Décision (UE) 2022/254

(1)

Le règlement (UE) 2016/679 fixe les règles applicables au transfert de données à caractère personnel, par des responsables du traitement ou des sous-traitants au sein de l’Union, vers des pays tiers et à des organisations internationales, dans la mesure où ces transferts relèvent de son champ d’application. Le chapitre V (articles 44 à 50) de ce règlement définit les règles applicables aux transferts internationaux de données. Bien que les flux de données à caractère personnel en provenance et à destination de pays non membres de l’Union européenne soient nécessaires au développement des échanges commerciaux transfrontières et de la coopération internationale, le niveau de protection assuré aux données à caractère personnel au sein de l’Union ne doit pas être compromis par des transferts vers des pays tiers (2).

(2)

En vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, la Commission peut décider, par voie d’actes d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat. Dans cette circonstance, les transferts de données à caractère personnel vers un pays tiers peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation, comme prévu à l’article 45, paragraphe 1, et au considérant 103 dudit règlement.

(3)

Comme précisé à l’article 45, paragraphe 2, du règlement (UE) 2016/679, l’adoption d’une décision d’adéquation doit reposer sur une analyse approfondie de l’ordre juridique du pays tiers, en ce qui concerne tant les règles applicables aux importateurs de données que les limitations et les garanties en matière d’accès des autorités publiques aux données à caractère personnel. Dans son évaluation, la Commission doit déterminer si le pays tiers en question assure un niveau de protection «substantiellement équivalent» à celui qui est garanti dans l’Union européenne [considérant 104 du règlement (UE) 2016/679]. Cette question doit être évaluée au regard de la législation de l’Union, notamment le règlement (UE) 2016/679, ainsi que de la jurisprudence de la Cour de justice de l’Union européenne (3).

(4)

Comme l’a précisé la Cour de justice de l’Union européenne, il n’est pas exigé qu’un pays tiers assure un niveau de protection identique (4). En particulier, les moyens auxquels le pays tiers concerné a recours pour protéger les données à caractère personnel peuvent être différents de ceux mis en œuvre au sein de l’Union, pour autant qu’ils s’avèrent, en pratique, effectifs afin d’assurer un niveau de protection adéquat (5). Le principe d’adéquation n’exige donc pas que l’on reproduise à l’identique les règles de l’Union. Il s’agit plutôt de déterminer si le système étranger offre, dans son ensemble, par l’essence de ses droits en matière de protection de la vie privée et leur mise en œuvre effective, leur opposabilité et le contrôle de leur application, le niveau de protection requis (6). Les critères de référence pour l’adéquation du comité européen de la protection des données, qui ont pour but de préciser davantage ce principe, fournissent également des orientations à cet égard (7).

(5)

La Commission a soigneusement analysé la législation et les pratiques coréennes. Sur la base des constatations exposées aux considérants 8 à 208, la Commission conclut que la République de Corée assure un niveau adéquat de protection des données à caractère personnel transférées d’un responsable du traitement ou d’un sous-traitant dans l’Union (8) à des entités (par exemple, des personnes physiques ou morales, des organisations, des institutions publiques) en Corée relevant du champ d’application de la loi sur la protection des informations à caractère personnel (loi no 10465 du 29 mars 2011, modifiée en dernier lieu par la loi no 16930 du 4 février 2020). Cela inclut à la fois les responsables du traitement et les sous-traitants [appelés «parties sous-traitantes»/«outsourcees» (9)] au sens du règlement (UE) 2016/679. Le constat d’adéquation du niveau de protection ne couvre pas le traitement de données à caractère personnel pour des activités de missionnaires par des organisations religieuses ni pour la nomination de candidats par des partis politiques, ni le traitement d’informations personnelles en matière de crédit conformément à la loi sur les informations à caractère personnel en matière de crédit par des responsables du traitement qui sont soumis à la surveillance de la Commission des services financiers.

(6)

Cette conclusion tient compte des garanties supplémentaires définies dans la notification no 2021-5 (annexe I) ainsi que des déclarations, assurances et engagements officiels adressés par le gouvernement coréen à la Commission (annexe II).

(7)

La présente décision a pour effet de permettre aux transferts à destination des responsables du traitement et des sous-traitants d’informations à caractère personnel situés en République de Corée d’avoir lieu sans qu’aucune autre autorisation ne doive être obtenue. Elle ne devrait avoir aucune incidence sur l’application directe du règlement (UE) 2016/679 à ces entités lorsque les conditions relatives au champ d’application territorial dudit règlement, définies à son article 3, sont remplies.

