RGPD : la Corée est déclarée « pays adéquat »

Publié le par - 1480 vues

La Commission européenne a adopté une décision d’adéquation pour le transfert des données personnelles de l’Union européenne vers la Corée du Sud. Les données personnelles peuvent donc circuler librement de – et vers – ce pays asiatique dont la croissance est phénoménale et avec qui l’Union a conclu récemment un accord de libre-échange.

Cette décision d’adéquation tombe à point nommé, quelques mois après l’accord de libre-échange conclu entre l’UE et la Corée du Sud (entré en vigueur en juillet 2021). La Commission valorise les échanges bilatéraux de biens et de services à 90 milliards d’euros par an, dont une grande partie dans des produits et services à haute valeur ajoutée dans le secteur technologique. Autant dire qu’avec des enjeux pareils, la décision d’adéquation était très attendue. 

Pourquoi une décision d’adéquation était-elle nécessaire ?

Un transfert, vers un pays tiers, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert « ne peut avoir lieu » que dans certaines hypothèses (art. 45 RGPD). Il faut en réalité lire cette disposition à l’envers : les transferts sont interdits sauf à démontrer que l’on est dans une des hypothèses visées.

Ces hypothèses sont :

  1. Le pays de destination a une législation reconnue par la Commission Européenne comme offrant une protection des données personnelles équivalente à celle existant en Europe ;
  2. Les organismes expéditeur et destinataire des données ont signé entre eux des clauses contractuelles types, sur la base des modèles de la Commission Européenne ;
  3. Le transfert a lieu entre des entités d’un groupe ayant adopté des règles internes d’entreprise (Binding corporate rules ou BCR). Ces règles internes constituent un code de conduite propre à l’entreprise, qui encadre la sécurité des transferts de données ;
  4. Le destinataire des données applique un code de conduite adopté par des organisations professionnelles en Europe et approuvé par l’autorité européenne de protection des données compétente ;
  5. Une certification, assortie de l’engagement contraignant et exécutoire pris par le responsable du fichier ou son sous-traitant dans le pays hors UE d’appliquer les garanties appropriées ;
  6. Dans certains cas particuliers prévus par le Règlement général sur la protection des données (par exemple, la sauvegarde de la vie d’une personne) ;
  7. Une autorisation préalable de l’autorité dont le responsable relève, en cas de clauses contractuelles propres différentes des clauses types ou en cas de dispositions intégrées dans les arrangements entre autorités et organismes publics.

La première hypothèse est évidemment la plus confortable puisqu’elle évite aux entreprises la mise en place de systèmes fastidieux et coûteux. Pour autant, c’est l’hypothèse la plus rare, précisément parce qu’elle dépend du niveau de protection des données dans le pays tiers, et que ce niveau relève de la souveraineté nationale de ce dernier.

Dans la foulée de la signature de l’accord de libre-échange, la Corée du Sud s’est donc attachée à la mise à jour de sa législation en matière de protection des données personnelles. C’est ce travail de mise à niveau qui est salué par la commission européenne à travers la décision d’adéquation.

Une décision plus politique que juridique

Depuis les arrêts de la Cour de justice, on sait que cette décision a une valeur plus politique que juridique. On se rappelle en effet que la Cour a invalidé le Safe Harbor (2015) et le Privacy Shield (2020) qui devait prendre le relais du premier nommé après son annulation. Tous les deux étaient des mécanismes destinés à régler spécifiquement la question des transferts UE-USA, et ces mécanismes reposent sur une logique similaire : la mise en place d’un cadre juridique ad hoc dans le pays de destination, de façon à rehausser le niveau de protection des données et faciliter la libre circulation des données.

En particulier, dans son arrêt rendu de 2020 (arrêt dit Schrems 2), la Cour invalide le privacy Schield en raison de l’accès aux données par les autorités américaines. La cour a estimé qu’en vertu du droit américain en vigueur, les autorités peuvent accéder trop facilement aux données, réduisant quasiment à néant la protection mise en place par le privacy shield.

Or, la possibilité pour les autorités coréennes d’accéder aux données est précisément le point faible du système, dénoncé par l’EPDB dans son avis rendu en septembre 2021.

Quels sont les pays « adéquats » ?

La Commission européenne a reconnu les pays suivants : Andorra, Argentina, Canada (commercial organisations), Faroe Islands, Guernsey, Israel, Isle of Man, Japan, Jersey, New ZealandRepublic of KoreaSwitzerland.

Plus d’infos ?

En lisant la décision d’adéquation de la Commission Européenne, disponible en annexe.

Droit & Technologies

Annexes

Décision d’adéquation 16 décembre 2021

file_download Télécharger l'annexe

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK