𝗮𝗿 𝘂𝗻𝗲 𝗽𝗮𝗿𝘁𝗶𝗲 𝗔 𝗮̀ 𝘂𝗻𝗲 𝗽𝗮𝗿𝘁𝗶𝗲 𝗕 (chacune des parties étant soit responsable de traitement indépendant, soit responsable de traitement conjoint, soit sous-traitant). Exemple : l’employé d’une société établie en France se rend aux Etats-Unis pour une réunion professionnelle, et une fois aux Etats-Unis accède via son ordinateur à des fichiers de son entreprise comportant des données personnelles –> cet accès n'est pas un transfert international de données

p/o Virginie Gastine Menou RISQUES ET VOUS ✍🏼 Proposer une offre de job :  💈 Consulter les offres qui vous correspondent :