Le 17 décembre 2021, la Commission européenne a publié sa décision d’adéquation concernant la République de Corée. (1) Cette décision permet désormais aux organismes situés dans l’UE de transférer des données personnelles vers des destinataires et sous-traitants situés en Corée du Sud, sans formalités particulières. (2)
Les décisions d’adéquation sont accordées par la Commission européenne en application de l’article 45 du Règlement général pour la protection des données (RGPD). Elles font suite à une analyse approfondie de la réglementation du pays tiers sur la protection des données pour évaluer son niveau d’équivalence avec la réglementation européenne. La procédure d’examen préalable peut prendre plusieurs mois, voire plusieurs années, et impliquer des demandes d’adaptation de la réglementation du pays tiers. Toutefois, la décision d’adéquation ne signifie pas que les règles du pays tiers doivent être identiques au RGPD, mais uniquement qu’elles offrent un niveau d’équivalence essentielle.
En l’espèce, des discussions étaient en cours avec la Corée depuis octobre 2018 avec une première visite de députés européens à Séoul. La procédure menant à la décision d’adéquation s’est poursuivie et des pourparlers avaient été signés entre la Commission et l’autorité de contrôle coréenne (Personal Information Protection Commission - PIPC), en mars 2021.
La Corée a dû modifier sa législation sur la protection des données, notamment pour mettre en place une autorité de contrôle indépendante, des procédures plus transparentes, et la possibilité pour les résidents européens d’avoir accès à un mécanisme de correction en cas de traitement de données illicite ou non-conforme, y compris la possibilité de porter plainte auprès de l’autorité de contrôle coréenne, l’équivalent de la CNIL.
La décision d’adéquation de la République de Corée sera réexaminée par la Commission dans trois ans, puis selon une périodicité maximum de quatre ans, afin de s’assurer que la réglementation coréenne répond toujours aux critères d’adéquation au droit européen de la protection des données personnelles. Au cas où la Corée s’éloignerait de ces critères, la décision d’adéquation pourra être retirée lors de son réexamen.
A noter que les responsables de traitement et sous-traitants coréens qui étaient déjà soumis au RGPD en application de l’article 3.2 (traitements liés à l'offre de biens ou de services à des personnes concernées situées dans l’UE, ou au suivi de leur comportement) ne verront pas leurs obligations modifiées par la décision d’adéquation.
Après Israël, puis le Japon en janvier 2019, la Corée est le troisième pays d’Asie à obtenir une décision d’adéquation, sachant que la plupart des pays d’Asie de l’Est et du Sud-Est ont adopté ou récemment révisé leurs réglementations en matière de protection des données personnelles, se rapprochant ainsi des standards internationaux de la protection des données.
* * * * * * * * * * *
(1) Commission implementing decision of 17 December 2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the Republic of Korea under the Personal Information Protection Act
(2) Cette décision d’adéquation s’applique à l’Espace économique européen (EEE), qui compte, en sus des pays membres de l’UE, l’Islande, le Liechtenstein et la Norvège.
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2022
