Les articles 45, 46, 47 et 49 du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation desdites données (RGPD, Règlement), en admettant les transferts de données à caractère personnel hors de l’Union européenne (UE), fixent aussi les modalités fondamentales et fonctionnelles de ce qu’ils sont : des exceptions.

La notion de transfert de données à caractère personnel en dehors de l’UE est très large, et recouvre toute opération sur les données, faite à partir du territoire d’un Etat non membre de l’UE, y compris une simple consultation, même dans le cadre professionnel : en principe, le responsable de traitement ou le sous-traitant ne peut et ne doit transférer de données à caractère personnel vers un pays non membre de l’UE, de niveau de qualité de sécurité, et de méthodes de contrôles qui peuvent ne pas être conformes aux exigences du RGPD.

A ce propos néanmoins, le RGPD laisse un espace d’autonomie aux ordres juridiques nationaux, non européens, à l’effet de bénéficier des flux internationaux desdites données. Ainsi, actuellement il y a environ 49 pays adéquats sur 210, dont 37 sur 53 en Europe, 2 sur 55 en Afrique, 1 sur 23 en Amérique du Nord, 1 sur 15 en Amérique du Sud, dont 1 en adéquation sous condition ou partielle (Etats-Unis), 2 sur 47 en Asie, 3 sur 15 en Océanie.
Quant au potentiel du marché des données à caractère personnel, sur la totalité de la population mondiale, l’Asie pèserait 59,7 %, l’Afrique 16,6 %, l’Europe 9,8 %, l’Amérique latine et les Caraïbes 8,6 %, les États-Unis et le Canada 4,8 %, l’Océanie 0,5 %, et l’Antarctique 0,0 % environ.
Dans l’ensemble, en Europe, par exemple, les données représenteraient un marché d’environ 1.000 milliards d’euros. Au regard des personnes concernées, la patrimonialisation des données à caractère personnel leur permet de devenir légalement propriétaires de leurs données personnelles sur Internet et d’en maîtriser l’exploitation.

Ainsi, le potentiel financier, par individu, des données à caractère personnel avait été révélé par une étude du Ponemon Institute en 2015 : « les internautes seraient prêts à faire commerce de leurs data aux barèmes ci-après : 64 euros en moyenne pour un mot de passe, 47 euros pour un numéro de sécurité sociale, 30 euros pour une information de paiement, 25 euros pour divulguer les crédits qu’ils ont contractés et 17 pour confier une habitude de consommation, 2,50 euros pour une donnée d’identification, 30 euros ou 75 euros pour une donnée de santé, respectivement pour les Européens et les Américains. » [1].

Les données à caractère personnel sont donc un enjeu personnel, financier, économique, politique, sécuritaire et en tout point de vue stratégique, pour les Etats et les organisations publiques et privées, ainsi que les personnes concernées par le traitement de leurs données à caractère personnel.

Ce qui soulève la question sous-jacente relative au risque-pays, avec la précision qu’autant la protection de données à caractère personnel relève du juridique, autant les problématiques relatives à leurs flux internationaux sont d’ordre essentiellement économique. Mais, qu’elles soient de nature juridique ou économique, l’existence d’un environnement légal et réglementaire systémique et l’effectivité de la satisfaction des exigences du RGPD, dans le cadre du transfert de données à caractère personnel hors de l’UE, relèvent du juridique et du juridictionnel, pour l’essentiel.

I. Risques, objectifs et approches des transferts de données à caractère personnel dans un environnement insuffisamment protecteur.

A. Risques du transfert de données à caractère personnel hors UE.

La question du transfert de données à caractère personnel, hors UE, pose le problème du risque général de l’espace juridique considéré - soit l’Etat tiers soit l’organisation internationale. Il s’agit en tout point de vue d’un risque pays juridique. Selon Bernard Marois, Le Risque-Pays, PUF, 1990 : « Le risque-pays peut être défini comme le risque de matérialisation d’un sinistre, résultant du contexte économique et politique d’un Etat étranger, dans lequel une entreprise effectue une partie de ses activités », notamment pour certains pays présentant des vulnérabilités et des insuffisances juridiques, par transposition aux cas des pays sans protection ou avec une faible protection de données à caractère personnel.
Quant aux risques particuliers, l’on peut citer : la non-protection de la vie privée et de la réputation des personnes concernées par les transferts de données, et le manque à gagner financier pour les acteurs économiques et les personnes dont les données sont traitées à leur insu, alors même qu’elles génèrent des revenus substantiels à ceux qui les collectent et les traitent.

