Le règlement général relatif à la protection des données (RGPD) prévoit que des données à caractère personnel peuvent être transférées vers un pays tiers si celui-ci assure un niveau de protection adéquat de ces données.
En labsence dune décision de la Commission constatant ladéquation du niveau de protection assuré dans le pays tiers en cause, le responsable du traitement peut néanmoins procéder au transfert sil entoure celui-ci de garanties appropriées. Ces garanties peuvent, notamment, prendre la forme dun contrat entre lexportateur et limportateur des données intégrant des clauses types de protection prévues dans la décision 2010/87/UE du 12 juillet 2016.
Dans la cadre d’une procédure initiée par un utilisateur autrichien de Facebook, ayant donné lieu à un arrêt de la Cour de justice de l’Union européenne (CJUE) le 6 octobre 2015, l’avocat général près la CJUE a été amené à se prononcer sur la validité de cette décision 2010/87/UE.
Dans ses conclusions rendues le 19 décembre 2019, lavocat général considère, en premier lieu, que le droit de lUnion sapplique aux transferts de données à caractère personnel vers un pays tiers lorsque ces transferts obéissent à des finalités commerciales même si les données transférées sont susceptibles de subir de la part des autorités publiques de ce pays tiers des traitements à des fins de sécurité nationale.
En deuxième lieu, lavocat général constate que les dispositions du RGPD relatives aux transferts vers des pays tiers ont pour but dassurer la continuité dun niveau élevé de protection des données à caractère personnel, que les données soient transférées sur le fondement dune décision dadéquation ou en vertu de garanties appropriées fournies par lexportateur. Selon lui, la manière datteindre cet objectif diffère cependant en fonction de la base juridique du transfert.
Dune part, une décision dadéquation a pour objet de constater quun pays tiers déterminé assure, en raison du droit et des pratiques qui sy appliquent, un niveau de protection des droits fondamentaux des personnes dont les données sont transférées qui soit substantiellement équivalent à celui qui résulte du RGPD, lu à la lumière de la Charte des droits fondamentaux de lUnion européenne.
Dautre part, les garanties appropriées fournies par lexportateur, notamment par la voie contractuelle, doivent elles-mêmes assurer un tel niveau de protection. A cet égard, les clauses contractuelles types adoptées par la Commission prévoient un mécanisme général applicable aux transferts quels que soient le pays tiers de destination et le niveau de protection qui y est assuré.
Lavocat général procède, en troisième lieu, à un examen de la validité de la décision 2010/87 au regard de la Charte. Il estime que le fait que cette décision et les clauses contractuelles types quelle énonce ne lient pas les autorités du pays tiers de destination et ne les empêchent donc pas dimposer à limportateur des obligations incompatibles avec le respect de ces clauses ne rend pas, à lui seul, ladite décision invalide. La conformité de la décision 2010/87 à la Charte dépend du point de savoir sil existe des mécanismes suffisamment solides permettant dassurer que les transferts fondés sur les clauses contractuelles types soient suspendus ou interdits en cas de violation de ces clauses ou de limpossibilité de les honorer.
Selon lui, tel est le cas dans la mesure où il existe une obligation – pesant sur les responsables du traitement et, en cas dinaction de ces derniers, sur les autorités de contrôle – de suspendre ou dinterdire un transfert lorsque, en raison dun conflit entre les obligations découlant des clauses types et celles imposées par le droit du pays tiers de destination, ces clauses ne peuvent pas être respectées.