La communication aux autorités américaines de données sur la base du Cloud Act est-elle en conflit avec le règlement général sur la protection des données ?

Résumé En Fr

It is debated whether the EU's general regulation on data protection of 25th May 2016 (GDPR), applicable as from 25th May 2018, prevents a firm that has been the addressee of an injunction form an authority in the US from communicating personal data held within EU territory. Does the fact that the US CLOUD Act allows such injunctions irrespective of where the data are located create a conflict with the GDPR? At the heart of this debate are articles 48 and 49 of the latter text, whose content is less than clear. In order to contribute usefully to this discussion, this study aims at clarifying the meaning of these articles, with a specific focus on the thrust of article 49(1)(d) of the GDPR, that provides for a derogation for important reasons of public policy.

Un débat s'est engagé sur la question de savoir si le règlement général sur la protection des données adopté par l'Union européenne (RGPD) le 24 mai 2016, applicable à partir du 25 mai 2018, empêche une entreprise destinataire d'une injonction américaine de communiquer des données personnelles détenues sur le territoire de l'Union européenne. Le fait que le Cloud Act autorise de telles injonctions indépendamment du lieu de détention des données crée-t-il un conflit entre le RGPD et le Cloud Act ? Au coeur de ces discussions se trouvent les articles 48 et 49 RGPD dont le sens n'est pas des plus clairs. En vue d'apporter quelques éléments de réponse il importe donc de clarifier le sens de ces articles et, surtout, la portée de l'article 49(1)(d) du RGPD prévoyant une dérogation pour des raisons importantes d'intérêt public, sur laquelle la présente étude se concentre.