B. Objectifs des exigences de la protection de données à caractère personnel hors UE.

De manière générale, l’objectif est donc d’évincer ces risques essentiellement liés au niveau de protection juridique de l’Etat tiers, ou de l’organisation internationale considéré(e), en amoindrissant ce qui peut être qualifié ici de risque-pays juridique. Particulièrement, il s’agit de : réguler la circulation de données européennes, maintenir le bénéfice des droits personnels et économiques fondamentaux des personnes concernées, homogénéiser les règles de gestion de données à caractère personnel, continuer l’expansion du marché et des flux internationaux des données à caractère personnel.

C. Approches de protection de données à caractère personnel hors UE.

En termes d’approche, il en existe deux. La première approche est basée sur la lettre du RGPD et traite de l’exception au regard du régime des autorisations. La seconde approche, quant à elle, non seulement examine la question en considération de la jurisprudence et des avis du Comité Européen de la Protection des Données (CEPD), mais aussi propose des pistes de stratégies aux acteurs. A titre de rappel, le CEPD, anciennement appelé Groupe de l’Article 29 (G29), est une autorité de contrôle indépendante qui a pour mission première, de s’assurer que les institutions et organes européens respectent le droit à la vie privée et à la protection de données lorsqu’ils traitent des données à caractère personnel et élaborent de nouvelles politiques.

II. Transfert de données à caractère personnel et autorisation.

On distingue trois cas de transferts de données avec ou sans autorisation.

A. Le transfert de données hors UE, sans autorisation particulière de l’Autorité de contrôle.

C’est le cas des transferts de données hors UE, sans autorisation particulière de l’Autorité de contrôle, et notamment vers un Etat tiers dont le niveau de protection de données a été jugé adéquat par la Commission européenne. L’Autorité de contrôle est un organisme public qui agit au nom de l’Etat, sans être placé sous l’autorité du gouvernement ou d’un ministre et dont le rôle est d’alerter, de conseiller et d’informer tous les publics, mais aussi de disposer également d’un pouvoir de contrôle et de sanction Les trois cas y afférents concernent le transfert garanti : pour les autorités ou organismes publics, par un instrument juridiquement contraignant et exécutoire ; pour les multinationales, par des règles d’entreprise contraignantes ou Binding Corporate Rules, et pour tous les acteurs publics ou privés, soit par des clauses types adoptées par la Commission ou par une Autorité de contrôle nationale et approuvées par la Commission, soit par des codes de conduite ou des mécanismes de certification approuvés.

B. Le transfert de données hors UE avec autorisation particulière de l’Autorité de contrôle.

Le deuxième cas est celui du transfert de données hors UE avec autorisation particulière ou préalable de l’Autorité de contrôle. Dans ces cas, ci-après énumérés, l’Autorité de contrôle compétente doit évaluer les outils de garantie avant de les soumettre aux autres Autorités pour des besoins de cohérence : d’abord les clauses contractuelles ad hoc c’est-à-dire non-types, destinées à mettre en place des garanties appropriées, et utilisables par les multinationales ; en second lieu les dispositions intégrées dans les arrangements administratifs des autorités publiques ou des organismes publics prévoyant des droits opposables et effectifs pour les personnes concernées.

C. Le transfert de données avec information de l’Autorité de contrôle et de la personne concernée.

Le troisième et dernier cas est celui du transfert avec information de l’Autorité de contrôle et de la personne concernée. Ses hypothèses sont celles-ci-après : le transfert ne revêt pas de caractère répétitif, le transfert ne touche qu’un nombre limité de personnes concernées, le transfert est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement, les transferts sont ceux sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée.

III. Transfert de données à caractère personnel et stratégies possibles.

A. Typologie des stratégies de transferts de données à caractère personnel.

Sans perdre de vue que l’approche des stratégies reste dans la logique dérogatoire, il existe les trois options substitutives ou en cascade, orientées solutions ci-après : s’installer dans un Etat assurant un niveau de protection adéquat, prendre des garanties appropriées, assurer les transferts atypiques.

1. Stratégie de la protection adéquate.

a. La signification de la protection adéquate.

S’installer dans un Etat assurant un niveau de protection adéquat, option qui est privilégiée par le RGPD, s’entend de plusieurs éléments qui doivent être pris en compte pour traduire un niveau « substantiellement équivalent à celui garanti au sein de l’UE », c’est-à-dire, qui, au moyen de sa législation interne ou de ses engagements internationaux, offre le même niveau impératif et protecteur de droits de la personne concernée par le traitement de ses données à caractère personnel, que l’Union européenne, et permet de l’appliquer à tous les types de données à caractère personnel transférées aux opérateurs commerciaux dudit pays ou de ladite organisation internationale.
L’adéquation est attribuée au moyen d’adoption de décision par la Commission européenne.

b. Les critères généraux exigés pour traduire l’existence d’un niveau de protection adéquat.

Les critères généraux exigés sont les suivants : l’existence et le fonctionnement effectif d’une ou plusieurs autorités de contrôle indépendantes dans l’Etat tiers ou l’organisation internationale considéré(e), l’existence d’une législation qui, non seulement protège les données à caractère personnel ainsi que les personnes concernées, mais aussi inclut la démonstration de l’effectivité du respect des droits de l’homme et des libertés fondamentales, et des dispositions sectorielles pouvant impacter ladite protection, l’existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l’Union et dont les données à caractère personnel sont transférées, et la mise en place de dispositifs véritablement contraignants, soit prévus par la réglementation de l’Etat tiers, soit fixés contractuellement par l’organisation internationale considérée.

c. Les indicateurs pris en considération dans l’évaluation de la possibilité d’agréer l’exception de transfert de données hors UE.

Ces indicateurs sont : la nature des données transférées, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales et sectorielles, la sécurité publique, la défense, la sécurité nationale et le droit pénal, l’accès des autorités publiques aux données à caractère personnel, et l’adhésion à la Convention du Conseil de l’Europe du 28 janvier 1981.

2. Stratégie des garanties appropriées.

Cette stratégie n’est envisageable que lorsque l’on est en l’absence de l’adéquation.

a. Liste des garanties appropriées.

Les garanties appropriées auxquelles devrait avoir recours le responsable de traitement ou le sous-traitant sont les suivantes : les clauses contractuelles types de l’UE, les règles internes contractuelles - binding corporate rules -, un code de conduite, et un mécanisme de certification. Lesdites garanties peuvent être superposées ou cumulées.
Les clauses contractuelles types de l’UE correspondent mieux aux cas où les transferts restent relativement limités en nombre et en étendue.

Le code de conduite, quant à lui, présente un intérêt pour des traitements essentiellement sectoriels, en prenant en compte les besoins spécifiques rattachés aux activités de certains corps de métiers : banque, assurance, santé, etc.
Des petites, micro ou moyennes entreprises peuvent y trouver le moyen d’alléger leurs formalités sans pour autant minimiser leur responsabilité en termes d’Accountability dont les composantes sont : procédures internes et formation, gouvernance, transparence, cartographie des traitements, formalisation des études d’impact sur la vie privée, effectivité des droits des personnes concernées, notification des violations de données, contrôle et audit.
Les règles internes contractuelles - binding corporate rules (BCR) ou règles d’entreprise contraignantes - sont à la disposition des sociétés multinationales ou des groupes d’entreprises, avec l’avantage qu’elles s’appliquent à l’ensemble des filiales dès lors qu’elles sont arrêtées. Leur extension est prévue dans l’hypothèse de responsables conjoints de traitement. Elles présentent une plus grande lisibilité car, elles sont réunies dans un seul et même ensemble de dispositions, fixant tous les pré-requis et la procédure à suivre.
Le mécanisme de certification permet d’assister les responsables de traitement dans leurs démarches de conformité, démontrant aux acteurs qu’ils respectent leurs obligations.
Il est possible de superposer différentes garanties appropriées retenues.

b. Objectifs des dispositifs à mettre en place en vue des garanties appropriées.

Le responsable de traitement ou le sous-traitant se doit de mettre en place prioritairement les dispositifs ci-après, permettant aux personnes concernées de bénéficier de droits opposables et de voies de droit effectives - droit d’engager un recours administratif ou juridictionnel effectif, droit d’introduire une action en réparation dans l’UE ou dans un Etat tiers.
Les garanties en question sont au nombre de deux. Premièrement, il s’agit de la garantie du respect des principes généraux concernant le traitement de données à caractère personnel sous l’empire du RGPD : loyauté, licéité et transparence du traitement, limitation des finalités, minimisation des données, exactitude des données, limitation de la durée de conservation des données, intégrité et confidentialité (sécurité) des données. En second lieu, il y a la garantie des principes de protection des données, dès la conception, et de protection des données par défaut - privacy by design et privacy by default.

c. Les critères de choix d’une garantie appropriée retenue.

Les raisons du choix des règles internes contraignantes pour les multinationales sont les suivantes : elles s’appliquent à l’ensemble des filiales dès lors qu’elles sont arrêtées, le RGPD fait explicitement référence à cette solution, et prévoit son extension à l’hypothèse de responsables de traitement conjoints, elles présentent une plus grande lisibilité car, elles sont réunies dans un seul et même ensemble de dispositions, fixant tous les prérequis et la procédure à suivre.

3. Stratégie des transferts atypiques.

Les transferts atypiques sont un dispositif qui suppose un transfert occasionnel c’est-à-dire non répétitif, et en aucun cas régulier, et en de circonstances imprévues ou à intervalles arbitraires.

a. Conditions de permission de transferts atypiques.

Pour qu’ils soient considérés comme légaux, les transferts atypiques doivent : soit ne pas avoir un caractère répétitif, soit être nécessaires aux fins des intérêts légitimes ou impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les droits et libertés de la personne concernée, soit faire l’objet d’une évaluation de toutes les circonstances entourant le transfert offert, des garanties appropriées en ce qui concerne la protection des données à caractère personnel, par le responsable de traitement ou le sous-traitant.

b. Liste des situations particulières de traitement relatives aux transferts atypiques.

Les situations particulières de traitement relatives aux transferts atypiques se retrouvent dans les cas ci-après : la personne concernée a donné son consentement au transfert envisagé, en connaissance de cause et des risques, le transfert est nécessaire à l’exécution d’un contrat entre la personne et le responsable de traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée, le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable de traitement et une autre personne physique ou morale, le transfert est nécessaire pour des motifs importants d’intérêt public, le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice, le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement, le transfert a lieu au départ d’un registre qui est destiné à fournir des informations au public en général ou de toute personne justifiant d’un intérêt légitime, et le transfert ne revêt pas de caractère répétitif, ne touche qu’un nombre limité de personnes concernées, est nécessaire aux intérêts légitimes impérieux poursuivis par le responsable du traitement.

B. Impacts des stratégies de transferts de données à caractère personnel hors UE.

1. Portée des stratégies.

En considération de la qualité du bénéficiaire, la stratégie de l’adéquation relève de l’Etat tiers, tandis que pour une organisation internationale, les stratégies contractuelles par des garanties appropriées et les traitements atypiques semblent indiqués.
Il est évident que la stratégie d’adéquation est plus appropriée pour une étendue globale à l’échelle de tout un pays, voire tous les types de traitements et tous les secteurs, tandis que les garanties et les traitements atypiques conviendraient à une sphère bien moins importante, notamment à la taille des organisations multinationales, avec le risque que certains secteurs ou des traitements de certaines natures soient concernés, à l’exclusion d’autres.
La stratégie de l’adéquation permettrait d’évincer de manière générale et systémique les insuffisances, alors que les garanties et les cas atypiques ne les évinceraient que de manière partielle.

2. Risques sur les stratégies et les risques sur la valeur des données.

a. Les risques sur les stratégies.

Il est à craindre que, de manière générale, les garanties appropriées, ainsi que les diverses et multiples mesures des cas atypiques aient pour objectif l’évitement de l’adéquation. La conséquence en serait l’échec de l’adéquation qui pourrait alors avoir pour origines : soit la non-existence d’un socle juridique initial dédié soit la non-existence d’une historicité juridictionnelle et de contrôle satisfaisante.

b. Les risques sur les données.