(8)

Le régime juridique régissant la protection de la vie privée et la protection des données en Corée trouve son origine dans la Constitution coréenne promulguée le 17 juillet 1948. Bien que le droit à la protection des données à caractère personnel ne soit pas expressément inclus dans la Constitution, il est néanmoins reconnu en tant que droit fondamental, découlant des droits constitutionnels à la dignité humaine et à la poursuite du bonheur (article 10), à la vie privée (article 17) et à la confidentialité des communications (article 18). La Cour suprême (10) l’a confirmé, tout comme la Cour constitutionnelle (11). Des restrictions aux libertés et droits fondamentaux (y compris le droit au respect de la vie privée) ne peuvent être imposées par la loi que lorsque cela est nécessaire à la sécurité nationale ou au maintien de l’ordre public et ne peuvent pas affecter le contenu essentiel du droit ou de la liberté en cause (article 37, paragraphe 2).

(9)

Bien que différents passages de la Constitution fassent référence aux droits des citoyens coréens, la Cour constitutionnelle a jugé que les ressortissants étrangers disposent aussi de droits fondamentaux (12). En particulier, la Cour a estimé que la protection de la dignité et de la valeur d’une personne en tant qu’être humain ainsi que le droit à la poursuite du bonheur constituent des droits pour tous les êtres humains et pas uniquement pour les citoyens coréens (13). De plus, selon les déclarations officielles du gouvernement coréen (14), il est généralement admis que les articles 12 à 22 de la Constitution (qui couvrent les droits à la vie privée) consacrent des droits humains fondamentaux (15). Bien qu’il n’existe à ce jour aucune jurisprudence concernant spécifiquement le droit à la vie privée des ressortissants étrangers, le fait que ce droit s’ancre dans la protection de la dignité humaine et de la poursuite du bonheur soutient une telle conclusion (16).

(10)

De plus, la Corée a adopté un ensemble de lois en matière de protection des données qui fournissent des garanties à chacun, quelle que soit sa nationalité (17). Aux fins de la présente décision, les lois pertinentes sont les suivantes:

(11)

La PIPA définit le cadre juridique général de la protection des données en République de Corée. Elle est complétée par un décret d’application (décret présidentiel no 23169 du 29 septembre 2011, modifié en dernier lieu par le décret présidentiel no 30892 du 4 août 2020) (ci-après le «décret d’application de la PIPA») qui, à l’instar de la PIPA, est juridiquement contraignant et exécutoire.

(12)

De plus, des «notifications» réglementaires adoptées par la Commission de protection des informations à caractère personnel (ci-après la «PIPC») définissent des règles supplémentaires concernant l’interprétation et l’application de la PIPA. S’appuyant sur l’article 5 (obligations de l’État) et l’article 14 (coopération internationale) de la PIPA, la PIPC a adopté la notification no 2021-5 du 1er septembre 2020 (telle que modifiée par la notification no 2021-1 du 21 janvier 2021 et la notification no 2021-5 du 16 novembre 2021, ci-après dénommée la «notification no 2021-5») relative à l’interprétation, l’application et l’exécution de certaines dispositions de la PIPA. Cette notification apporte des précisions s’appliquant à tout traitement de données à caractère personnel au titre de la PIPA et fournit des garanties supplémentaires pour les données à caractère personnel transférées à la Corée sur la base de la présente décision. La notification est juridiquement contraignante pour les responsables du traitement des informations à caractère personnel et elle est applicable tant par la PIPC que par les juridictions (19). Une violation des règles exposées dans la notification entraîne une violation des dispositions applicables de la PIPA qu’elles complètent. Le contenu des garanties supplémentaires est donc analysé dans le cadre de l’évaluation des articles pertinents de la PIPA. Enfin, le guide et les lignes directrices relatifs à la PIPA adoptés par la PIPC fournissent des orientations supplémentaires concernant la PIPA et son décret d’application, qui régit l’application et l’exécution des règles relatives à la protection des données par la PIPC (20).

(13)

De plus, la loi sur l’utilisation et la protection des informations relatives au crédit (Credit Information Act, ci-après la «CIA») prévoit des règles spécifiques qui s’appliquent tant aux opérateurs économiques «ordinaires» qu’aux entités spécialisées au sein du secteur financier lorsqu’ils traitent des informations à caractère personnel relatives au crédit, c’est-à-dire des informations nécessaires afin de déterminer le degré de solvabilité des parties aux opérations financières ou commerciales. Cela comprend notamment le nom, les coordonnées, les opérations financières, la notation de crédit, le statut en matière d’assurance ou le solde du crédit lorsque de telles informations sont utilisées afin de déterminer le degré de solvabilité d’une personne (21). À l’inverse, lorsque ces informations sont utilisées à d’autres fins (par exemple concernant les ressources humaines), la PIPA s’applique dans son intégralité. En ce qui concerne les dispositions spécifiques de la CIA en matière de protection des données, la conformité est contrôlée en partie par la PIPC (pour les organisations commerciales, voir l’article 45-3 de la CIA) et en partie par la Commission des services financiers (22) (pour le secteur financier, y compris les agences de notation de crédit, les banques, les compagnies d’assurance, les caisses d’épargne mutuelle, les sociétés de crédit spécialisées, les sociétés de services financiers, les sociétés de financement de valeurs mobilières, les coopératives de crédit, etc., voir l’article 45, paragraphe 1, de la CIA, en liaison avec l’article 36-2, de la CIA et l’article 38 de la loi sur la commission des services financiers). À cet égard, la portée de la présente décision se limite aux opérateurs économiques soumis à la surveillance de la PIPC (23). Les règles spécifiques de la CIA qui s’appliquent dans ce contexte (les règles générales de la PIPA s’appliquent lorsqu’aucune règle spécifique n’existe) sont décrites à la section 2.3.11.

(14)

Sauf dispositions spécifiques contraires contenues dans d’autres lois, la protection des données à caractère personnel est régie par la PIPA (article 6). Le champ d’application matériel et personnel est déterminé par les notions définies d’«informations à caractère personnel», de «traitement» et de «responsable du traitement des informations à caractère personnel».

(15)

L’article 2, paragraphe 1, de la PIPA définit les informations à caractère personnel comme les informations relatives à une personne vivante permettant de l’identifier directement, par exemple grâce à son nom, son numéro d’enregistrement comme résident ou son image, ou indirectement, lorsque des informations qui ne permettent pas en elles-mêmes d’identifier une personne spécifique peuvent facilement être combinées à d’autres informations. La possibilité de combiner «facilement» des informations dépend du caractère raisonnablement probable d’une telle combinaison compte tenu de la possibilité d’obtenir d’autres informations, ainsi que du temps, du coût et de la technologie nécessaires pour identifier une personne.

(16)

De plus, les informations pseudonymes, c’est-à-dire les informations ne permettant pas d’identifier une personne sans les utiliser ou les combiner avec d’autres informations complémentaires afin d’en rétablir la forme initiale, sont considérées comme des données à caractère personnel au titre de la PIPA [article 2, paragraphe 1, point c), de la PIPA]. À l’inverse, les informations qui sont pleinement «anonymisées» sont exclues du champ d’application de la PIPA (article 58-2 de la PIPA). C’est le cas notamment des informations qui ne permettent pas d’identifier une personne en particulier, même en les combinant à d’autres informations, compte tenu du temps, du coût et de la technologie raisonnablement nécessaires à l’identification.

(17)

Cela correspond au champ d’application matériel du règlement (UE) 2016/679 et à ses notions de «données à caractère personnel», «pseudonymisation» (24) et «informations rendues anonymes» (25).

(18)

La notion de «traitement» est largement définie dans la PIPA comme couvrant «la collecte, la génération, la connexion, le rapprochement, l’enregistrement, le stockage, la conservation, le traitement à valeur ajoutée, la modification, l’extraction, la production, la rectification, la récupération, l’utilisation, la fourniture, la divulgation et la destruction d’informations à caractère personnel et les autres activités similaires» (26). Bien que certaines dispositions de la PIPA fassent uniquement référence à des types spécifiques de traitement, comme l’«utilisation», la «fourniture» ou la «collecte» (27), la notion d’«utilisation» est interprétée comme incluant tout type de traitement en dehors de la «collecte» ou de la «fourniture» (par des tiers). Cette interprétation large de la notion d’«utilisation» garantit donc l’absence de toute lacune en matière de protection concernant des activités de traitement spécifiques. La notion de traitement correspond donc à la même notion telle que définie par le règlement (UE) 2016/679.

(19)

La PIPA s’applique aux «responsables du traitement d’informations à caractère personnel» (ci-après les «responsables du traitement»). Comme c’est le cas dans le règlement (UE) 2016/679, cela recouvre toute institution publique, personne morale, organisation ou personne physique qui traite des données à caractère personnel directement ou indirectement afin de gérer des fichiers de données à caractère personnel dans le cadre de leurs activités (28). Dans ce contexte, «fichier d’informations à caractère personnel» signifie «tout ensemble d’informations à caractère personnel agencé ou organisé de manière systématique sur la base d’un certain nombre de règles afin de permettre un accès facile aux informations à caractère personnel» (article 2, paragraphe 4, de la PIPA) (29). Au sein de son organisation, le responsable du traitement est tenu de former les personnes participant au traitement sous sa direction, comme les agents ou les employés de la société, et d’assurer un contrôle et une surveillance appropriés (article 28, paragraphe 1, de la PIPA).

(20)

Des obligations spécifiques s’appliquent lorsqu’un responsable du traitement (le «donneur d’ordre») sous-traite le traitement des données à caractère personnel à un tiers (la «partie sous-traitante»). Plus particulièrement, la sous-traitance doit être régie par un accord juridiquement contraignant (généralement un contrat) (30) qui définit la portée des tâches sous-traitées, la finalité du traitement, les garanties techniques et organisationnelles devant être appliquées, la surveillance assurée par le responsable du traitement, la responsabilité (notamment une indemnisation en cas de dommages causés par une violation des obligations contractuelles) ainsi que les limites de toute sous-traitance (31) (article 26, paragraphes 1 et 2, de la PIPA, en liaison avec l’article 28, paragraphe 1, du décret d’application) (32).

(21)

De plus, le responsable du traitement est tenu de publier et de mettre constamment à jour les détails relatifs aux tâches sous-traitées et à l’identité de la partie sous-traitante ou, dans la mesure où le traitement sous-traité concerne des activités de marketing direct, de notifier directement aux personnes les informations pertinentes (article 26, paragraphes 2 et 3, de la PIPA, en liaison avec l’article 28, paragraphes 2 à 5, du décret d’application) (33).

(22)

En outre, conformément à l’article 26, paragraphe 4, de la PIPA, en liaison avec l’article 28, paragraphe 6, du décret d’application, le responsable du traitement est tenu de «former» la partie sous-traitante aux mesures de sécurité nécessaires et de vérifier, y compris au moyen de contrôles, si celui-ci se conforme bien à toutes les obligations incombant au responsable du traitement au titre de la PIPA (34) ainsi que du contrat de sous-traitance. Lorsque la partie sous-traitante cause des dommages en raison d’une violation de la PIPA, ses actions ou son inaction seront imputables au responsable du traitement aux fins de l’établissement de la responsabilité, comme c’est le cas pour un employé (article 26, paragraphe 6, de la PIPA).

(23)

Bien que la PIPA n’utilise donc pas de notions distinctes pour les «responsables du traitement» et les «sous-traitants», les règles relatives à la sous-traitance prévoient des obligations et des garanties substantiellement équivalentes à celles régissant la relation entre les responsables du traitement et les sous-traitants en vertu du règlement (UE) 2016/679.

(24)

Bien que la PIPA s’applique au traitement de données à caractère personnel par tout responsable du traitement, certaines dispositions contiennent des règles spécifiques (en tant que lex specialis) régissant le traitement de données à caractère personnel des «utilisateurs» par les «fournisseurs de services d’information et de communication» (35). La notion d’ «utilisateurs» couvre les personnes qui utilisent des services d’information et de communication (article 2, paragraphe 1, point 4, de la loi sur la promotion de l’utilisation des réseaux d’information et de communication et de la protection des données, ci-après la «loi sur les réseaux»). Cela suppose que la personne utilise soit directement des services de télécommunications fournis par un opérateur coréen de télécommunications, soit des services d’information (36) fournis à des fins commerciales (c.-à-d. à des fins lucratives) par une entité qui dépend elle-même des services d’un opérateur de télécommunications titulaire d’une licence en Corée ou enregistré dans ce pays (37). Dans les deux cas, l’entité liée par les dispositions spécifiques de la PIPA est celle qui fournit un service en ligne directement à une personne (c’est-à-dire à un utilisateur).

(25)

Cependant, une constatation d’adéquation concerne uniquement le niveau de protection assuré aux données à caractère personnel transférées par un responsable du traitement/sous-traitant situé dans l’Union à une entité située dans un pays tiers (en l’occurrence, la République de Corée). Dans ce cas, les personnes se trouvant dans l’Union n’auront normalement de relation directe qu’avec l’«exportateur de données» situé dans l’Union et pas avec les fournisseurs coréens de services d’information et de communication (38). Par conséquent, les dispositions spécifiques de la PIPA relatives aux données à caractère personnel des utilisateurs de services d’information et de communication ne s’appliqueront tout au plus qu’à des situations limitées aux données à caractère personnel transférées au titre de la présente décision.

(26)

L’article 58, paragraphe 1, de la PIPA exclut l’application d’une partie de la PIPA (à savoir les articles 15 à 57) en ce qui concerne quatre catégories de traitement des données (39). Plus particulièrement, les parties de la PIPA ayant trait aux motifs spécifiques du traitement, à certaines obligations en matière de protection des données, aux règles détaillées applicables à l’exercice des droits individuels ainsi qu’aux règles régissant le règlement des litiges par le comité de médiation des litiges relatifs aux informations à caractère personnel ne s’appliquent pas. Les autres dispositions de base de la PIPA continuent de s’appliquer, notamment les dispositions générales relatives aux principes de la protection des données (article 3 de la PIPA), y compris par exemple les principes de licéité, de précision et de limitation des finalités, de minimisation des données, d’exactitude et de sécurité des données, et aux droits individuels (d’accès, de rectification, de suppression et de suspension, voir article 4 de la PIPA). De plus, l’article 58, paragraphe 4, de la PIPA impose des obligations spécifiques concernant ces activités de traitement, notamment en ce qui concerne la minimisation des données, la limitation de la durée de conservation des données, les mesures de sécurité et la gestion des plaintes (40). En conséquence, les personnes peuvent toujours porter plainte auprès de la PIPC en cas de non-respect de ces principes et obligations et la PIPC est habilitée à prendre des mesures d’exécution en cas de non-conformité.

(27)

Premièrement, l’exonération partielle couvre les données à caractère personnel collectées au titre de la loi sur les statistiques en vue de leur traitement par des institutions publiques. Selon les précisions fournies par le gouvernement coréen, les données à caractère personnel traitées dans ce cadre concernent normalement les ressortissants coréens et ne pourraient inclure des informations relatives à des ressortissants étrangers qu’à titre exceptionnel, notamment dans le cas des statistiques relatives à l’entrée sur le territoire et à la sortie du territoire ou aux investissements étrangers. Cependant, même dans ces situations, de telles données ne sont normalement pas transférées par des responsables du traitement/sous-traitants situés dans l’Union, mais elles sont plutôt collectées directement par les autorités publiques en Corée (41). En outre, à l’instar de ce qui est prévu au considérant 162 du règlement (UE) 2016/679, le traitement des données dans le cadre de la loi sur les statistiques est soumis à plusieurs conditions et garanties. En particulier, la loi sur les statistiques impose des obligations spécifiques, telles que la garantie de l’exactitude, de la cohérence et de l’impartialité; elle contraint également de protéger les informations des personnes répondant aux enquêtes statistiques, y compris afin d’empêcher que de telles informations soient utilisées à des fins autres que la compilation de statistiques, et de soumettre les membres du personnel à des exigences en matière de confidentialité (42). Les autorités publiques qui traitent des statistiques doivent également respecter, entre autres, les principes de minimisation des données, de limitation de la finalité et de sécurité (article 3 et article 58, paragraphe 4, de la PIPA) et permettre aux particuliers d’exercer leurs droits (d’accès, de rectification, de suppression et de suspension, voir article 4 de la PIPA). Enfin, les données doivent être traitées sous une forme anonymisée ou pseudonymisée si cela permet d’atteindre la finalité du traitement (article 3, paragraphe 7, de la PIPA).

(28)

Deuxièmement, l’article 58, paragraphe 1, de la PIPA fait référence aux données à caractère personnel collectées ou demandées en vue de l’analyse d’informations liées à la sécurité nationale. La portée et les conséquences de cette exonération partielle sont décrites plus en détail au considérant 149.

(29)

Troisièmement, l’exonération partielle s’applique au traitement temporaire de données à caractère personnel lorsque cela est nécessaire de façon urgente à des fins de sécurité et de sûreté publiques, y compris pour des raisons de santé publique. Cette catégorie est interprétée strictement par la PIPC et, selon les informations reçues, n’a jamais été utilisée. La PIPC ne l’applique qu’aux urgences nécessitant une action immédiate, par exemple afin d’assurer le traçage d’agents infectieux ou de porter assistance et secours aux victimes de catastrophes naturelles (43). Même dans ces situations, l’exonération partielle ne couvre que le traitement de données à caractère personnel pendant une période limitée pour mener à bien une telle action. Les situations dans lesquelles cette exonération pourrait s’appliquer aux transferts de données couverts par la présente décision sont encore plus limitées, eu égard à la faible probabilité que des données à caractère personnel transférées depuis l’Union à des opérateurs coréens soient d’une nature telle que leur traitement serait «immédiatement nécessaire» dans le cadre de telles urgences.

