Accueil

Le RGPD franchit les frontières de l'UE : la protection des données dans l'EEE

L'Espace économique européen (EEE) regroupe les États membres de l'Union européenne (UE) et les États membres de l'Association européenne de libre-échange (AELE), à l'exception de la Suisse. L'EEE a intégré le RGPD à l'accord sur l'Espace économique européen par une décision du Comité mixte de l'EEE du 6 juillet 2018, entrée en vigueur le 20 juillet 2018.

L'EEE étend les quatre libertés du marché intérieur de l'UE (libre circulation des marchandises, des personnes, des services et des capitaux) aux trois États de l'AELE, raison pour laquelle ils sont également soumis à la protection des données du RGPD. Dans cet article, nous allons parler de ce que cela signifie pour les pays de l'AELE, des avantages de l'adoption du RGPD et de la manière de garantir une application uniforme du RGPD.

EEE & RGPD : Qu'est-ce que cela signifie pour l'AELE ?

Essentiellement, la décision de l'EEE suppose que le RGPD, bien qu'il s'agisse d'une législation de l'UE, s'applique directement aux trois pays de l'AELE : l'Islande, la Norvège et le Liechtenstein.

En outre, le gouvernement du Liechtenstein a récemment fait une déclaration concernant la révision complète de sa loi sur la protection des données, qui entrera en vigueur le 1er janvier 2019. Entre-temps, le Liechtenstein applique une législation transitoire adoptée en tant que modification de la loi actuelle sur la protection des données.

D'un autre côté, l'Islande et la Norvège ont mis en œuvre leurs lois nationales sur la protection des données les 15 et 20 juillet 2018, respectivement.

Pourquoi l'EEE a-t-il adopté le RGPD ?

Le RGPD prévoit l'harmonisation des législations européennes en matière de protection des données à caractère personnel afin de faciliter la libre circulation de ces données entre les États membres. De cette manière, il favorise le développement de l’économie numérique dans le marché intérieur. Du point de vue de la gestion des données, cela génère clarté et transparence à l’échelle européenne. Par conséquent, dans son essence, le RGPD reconnaît l’ampleur de l’économie de données et sa croissance éventuelle —en tenant compte des innovations technologiques dans ce secteur— et vise à faciliter cette évolution de manière à ne pas perturber le marché unique.

Étant donné que l’accord EEE vise également l’homogénéité dans le marché unique, le RGPD était une législation essentielle à intégrer dans l’accord afin de garantir cette uniformité de l’économie numérique dans l’EEE. Comme dans le cas du RGPD, toute la législation pertinente de l'UE est intégrée dans l'accord EEE par une décision du Comité mixte de l'EEE, qui est adoptée après avoir obtenu l'approbation des pays de l'AELE et de l'UE conformément à des procédures spécifiques établies à cet égard.

Pourquoi l'adoption du RGPD est-il significatif ?

L'adoption du RGPD par le Comité mixte de l'EEE signifie que le règlement est désormais directement applicable à l'Islande, à la Norvège et au Liechtenstein, et que des données à caractère personnel peuvent circuler librement entre ces États et tous les États membres de l'UE. Autrement, conformément au RGPD, le transfert de données d'États membres de l'UE vers ces États serait considéré comme un transfert international de données, ce qui pourrait rendre nécessaire la prise d'une décision d'adéquation. L’intégration du RGPD dans l’accord EEE présente un autre avantage crucial : la pleine participation des États de l’EEE au mécanisme du « guichet unique ».

Cela sert à déterminer l'autorité principale de protection des données chargée de surveiller les activités des responsable ou sous-traitants qui opèrent dans plusieurs États. Cette disposition offre une sécurité juridique pour des responsables/sous-traitants spécifiques, indépendamment du pays dans lequel ils exercent leurs activités.

Application cohérente du GDPR

Le RGPD est une loi relativement nouvelle et il est logique de penser que son interprétation et son application évolueront avec le temps. Étant donné que l’idée centrale de ce règlement est l’homogénéité et la sécurité juridique, son application dans tous les États doit être cohérente.

Le Comité européen de protection des données (CEPD) et la Cour de justice de l'Union européenne (CJUE) joueront vraisemblablement un rôle central dans cette tâche.

Par conséquent, il est soulagé pour les pays de l'EEE que la composition du CEPD leur soit étendue. Toutefois, les représentants des pays de l'EEE n'ont pas le droit de vote au sein du CEPD et ils sont inéligibles à la présidence/vice-présidence du Comité. Cela signifie que les États de l'EEE ne disposent d'aucune autorité concrète pour contribuer au développement du RGPD.

Cela peut être considéré comme un inconvénient, notamment dans le contexte de décisions contraignantes en vertu de l'article 65, lorsqu'il existe des points de vue divergents entre les autorités de contrôle des États membres de l'UE et celles d'un État de l'EEE. Il reste à voir si cette situation changera à l'avenir.

En ce qui concerne les décisions de la CJUE, le Comité mixte de l'EEE est obligé de revoir constamment la jurisprudence et d'agir conformément à une interprétation homogène de l'accord. Cela garantit également un système de collaboration et d'échange d'informations entre la CJUE et la cour AELE.

Le cas de la Suisse

La Suisse n'est pas membre de l'EEE et que, par conséquent, le RGPD ne peut être appliquée directement. Cependant, la loi suisse sur la protection des données subira des révisions pour être alignée sur le RGPD. La version finale de la loi révisée a été publiée par le Conseil fédéral suisse le 15 septembre 2017 et devrait entrer en vigueur plus tard cette année ou au début de 2019.

 

Soumya Patnaik

Consultant en protection des données

rgpd gratuit guide

Contactez-nous

Avez-vous des questions sur cet article ou souhaitez-vous recevoir plus d'informations sur PrivacyPerfect ? S'il vous plaît, remplissez le formulaire suivant. Nous nous engageons à ne pas vous envoyer de newsletters à moins que vous n'y soyez activement abonné en cochant la case correspondante (décochée par défaut).