Les Etats tiers et les organisations multinationales insuffisamment protecteurs courent le risque de ne pouvoir accéder aux données à caractère personnel de l’UE, perdant ainsi le bénéfice d’un marché important, non seulement en rapport avec l’impossibilité d’assurer des prestations de traitement desdites données, mais aussi en termes d’analyse des marchés européens dont ils peuvent aussi être des vendeurs.

L’exploitation de données à caractère personnel, permet aujourd’hui d’anticiper, prédire et adapter les produits aux besoins de chacun, ce qui les rend indispensables aux entreprises et administrations et organisations - réduction des coûts opérationnels, maintenance prédictive sur les équipements, réduction de la fraude, optimisation de processus-clés, etc. - à la création de nouveaux services innovants : simplification de démarches pour le citoyen, meilleure compréhension des problèmes des clients via l’analyse comportementale, etc.

En outre, dans l’hypothèse où les données à caractère personnel desdits Etats tiers et organisations multinationales adviendraient à être acceptées dans les flux internationaux, elles peuvent, dans le cas où elles ne sont pas interdites ou accessibles, être cotées en dessous de leur valeur car, ne présentant que peu d’éléments sur leur fiabilité et leur qualité. Il en a été ainsi avec les matières premières d’une certaine provenance.

IV. Propositions relatives à l’approche d’éviction du risque pays juridique.

La conformité n’impose pas de reproduire in extenso la copie conforme de la législation européenne. Ce qui laisse une marge de manœuvre et une force de proposition propre, dès lors que certains gages juridiques et juridictionnels sont mis en œuvre. Les approches et les stratégies peuvent varier selon le niveau de protection juridique du pays ou de l’organisation internationale considéré(e), et des éléments d’amélioration ou d’amoindrissement du risque pays juridique en matière de transfert de données à caractère personnel sont possibles.

A. La création d’une législation et d’un environnement juridique et juridictionnel adaptés et empreints de prévisibilité.

A l’échelle d’un Etat tiers, faire bénéficier à ses acteurs économiques de l’entrée dans le marché européen et international des flux de données à caractère personnel, commande une mise à niveau législative et réglementaire conséquente, mais conforme aux exigences du RGPD.

Il en va de même du système procédural et de répression, de protection et d’exercice de droits qui devrait être prévisible, facile de saisine, diligent, avec des procédures plus courtes, claires et justes.
Enfin, l’impunité gagnerait à diminuer, surtout à l’égard des acteurs du traitement qui sont sources du plus grand nombre d’abus, eu égard à leur pouvoir financier, économique et compétenciel.

B. Le séquencement de l’approche.

La démarche vers la conformité au RGPD peut s’avérer chronophage. Ainsi, par exemple, un instrument législatif pourrait être assorti d’un calendrier et des dispositifs crédibles qui vont permettre d’encadrer les garanties et les cas atypiques concomitamment à la procédure d’adéquation.

1. L’enclenchement d’un programme législatif d’adéquation : long terme.

Si la mesure de création législative et réglementaire peut être mise sur pied dans un temps maîtrisable et diligent, toute la finesse de la difficulté peut résider au niveau de l’évaluation de la praxis juridique et juridictionnelle, et l’évaluation post législative qui va permettre de mesurer l’effectivité des protections et des sanctions, ainsi que la capacité de la puissance publique à amoindrir le risque pays juridique au regard de nouvelles règles érigées : cela peut prendre du temps et ce n’est pas définitif car, la réévaluation, l’abrogation, la modification ou la suspension de la décision d’adéquation est possible.

2. La pratique des garanties appropriées : court terme.

En attendant l’adéquation, il peut être mené une politique incitative des acteurs qui va permettre de poser à court termes des règles de garanties en attendant une loi plus significative. En plus, cela pourrait permettre de dépasser l’abstraction de l’administration au moyen des exigences et des mesures détaillées sur les flux des données considérées, la finalité du traitement, etc, pouvant aller au-delà du RGPD en termes de rigueur et de niveau d’exigences, y compris une procédure de contrôle non seulement de l’organisation de la protection des données, mais aussi de l’opposabilité des droits des personnes.

