ELEA AVOCAT conseille une organisation internationale, financée par les Etats français et allemand, dans leurs relations contractuelles visant à renforcer la coopération franco-allemande

ELEA AVOCAT conseille une organisation internationale (ci-après dénommée Organisation F.), financée par l’Etat Français et l’Etat allemand, qui vise à renforcer la coopération franco-allemande en travaillant notamment avec des partenaires qui exercent la fonction de Central (ci-après dénommée Organisation G.).

Les centrales sont généralement des institutions du secteur de la jeunesse et de la formation professionnelle ou des autorités scolaires.

L’Organisation F. a demandé de l’aide pour définir les droits et obligations de chaque partie dans le cadre de ces projets et les obligations de leur partenariat sur la base des éléments suivants :

  • un accord de protection des données « RGPD »,
  • un Accord sur les conditions d’utilisation de l’application Internet ,
  • un accord sur la procédure simplifiée de paiement et de gestion des fonds et,
  • un accord sur la subvention des frais de personnel pour les permanents pédagogiques.

L’avocat a défini l’applicabilité du RGPD dans les questions suivantes :

« L’Organisation G. et les bureaux centraux sont établis en Europe. Quel que soit le statut juridique des institutions, le RGPD s’applique-t-il à elles ? Dans ce contexte, l’Organisation G., en tant qu’organe de la France et de l’Allemagne, n’est-elle pas en même temps une institution de l’UE au regard du RGPD ? [Par conséquent, les dispositions de l’article 44 du RGPD relatives à une déclaration conjointe de l’Organisation G. et de ses services centraux sur le respect des dispositions du RGPD sont supprimées, même si l’Organisation G. est une organisation internationale. Par conséquent, pour l’Organisation G., en tant que « sous-traitant dans l’UE », les clauses types de protection des données adoptées par la Commission ou l’établissement d’un accord avec des « clauses contractuelles contraignantes », conformément à l’article 46 du RGPD (transmission de données soumises à des garanties appropriées) ».

La question posée est de savoir dans quelles conditions l’Organisation F. peut être considéré comme exerçant une activité qui ne relève pas du champ d’application du droit de l’Union et échappe donc largement aux règles découlant du RGPD. L’activité de l’Organisation F. est donc une activité intrinsèquement européenne. Toutefois, l’Organisation F. ne saurait être considérée comme un institut de l’Union européenne puisqu’il s’agit d’une organisation internationale jouir d’une autonomie de gestion et d’administration.  À cet égard, il échappe à l’application directe du droit de l’Union européenne et un règlement tel que le RGPD ne peut s’y opposer. En ce sens, l’article 2§ 2, a) du RGPD dispose que « le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué : a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ». Et le considérant 16 du RGPD stipule également que « le présent règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le cadre de leurs activités liées à la politique étrangère et de sécurité commune de l’Union ». Ainsi, les activités de l’Organisation F. peuvent être qualifiées de politique étrangère.

L’Organisation F étant établie en France, a une activité fondamentalement européenne et traite les données des citoyens européens en surveillant leur comportement au sein de l’Union européenne, le RGPD peut lui être indirectement applicable par le biais de ses activités.

De nombreuses dispositions du RGPD font référence à des organisations internationales. Les dispositions des articles 44 et 46 du RGPD seraient, par exemple, applicables aux activités de l’OFAJ, en tant qu’organisation internationale transférant des données collectées sur le territoire de l’UE vers des territoires situés en dehors de l’UE ou vers d’autres organisations internationales.

En ce qui concerne le transfert de données vers un pays tiers, à la différence du transfert de données depuis un pays tiers, il y a des exigences supplémentaires à respecter. Le RGPD prévoit des dispositions particulières applicables aux transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales aux articles 44 à 50. Les articles 45 et 46 posent une exigence de décision d’adéquation de la Commission ou de garanties appropriées pour tout transfert vers un pays tiers ou une organisation internationale. A défaut d’une telle déclaration d’adéquation ou de garanties appropriées, le transfert des données peut être réalisé par dérogation dans des situations particulières et sous certaines conditions, prévues à l’article 49 du RGPD. Ces conditions sont mises en place afin de s’assurer que le pays tiers vers lequel les données sont transférées propose un niveau de protection adéquat par rapport aux standards européens.[1]

[1] Larcier, Le règlement général sur la protection des données, 2018

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *