Article 96 Relation avec les accords antérieurement conclus

Portée du maintien des accords existants

L'article 96 prévoit que les accords internationaux conclus par les États membres avant le 24 mai 2016 (date d'entrée en vigueur du RGPD) restent en vigueur jusqu'à ce qu'ils soient modifiés, remplacés ou révoqués. Cette disposition vise à préserver la continuité des relations internationales et à éviter un vide juridique qui pourrait résulter de l'abrogation automatique de ces accords.

Le maintien en vigueur est toutefois conditionné à la conformité de ces accords avec le droit de l'Union applicable au moment de leur conclusion, généralement la directive 95/46/CE. Les accords conclus en violation du droit de l'Union ne bénéficient pas de la protection de l'article 96 et sont invalides dès l'origine.

Les accords visés par l'article 96 incluent notamment les accords de coopération policière et judiciaire, les accords d'assistance administrative en matière fiscale ou douanière, les accords de sécurité sociale, et tous autres accords bilatéraux ou multilatéraux impliquant le transfert de données personnelles vers des pays tiers ou des organisations internationales.

Nécessité de révision pour mise en conformité

Bien que l'article 96 maintienne en vigueur les accords existants, il implique qu'ils doivent être révisés s'ils ne sont pas conformes aux exigences du RGPD. Le règlement établit des standards de protection plus élevés que la directive 95/46/CE, notamment en matière de transparence, de droits des personnes concernées, et de garanties pour les transferts internationaux.

Les États membres doivent donc examiner leurs accords internationaux existants et, si nécessaire, engager des renégociations pour les mettre en conformité avec le RGPD. Cette révision peut porter sur divers aspects : les finalités du transfert, les catégories de données transférées, les garanties de sécurité, les droits des personnes concernées, les mécanismes de recours, et les conditions de conservation et de destruction des données.

En l'absence de révision, les accords restent formellement en vigueur, mais leur application peut soulever des difficultés juridiques s'ils ne respectent pas les exigences du RGPD. Les autorités de contrôle peuvent notamment considérer que les transferts effectués sur le fondement de ces accords non révisés constituent des violations du règlement, susceptibles de sanctions.

Distinction entre accords des États membres et accords de l'Union

L'article 96 vise spécifiquement les accords conclus par les États membres, et non ceux conclus par l'Union européenne elle-même. Les accords internationaux conclus par l'Union relèvent d'un régime juridique distinct, régi par le droit des traités de l'Union et par la jurisprudence de la Cour de justice.

Les accords conclus par l'Union européenne doivent respecter le droit primaire de l'Union, incluant la Charte des droits fondamentaux, ainsi que le droit dérivé dont le RGPD fait partie. Ils doivent donc être conformes au règlement dès leur conclusion. Si des accords de l'Union antérieurs au RGPD se révèlent incompatibles avec le règlement, ils doivent être renégociés ou, à défaut, ne peuvent être appliqués dans la mesure de leur incompatibilité.

Cette distinction reflète la répartition des compétences entre l'Union et les États membres en matière de relations extérieures. Dans certains domaines, les États membres conservent la compétence de conclure des accords internationaux, tandis que dans d'autres domaines, cette compétence a été transférée à l'Union.

Articulation avec le chapitre V du RGPD

L'article 96 s'articule avec le chapitre V du RGPD, qui établit les conditions des transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales. Ce chapitre prévoit différents mécanismes pour autoriser de tels transferts : décision d'adéquation de la Commission (article 45), garanties appropriées telles que clauses contractuelles types ou règles d'entreprise contraignantes (article 46), ou dérogations pour des situations spécifiques (article 49).

Les accords internationaux visés par l'article 96 constituent généralement une forme de garanties appropriées au sens de l'article 46, dès lors qu'ils prévoient des mécanismes de protection des données transférées. Toutefois, pour bénéficier pleinement de cette qualification, ils doivent respecter l'ensemble des exigences du chapitre V, ce qui peut nécessiter leur révision.

Certains accords internationaux peuvent également relever de l'article 49, qui prévoit des dérogations pour des situations spécifiques, notamment lorsque le transfert est nécessaire à des motifs importants d'intérêt public reconnus par le droit de l'Union ou le droit d'un État membre. Cette base juridique peut être invoquée pour certains accords de coopération policière ou judiciaire, même en l'absence de garanties appropriées au sens de l'article 46.

Articulation avec les autres dispositions du RGPD

L'article 96 complète l'article 94, qui abroge la directive 95/46/CE. Tandis que la directive est abrogée, les accords internationaux conclus sur son fondement restent en vigueur, illustrant le principe de continuité juridique dans les relations internationales.

Il se combine également avec l'article 99, qui précise les dates d'entrée en vigueur et d'application du RGPD. La date de référence retenue à l'article 96 (24 mai 2016) est la date d'entrée en vigueur du règlement, et non celle de son application (25 mai 2018), permettant aux États membres de disposer d'un délai pour réviser leurs accords existants.

Jurisprudence relative à l'article 96

La jurisprudence spécifique à l'article 96 est encore limitée, car peu de contentieux ont porté sur la validité des accords internationaux au regard du RGPD. Toutefois, la Cour de justice de l'Union européenne a développé une jurisprudence abondante sur les transferts internationaux de données, notamment dans les affaires Schrems I et Schrems II, qui ont invalidé respectivement le Safe Harbor et le Privacy Shield.

Ces arrêts soulignent que les accords internationaux en matière de transfert de données doivent garantir un niveau de protection essentiellement équivalent à celui assuré au sein de l'Union européenne. Les États membres doivent donc veiller à ce que leurs accords bilatéraux respectent cette exigence, sous peine de voir les transferts effectués sur leur fondement invalidés par les juridictions ou interdits par les autorités de contrôle.

Recommandations de la CNIL et du CEPD

La CNIL recommande aux autorités publiques françaises de procéder à un inventaire systématique de leurs accords internationaux impliquant des transferts de données et d'évaluer leur conformité avec le RGPD. Elle encourage la renégociation des accords non conformes et, en attendant, la mise en place de garanties complémentaires pour assurer la protection des données transférées.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur les garanties appropriées pour les transferts internationaux, incluant des recommandations sur le contenu des accords internationaux. Il encourage les États membres à échanger leurs bonnes pratiques en matière de négociation et de rédaction de ces accords, afin de garantir une approche harmonisée au niveau européen.

Implications pratiques pour les autorités publiques

Les autorités publiques des États membres doivent procéder à un examen systématique de leurs accords internationaux conclus avant le 24 mai 2016 impliquant le transfert de données personnelles. Elles doivent identifier les accords potentiellement non conformes avec le RGPD et engager les renégociations nécessaires avec leurs partenaires internationaux.

Dans l'attente de la révision des accords, les autorités peuvent mettre en place des mesures complémentaires pour garantir la protection des données transférées : chiffrement des données, limitation des catégories de données transférées, mécanismes de contrôle renforcés, procédures de notification en cas de violation. Ces mesures permettent de concilier la continuité de la coopération internationale avec le respect des exigences du RGPD.

Les autorités publiques doivent également documenter les transferts effectués sur le fondement de ces accords et être en mesure de démontrer qu'ils respectent les principes du RGPD, conformément au principe d'accountability. Cette documentation peut s'avérer essentielle en cas de contrôle par une autorité de protection des données ou de contestation devant les juridictions.