(30)

Enfin, l’exonération partielle s’applique aux données à caractère personnel collectées ou utilisées par la presse, par des organisations religieuses dans le cadre d’activités missionnaires ou par des partis politiques en vue de la nomination de candidats. L’exonération ne s’applique que lorsque la presse, les organisations religieuses ou les partis politiques traitent les données à caractère personnel à ces fins spécifiques (c’est-à-dire les activités journalistiques, le travail missionnaire et la nomination de candidats politiques). Lorsque ces entités traitent des données à caractère personnel à d’autres fins, par exemple la gestion des ressources humaines ou leur organisation interne, la PIPA s’applique intégralement.

(31)

En ce qui concerne le traitement des données à caractère personnel par la presse à des fins d’activités journalistiques, l’équilibre entre la liberté d’expression et d’autres droits (y compris le droit à la vie privée) est assurée, entre autres, par la loi d’arbitrage et de recours pour les dommages causés par les articles de presse (ci-après la «loi sur la presse») (44). Plus particulièrement, l’article 5 de la loi sur la presse prévoit que la presse (c’est-à-dire tout organisme de radiodiffusion, journal, magazine ou journal en ligne), les services d’actualité en ligne ou les organismes de diffusion multimédia sur l’internet ne peuvent pas porter atteinte à la vie privée. Si, toutefois, une atteinte à la vie privée se produit, il convient d’y remédier rapidement, conformément aux procédures spécifiques définies par la loi. À cet égard, la loi confère aux personnes subissant un préjudice à cause d’un article de presse un certain nombre de droits, notamment celui d’obtenir la publication d’un correctif, d’exercer un droit de réponse ou d’obtenir la publication d’un autre article (lorsqu’un article de presse accuse une personne d’avoir commis une infraction et que la personne est ensuite innocentée) (45). Les plaintes formulées par les personnes peuvent être réglées par les organes de presse directement (par l’intermédiaire d’un médiateur) (46), par une procédure de conciliation ou d’arbitrage (devant une Commission arbitrale en matière de presse) (47) ou devant les tribunaux. Les personnes peuvent également obtenir réparation lorsqu’elles ont subi des dommages financiers, une violation de leurs droits personnels ou toute autre forme de détresse émotionnelle due à un acte illégal de la presse (intentionnel ou par négligence) (48). La presse est exonérée de toute responsabilité au titre de la loi lorsqu’un article de presse qui porte atteinte aux droits d’une personne n’est pas contraire aux valeurs sociales et est publié soit avec le consentement de la personne concernée, soit dans l’intérêt général (et qu’il existe suffisamment de raisons de penser que l’article est conforme à la vérité) (49).

(32)

Si le traitement de données à caractère personnel par la presse dans le cadre d’activités journalistiques bénéficie donc de garanties spécifiques découlant de la loi sur la presse, il n’existe pas de telles garanties supplémentaires pour encadrer le recours aux exceptions prévues pour les activités de traitement par les organisations religieuses et les partis politiques d’une manière comparable à celle prévue par les articles 85, 89 et 91 du règlement (UE) 2016/679. La Commission estime donc qu’il est approprié d’exclure du champ d’application de la présente décision les organisations religieuses dans la mesure où elles traitent des données à caractère personnel dans le cadre de leurs activités missionnaires et les partis politiques dans la mesure où ils traitent des données à caractère personnel dans le cadre de la nomination de candidats.

(33)

Les données à caractère personnel devraient être traitées de manière licite et loyale.

(34)

Ce principe est consacré à l’article 3, paragraphes 1 et 2, de la PIPA et il est renforcé par l’article 59 de la PIPA, qui interdit le traitement de données à caractère personnel «par des moyens frauduleux, inappropriés ou injustes», «sans disposer de l’autorité légale» ou «en outrepassant l’autorité légitime» (50). Ces principes généraux de traitement licite sont expliqués en détail aux articles 15 à 19 de la PIPA, qui énoncent les différentes bases juridiques pour le traitement (collecte, utilisation et fourniture à des tiers), y compris les circonstances dans lesquelles un changement de finalité peut se produire (article 18 de la PIPA).

(35)

Selon l’article 15, paragraphe 1, de la PIPA, un responsable du traitement ne peut collecter des données à caractère personnel (dans le cadre de la finalité de la collecte) qu’en vertu d’un nombre limité de fondements juridiques. Il s’agit 1) du consentement de la personne concernée (51) (point 1); 2) de la nécessité d’exécuter un contrat conclu avec la personne concernée (point 4); 3) d’une autorisation spéciale prévue par le droit ou de la nécessité de se conformer à une obligation légale (point 2); de la nécessité (52) pour une institution publique de réaliser les tâches qui relèvent légalement de sa compétence; 4) de la nécessité manifeste de protéger la vie, l’intégrité corporelle ou les intérêts matériels de la personne concernée ou d’un tiers contre un danger imminent (seulement si la personne concernée n’est pas en mesure d’exprimer ses intentions ou si son consentement préalable ne peut être obtenu) (point 5); 5) de la nécessité de concourir à l’«intérêt justifiable» poursuivi par le responsable du traitement si cet intérêt est «manifestement supérieur» aux intérêts de la personne concernée (et uniquement lorsque le traitement est «substantiellement lié» à l’intérêt légitime et n’excède pas les limites du raisonnable) (point 6) (53). Ces fondements pour le traitement sont substantiellement équivalents à ceux prévus à l’article 6 du règlement (UE) 2016/679, y compris le fondement tiré de l’«intérêt justifiable», qui correspond au fondement tiré de l’«intérêt légitime» prévu à l’article 6, paragraphe 1, point f), dudit règlement.

(36)

Une fois collectées, les données à caractère personnel peuvent être utilisées dans le cadre de la finalité de leur collecte (article 15, paragraphe 1, de la PIPA) ou «dans un cadre raisonnablement lié» à la finalité de la collecte, en tenant compte des éventuels préjudices causés aux personnes concernées et à condition que les mesures de sécurité nécessaires (par ex. chiffrement) aient été adoptées (article 15, paragraphe 3, de la PIPA). Pour déterminer si la finalité de l’utilisation est «raisonnablement liée» à la finalité initiale de la collecte, le décret d’application définit des critères spécifiques, semblables à ceux de l’article 6, paragraphe 4, du règlement (UE) 2016/679. En particulier, il doit y avoir une importance considérable par rapport à l’objectif initial; l’utilisation supplémentaire doit être prévisible (par exemple en fonction des circonstances dans lesquelles les informations ont été collectées); et, dans la mesure du possible, les données doivent être pseudonymisées (54). Le responsable du traitement doit divulguer à l’avance, dans sa politique de confidentialité, les critères spécifiques qu’il utilise dans le cadre d’une telle évaluation (55). De plus, le responsable de la confidentialité (voir considérant 94) est spécifiquement tenu de vérifier si l’utilisation ultérieure a lieu dans le respect de ces paramètres.

(37)

Des règles semblables (mais légèrement plus strictes) s’appliquent à la fourniture de données à un tiers. Selon l’article 17, paragraphe 1, de la PIPA, la fourniture de données à caractère personnel à un tiers est autorisée sur la base du consentement (56) ou, dans le cadre de la finalité de la collecte, lorsque les informations ont été collectées au titre de l’un des fondements juridiques mentionnés à l’article 15, paragraphe 1, points 2, 3 et 5, de la PIPA. Cela exclut notamment toute divulgation fondée sur l’«intérêt justifiable» poursuivi par le responsable du traitement. En outre, l’article 17, paragraphe 4, de la PIPA permet la fourniture aux tiers «dans le cadre raisonnablement lié» à la finalité de la collecte, compte tenu une fois encore des éventuels préjudices causés à la personne concernée et à condition que les mesures de sécurité nécessaires (par ex. le chiffrement) aient été adoptées. Il convient de tenir compte des mêmes facteurs que ceux décrits au considérant 36 afin d’évaluer si la fourniture intervient dans un cadre raisonnablement lié à la finalité de la collecte et si les mêmes garanties (c’est-à-dire les garanties en matière de transparence apportées par la politique de confidentialité et la participation du responsable de la confidentialité) s’appliquent.

(38)

La réception de données à caractère personnel en provenance de l’Union par un responsable du traitement coréen est considérée comme une «collecte» au sens de l’article 15 de la PIPA. La notification no 2021-5 (section I de l’annexe I de la présente décision) précise que la finalité pour laquelle les données ont été transférées par l’entité située dans l’Union concernée constitue la finalité de la collecte pour le responsable du traitement coréen. En conséquence, les responsables du traitement coréens qui reçoivent des données à caractère personnel en provenance de l’Union sont en principe tenus de traiter ces informations dans le cadre de la finalité du transfert, conformément à l’article 17 de la PIPA.

(39)

Des limitations spécifiques s’appliquent lorsque le responsable du traitement cherche à utiliser les données à caractère personnel ou à les fournir à un tiers pour une finalité différente de la finalité de la collecte (57). Conformément à l’article 18, paragraphe 2, de la PIPA, un responsable du traitement privé peut, à titre exceptionnel (58), utiliser les données à caractère personnel ou les fournir à un tiers pour d’autres finalités: 1) sur la base du consentement supplémentaire (c’est-à-dire distinct) de la personne concernée; 2) lorsque cela est prévu par des dispositions légales spéciales; ou 3) lorsque cela est manifestement nécessaire afin de protéger la vie, l’intégrité corporelle ou les intérêts matériels de la personne concernée ou d’un tiers contre un danger imminent (seulement si la personne concernée n’est pas en mesure d’exprimer ses intentions et si son consentement préalable ne peut être obtenu) (59).

