Christiane Taubira,
Ministère de la justice •
2 mai 2017Dans son étude annuelle consacrée au numérique et aux droits fondamentaux, le Conseil d'Etat propose, en substance, de subordonner à l'autorisation préalable de l'autorité de contrôle compétente les transferts de données à caractère personnel vers certains Etats tiers lorsqu'ils sont requis par les autorités administratives ou judiciaires de cet Etat (proposition no 45). Cependant, toujours dans la même proposition, le Conseil d'Etat indique que la décision d'appliquer ce régime à un État tiers, prise par la Commission européenne, devrait être temporaire et renouvelable et être justifiée par le non-respect des standards de l'Etat de droit ou par le caractère excessif des pratiques de collecte de renseignement. Il ressort de cette étude du Conseil d'Etat (p. 327) que ses auteurs font grief à l'article 43bis de la proposition de règlement relatif à la protection des données à caractère personnel de protéger excessivement les données à caractère personnel des Européens lorsque les demandes émanent de pays respectant les standards de l'Etat de droit. En effet, l'article 43bis imposait, dans une version du projet du règlement introduite par le Parlement européen, que tous les transferts vers des Etats tiers de données à caractère personnel, lorsqu'ils sont requis par les autorités administratives ou judiciaires de cet Etat, soient autorisés par l'autorité de contrôle. Or cet article 43bis n'a pas été repris dans la version définitive du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel applicable à compter du 25 mai 2018. Ainsi, en l'état actuel du droit, le règlement n'impose plus d'autorisation préalable de l'autorité de contrôle compétente avant tout transfert. Il en résulte que la proposition issue de l'étude du Conseil d'Etat a perdu son objet.