Décision d’adéquation RGPD : Quels pays sont concernés ? 

Le Règlement Général sur la Protection des Données est un texte d’envergure européenne, qui a pour objectif de favoriser la libre circulation des données au sein de l’Union. En effet, en imposant à tous les pays de l’Union européenne les mêmes règles en matière de protection des données à caractère personnel, tous les organismes situés sur le territoire protègent, par principe, les données de la même manière. Grâce à ces règles communes, et à une protection égale, les données personnelles des citoyens peuvent être partagées librement entre les organismes situés au sein de chaque État membre de l’UE (sous couvert du bon respect des principes du RGPD, tels que l’information des personnes, la licéité et finalités du traitement des données, le respect des droits et libertés des personnes physiques ou encore la mise en place de mesures de sécurité appropriées). 

Des questions se posent alors lorsqu’un organisme souhaite transférer des données à un tiers situé en dehors de l’Union européenne. Le transfert de données personnelles sera possible à condition qu’un niveau de protection suffisant et approprié soit assuré par le responsable du traitement. Le RGPD liste à son chapitre V¹ les différents outils juridiques auxquels les organismes et leurs DPO peuvent avoir recours pour effectuer des transferts vers un pays tiers. Par exemple : 

• La présence d’une décision d’adéquation 

• La fourniture de garanties appropriées, comme par exemple des clauses contractuelles types (CCT) de la Commission européenne, des règles internes d’entreprises² (BCR, ou règles d’entreprise contraignantes) ou encore un code de conduite 

• Des dérogations 

Nous vous proposons dans cet article de faire un zoom sur la décision d’adéquation afin d’en comprendre les tenants et les aboutissants. 

La décision d’adéquation est considérée comme le premier outil juridique d’encadrement. Elle consiste en une évaluation effectuée par la Commission européenne pour déterminer si un pays tiers assure un niveau de protection des données personnelles des personnes concernées équivalant à celui de l’Union européenne. 

Lors de son évaluation, la Commission va prendre en compte plusieurs éléments afin de réaliser un audit global du paysage de la protection des données personnelles du pays en question, en allant des mesures de protection applicables aux données aux mécanismes de surveillance et de recours existants. Si elle estime que le pays garantit un niveau de protection adéquat, elle émettra alors une décision d’adéquation. Cela signifie que les organismes situés au sein de l’Union pourront transférer des données personnelles vers le pays tiers sans nécessiter la mise en place d’instrument juridique supplémentaire. En d’autres termes, le transfert de données hors UE sera considéré comme sûr, car le pays tiers offre un niveau de protection équivalent à celui de l’Union européenne. 

Il faut cependant noter qu’une décision d’adéquation n’est pas permanente. La Commission européenne peut la réévaluer à tout moment, notamment en cas de changements dans les lois ou les pratiques du pays tiers pouvant compromettre la protection des données personnelles. Les responsables de traitement doivent dès lors être prudents en cas de recours à un sous-traitant impliquant des transferts hors UE, la collaboration avec ledit sous-traitant pouvant être remise en question à tout moment, comme ce fut par exemple le cas pour de nombreuses entreprises avec l’invalidation du Privacy Shield³ américain. 

En l’absence d’une décision d’adéquation, l’organisme souhaitant transférer des données devra se tourner vers des garanties appropriées ou identifier si son transfert entre dans le cadre d’une des dérogations du RGPD.