L’archivage des données personnelles, au-delà des problématiques de temps et de forme - que nous avons abordées dans notre précédent article - pose également la question du lieu de leur stockage.
-
Si les plateformes situées dans l’Union Européenne (UE) sont tenues d’être conformes aux exigences du RGPD, il n’en est pas de même pour les plateformes situées en dehors du territoire de l’UE, ce qui soulève la question de la possibilité du transfert des données personnelles stockées.
FOCUS SUR LA NOTION DE "TRANSFERT"
On parle de « transfert des données personnelles » pour toute communication, copie ou déplacement de données d’un support à un autre ou via un réseau, dès lors que les données ont vocation à faire l’objet d’un traitement dans le pays destinataire.
Transfert des données personnelles : sous condition…
En pratique
Ce niveau de protection est considéré comme suffisant dès lors :
-
-
- qu’une décision « d’adéquation » a été rendue par la Commission européenne qui, par ce biais, reconnaît comme sûre la règlementation du pays vers lequel le transfert des données est envisagé ;
- qu’en l’absence de décision d’adéquation, des garanties appropriées de protection des données stockées sont apportées par le responsable du traitement qui envisage le transfert ;
- qu’à défaut de tout cela :
- la personne concernée par la collecte de ses données a donné son consentement explicite à leur transfert, après avoir été dûment informée des risques que celui-ci pouvait comporter pour elle ;
- le transfert des données est nécessaire :
- à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ;
- à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ;
- pour des motifs importants d'intérêt public ;
- à la constatation, à l'exercice ou à la défense de droits en justice ;
- à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, et ce alors même que la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ; - le transfert des données est effectué au départ d'un registre ayant pour vocation de fournir des informations au public, qui est ouvert à la consultation en général ou de toute personne justifiant d’un intérêt légitime.
-
Mais encore…
À défaut de relever de l’une des situations ci-dessus, le transfert de données reste toutefois possible si :
-
-
- il ne revêt pas un caractère répétitif ;
- il ne touche qu’un nombre limité de personnes concernées ;
- il est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement ;
- le responsable du traitement a évalué avec précisions les circonstances relatives au transfert et a offert, sur la base de cette évaluation, des garanties de protection appropriées en ce qui concerne la protection des données à caractère personnel.
-
L’exemple des Etats-Unis
À titre d’exemple, la Commission européenne a adopté, en juillet 2016, une décision d’adéquation qui reconnaissait le niveau de protection offert par les Etats-Unis en matière de données personnelles comme « essentiellement équivalent » aux exigences européennes posées par le RGPD.
En détails
Cette décision, appelée « Privacy Shield », permettait ainsi aux entreprises françaises de transférer les données à caractère personnel qu’elles avaient collectées depuis l’UE vers des entreprises américaines.
La suite…
Cette situation n’a toutefois pas perduré puisque la Cour de justice de l’Union européenne (CJUE) a déclaré invalide cette décision d’adéquation en juillet 2020.
La conséquence
Dès lors, tous les transferts de données opérés vers les Etats-Unis effectués sur cette base sont devenus illicites, sauf à ce que :
-
-
- le responsable du traitement établi en UE ait apporté des garanties appropriées concernant le niveau de protection des données dans le pays vers lequel le transfert était envisagé ;
- les personnes concernées par le stockage de données disposent de voies de recours effectives.
-
Sources :
- - Règlement général sur la protection des données (RGPD)
- - Guide pratique : Les durées de conservation (cnil.fr)
- - Arrêt de la CJUE du 16 juillet 2020 affaire 311/18, Data Protection Commissioner c/ Facebook Ireland Ltd 621