Sur 5 juin 2025Le Conseil européen de la protection des données (CEPD) a publié ses lignes directrices définitives sur la protection des données à caractère personnel. Article 48 du règlement général sur la protection des données (RGPD). Cet article essentiel traite des demandes légales de données à caractère personnel émanant d'autorités de pays tiers. Le principe fondamental renforcé par ces lignes directrices est que Les responsables du traitement des données et les sous-traitants de l'UE ne peuvent pas se contenter de se conformer à des ordonnances étrangèresmême ceux émanant d'organismes gouvernementaux, à moins qu'il n'y ait une un traité international contraignant d'entraide judiciaire (MLAT) ou un accord de coopération équivalent en place. Cela signifie que les accords informels ou internes ne sont plus considérés comme une justification suffisante pour de tels transferts de données.
Pourquoi ces changements sont-ils importants ?
Ces lignes directrices actualisées représentent un changement substantiel pour les organisations opérant dans plusieurs juridictions. Les entreprises ayant des bureaux à la fois dans l'UE et dans des "pays tiers" (nations en dehors de l'UE/EEE) comme les États-Unis, la Chine ou l'Australie doivent désormais faire preuve d'une extrême prudence. Ce qui aurait pu être auparavant une demande de données de routine de la part d'une société mère à l'étranger ou d'un régulateur étranger pourrait maintenant être considéré comme une divulgation illégale en vertu du GDPR.
Les conséquences de la non-conformité sont graves et d'une grande portée :
- Amendes substantielles : Le GDPR prévoit des sanctions financières importantes en cas de violation, pouvant s'élever à des millions d'euros ou à un pourcentage du chiffre d'affaires annuel mondial.
- Réaction des utilisateurs : Les personnes concernées dont les droits ont été violés peuvent intenter une action en justice ou exprimer leur désapprobation publique, ce qui entraîne une perte de confiance.
- Atteinte à la réputation : La non-conformité peut gravement nuire à l'image publique d'une organisation et à sa position auprès des clients et des partenaires.
En outre, ces lignes directrices s'étendent au-delà des entités basées dans l'UE. Même les entreprises non européennes qui traitent de manière significative des données à caractère personnel provenant de l'UE sont désormais obligées de réviser en profondeur leurs processus de gouvernance afin de répondre à ces exigences strictes.
Contexte et lignes directrices révisées : Comprendre la position de l'EDPB sur les transferts transfrontaliers de données
Le 5 juin 2025, le Comité européen de la protection des données (CEPD) a publié ses lignes directrices définitives sur l'article 48 du règlement général sur la protection des données (RGPD). Cet article crucial traite des demandes légales de données à caractère personnel émanant d'autorités non européennes. Le principe fondamental renforcé par ces lignes directrices est qu'il est interdit aux responsables du traitement et aux sous-traitants de l'UE de se contenter de se conformer aux ordres étrangers, même ceux émanant d'organismes gouvernementaux, à moins qu'il n'existe un traité international contraignant d'entraide judiciaire (MLAT) ou un accord de coopération équivalent. Cela signifie que les accords informels ou internes ne sont plus considérés comme une justification suffisante pour de tels transferts de données.
Actions recommandées pour la mise en conformité
Pour s'adapter efficacement à ces nouvelles exigences et garantir la conformité, les organisations doivent mettre en œuvre les actions suivantes :
- Mettre à jour les procédures opérationnelles standard (POS) : Il est impératif d'intégrer un processus obligatoire en deux étapes dans les procédures opérationnelles standard existantes. Ce processus doit garantir que toutes les demandes de données transfrontalières sont immédiatement transmises aux équipes juridiques et/ou de conformité pour une vérification approfondie du MLAT ou d'un accord équivalent avant tout transfert de données.
- Formation complète du personnel : Fournir une formation solide à toutes les équipes concernées, y compris le personnel juridique, informatique et opérationnel. Cette formation doit expliquer clairement la nouvelle exigence de double confirmation et l'examen plus approfondi des demandes de données étrangères.
- Mécanismes d'audit et de rapport : Mettre en place un système rigoureux pour enregistrer chaque demande de données reçue, ainsi que chaque cas de refus de s'y conformer. Cet enregistrement méticuleux constituera une preuve cruciale de diligence raisonnable et démontrera que l'organisation est prête à se conformer à la loi en cas d'audit.
En abordant ces domaines de manière proactive, les organisations peuvent atténuer les risques et s'assurer que leurs pratiques de traitement des données sont conformes aux lignes directrices renforcées de l'EDPB concernant l'article 48 du GDPR.
- Nous pouvons vous aider à vous mettre en conformité avec le FADP !
Des conseils d'experts, des solutions abordables et une démarche claire vers la conformité
