Le RGPD ne définit pas les activités qui peuvent être qualifiées de transfert de données à caractère personnel vers un pays tiers. Afin de clarifier la notion de transfert de données à caractère personnel vers un pays tiers, le comité européen de la protection des données (ci-après le «CEPD») a publié les lignes directrices 5/2021 sur l’interaction entre l’application de l’article 3 et du chapitre V du RGPD[1], énonçant trois critères cumulatifs selon lesquels le traitement serait considéré comme un «transfert vers un pays tiers»:
- le responsable du traitement ou le sous-traitant est soumis au RGPD pour le traitement donné,[2]
- le responsable du traitement ou le sous-traitant (ci-après l’«exportateur de données») divulgue ou met d’une autre manière des données à caractère personnel à la disposition d’un autre responsable du traitement, d’un autre responsable conjoint du traitement ou d’un autre sous-traitant (ci-après l’«importateur de données») [3], et
- l’importateur se trouve dans un pays tiers ou est une organisation internationale, que le RGPD soit ou non également applicable au traitement des données à caractère personnel mis en œuvre par l’importateur de données.[4]
Il convient de noter que les entités qui font partie du même groupe d’entreprises peuvent être considérées comme des responsables de traitement ou des sous-traitants distincts et que les divulgations de données entre ces entités pourraient être considérées comme des transferts de données à caractère personnel.[5]
Les exemples suivants constituent des «transferts» aux fins du RGPD:
- la société X établie au Luxembourg, agissant en tant que responsable du traitement, donne accès aux données personnelles de ses clients à une société Z établie au Chili, qui traite ces données en tant que sous-traitant pour le compte de X.,[6]
- la société luxembourgeoise A, qui est une filiale de la société mère américaine B, communique les données à caractère personnel de ses employés à la société B afin qu’elles soient stockées dans une base de données RH centralisée par la société mère aux États-Unis. Dans ce cas, la société luxembourgeoise A traite (et divulgue) les données en sa qualité d’employeur et donc de responsable du traitement, tandis que la société mère est un sous-traitant. Dès lors, les données sont fournies par un responsable du traitement qui, en ce qui concerne le traitement en question, est soumis au RGPD, à un sous-traitant dans un pays tiers.
Les exemples suivants ne constituent pas des «transferts» aux fins du RGPD:
- les données à caractère personnel sont communiquées directement et de sa propre initiative par la personne concernée au destinataire. Dans ce cas, aucun responsable du traitement ou sous-traitant n’envoie ou ne met les données à disposition, c’est-à-dire qu’il n’y a pas d’«exportateur»,
- un salarié se rend dans un pays tiers et accède à distance aux données à caractère personnel traitées par l’employeur. L'accès à distance de données à caractère personnel à partir d'un pays tiers par le salarié ne constitue pas un transfert de données à caractère personnel, étant donné que le salarié fait partie intégrante du responsable du traitement,[7]
- un responsable du traitement ou un sous-traitant situé dans un pays tiers non soumis au RGPD transmet des données à caractère personnel à un responsable du traitement ou à un sous-traitant situé au Luxembourg.
[1] Comité européen de la protection des données (CEPD), lignes directrices 5/2021 du 18 novembre 2021 sur l’interaction entre l’application de l’article 3 et les dispositions relatives aux transferts internationaux conformément au chapitre V du RGPD.
[2] Voir comité européen de la protection des données (CEPD), lignes directrices 3/2018 du 12 novembre 2019 sur le champ d’application territorial du RGPD (article 3).
[3] Voir section 2.2 des lignes directrices 5/2021 susmentionnées.
[4] Voir section 2.3 des lignes directrices 5/2021 susmentionnées.
[5] Voir le point 16 des lignes directrices 5/2021 susmentionnées.
[6] Voir le point 14 des lignes directrices 5/2021 susmentionnées.
[7] Idem.