3. Les cas atypiques : immédiat.

Un cadre législatif et réglementaire souple pourrait être mis sur pied, à l’effet d’encadrer, en tant que de besoin, les cas atypiques. Ainsi, par exemple, il serait opportun de mettre en place des instruments de détection de seuils quantitatifs et qualitatifs de transfert ou de traitement de données à caractère personnel, au-delà desquels il y aurait l’obligation de surclasser les exigences dues par l’organisation internationale qui, ne devrait plus être éligible aux cas atypiques, mais plutôt à la stratégie des garanties appropriées.

4. L’accumulation des stratégies.

La non association des stratégies et l’approche en cascade, substitutive, successive et alternative des stratégies est une solution jurisprudentielle. Mais, il n’est pas impossible de procéder par l’accumulation ou la superposition des stratégies. Cette solution est déjà admise en ce qui concerne les garanties appropriées. Elle peut, légitimement, être étendue et implémentée dans le cadre de la mise en œuvre de toutes les stratégies, étant entendu que l’objectif premier desdites stratégies est le rapprochement des exigences, heureusement, draconiennes du RGPD.
Ceci serait susceptible de jouer considérablement en faveur du processus d’adéquation auprès de la commission européenne, en l’occurrence, qui y verrait des gages d’une volonté indiscutable d’atteindre la conformité juridique.

Ce qu’il faut retenir.

Toute la chaîne de profitabilité et de la valeur des données réside moins en elles-mêmes qu’en les techniques d’analyse de celles-ci, autrement dit, leur transfert et leur traitement.
La question des données à caractère personnel, initialement consacrée à la protection de la personne et de la vie privée, a aujourd’hui une prégnance considérable en matière financière et économique, en raison de la valeur que lesdites données ont prise dans le marché y dédié, y compris au bénéfice des personnes concernées par le traitement, et notamment dans l’hypothèse de leur patrimonialisation et de leur commercialisation au détail. C’est donc, par voie de conséquence, une question qui interpelle le climat des affaires, la sécurité juridique, les droits de la personne et l’état de l’Etat de droit dans un environnement ou un ordre juridique national considéré.
D’où l’inévitable et omniprésente notion de risque pays en la matière, dont se préoccupe, comme de juste, le RGPD. Ce qui appelle une réelle mise à niveau juridique des États, entreprises, administrations et organisations qui souhaitent être acteurs et tirer bénéfice des très lucratifs flux internationaux de données à caractère personnel.
Les exigences drastiques de l’exception de transfert et de traitement de données hors UE ont pour postulat que les Etats tiers et les organisations internationales potentiellement bénéficiaires, en raison du risque juridique, ne peuvent et ne doivent ni recevoir les transferts ni traiter les données à caractère personnel tant qu’ils ne présentent pas, au moins, un niveau égal de protection des droits des personnes concernées, et de respect des devoirs des acteurs des traitements considérés.
Mais, encore, l’inadéquation des Etats tiers et des organisations internationales, au sens de la lettre et de l’esprit du RGPD entraîne leur mise à l’écart, ipso facto, du marché européen et international, ainsi que des flux de données à caractère personnel, dont l’inépuisable potentiel économique, financier et stratégique est établi.

La non-conformité peut, donc, s’avérer d’un préjudice considérable, non seulement pour les entreprises, les administrations, les organisations et les personnes concernées dont les données courent le risque d’être transférées, traitées et transigées dans des espaces économico-juridiques insuffisamment protecteurs, et qui, légitimement, voudraient participer au très fructueux et rentable marché de données à caractère personnel.
Cette exclusion est d’autant plus significative et conséquente qu’elle est d’un impact négatif considérable.
D’où l’opportunité pour les Etats et les organisations internationales jugés non-conformes au RGPD de sortir des sentiers battus, par la conceptualisation et la mise en œuvre d’une approche largement au-delà des prescriptions du RGPD, et de la jurisprudence, ainsi que des observations du contrôleur européen des données à caractère personnel.

Laurent-Fabrice ZENGUE Data Privacy Manager, spécialiste de la protection des données personnelles Arbitre/Expert international, Chambre de Médiation, de Conciliation et d\'Arbitrage d\'Occitanie à Toulouse Diplômé de l\'Université Paris 1 Panthéon-Sorbonne Diplômé de l\'Université Toulouse 1 Capitole E-mail : [->laurentfabricezengue@gmail.com]