(40)

Les institutions publiques peuvent également utiliser les données à caractère personnel ou les fournir à un tiers pour une finalité différente dans certaines situations. Cela comprend les cas dans lesquels les institutions publiques seraient dans l’impossibilité, s’il en allait autrement, de s’acquitter de leurs missions légales de la manière prescrite par la loi, sous réserve de l’autorisation par la PIPC. En outre, les institutions publiques peuvent fournir des données à caractère personnel à une autre autorité ou juridiction, lorsque cela est nécessaire aux fins de l’enquête et de la poursuite d’infractions ou d’un acte d’accusation, pour permettre à une juridiction d’exercer ses fonctions en lien avec des procédures judiciaires en cours, ou pour faire appliquer une sanction pénale, une ordonnance de prise en charge ou une ordonnance de garde (60). Elles peuvent également fournir des données à caractère personnel à un gouvernement étranger ou à une organisation internationale afin de s’acquitter d’une obligation légale découlant d’un traité ou d’une convention internationale, auquel cas elles sont également tenues de respecter les exigences applicables aux transferts transfrontières de données (voir considérant 90).

(41)

Les principes de licéité et de loyauté du traitement sont donc mis en œuvre dans le cadre juridique coréen d’une manière substantiellement équivalente à celle du règlement (UE) 2016/679 en ne permettant le traitement que sur la base de fondements légitimes et clairement définis. De plus, dans tous les cas susmentionnés, le traitement n’est permis que s’il n’est pas susceptible de «porter atteinte de manière déloyale» aux intérêts de la personne concernée ou d’un tiers, ce qui nécessite une mise en balance des intérêts. De plus, l’article 18, paragraphe 5, de la PIPA prévoit des garanties supplémentaires lorsque le responsable du traitement fournit les données à caractère personnel à un tiers, qui peuvent inclure une demande de limitation de la finalité et des méthodes d’utilisation ou de mise en place de mesures de sécurité spécifiques. Le tiers est alors tenu de mettre en œuvre les mesures demandées.

(42)

Enfin, l’article 28-2 de la PIPA permet le traitement (ultérieur) d’informations pseudonymisées sans le consentement de la personne concernée à des fins de statistiques, de recherche scientifique (61) et d’archivage dans l’intérêt général, sous réserve de garanties spécifiques. À l’instar du règlement (UE) 2016/679 (62), la PIPA facilite donc le traitement (ultérieur) des données à caractère personnel à de telles fins dans un cadre qui prévoit des garanties appropriées afin de protéger les droits des personnes. Au lieu d’invoquer la pseudonymisation comme garantie possible, la PIPA l’impose en tant que condition préalable à la réalisation de certaines activités de traitement à des fins de statistiques, de recherche scientifique et d’archivage dans l’intérêt général (par exemple, afin de pouvoir traiter les données sans consentement, ou de combiner différents ensembles de données).

(43)

De plus, la PIPA impose un certain nombre de garanties spécifiques, concernant notamment les mesures techniques et organisationnelles exigées, la tenue de registres, les limitations du partage de données et la prise en compte des risques éventuels de réidentification. La combinaison des différentes garanties décrites aux considérants 44 à 48 permet de garantir que le traitement des données à caractère personnel dans ce contexte fait l’objet de protections substantiellement équivalentes à celles exigées par le règlement (UE) 2016/679.

(44)

Premièrement, et surtout, l’article 28-5, paragraphe 1, de la PIPA interdit le traitement d’informations pseudonymisées dans le but d’identifier des personnes en particulier. Si des informations permettant d’identifier une personne sont néanmoins générées lors du traitement des informations pseudonymisées, le responsable du traitement doit immédiatement suspendre le traitement et détruire ces informations (article 28-5, paragraphe 2, de la PIPA). Le non-respect de ces dispositions expose à une amende administrative et constitue une infraction pénale (63). Cela signifie que, même dans les situations où il serait en pratique possible de réidentifier les personnes, une telle réidentification est juridiquement interdite.

(45)

Deuxièmement, lorsque le responsable du traitement procède au traitement (ultérieur) d’informations pseudonymisées à de telles fins, il est tenu de mettre en place des mesures technologiques, organisationnelles et physiques spécifiques afin de garantir la sécurité des informations (notamment en conservant et en gérant séparément les informations nécessaires au rétablissement de l’état initial des informations pseudonymisées) (64). De plus, il convient de conserver un registre des informations pseudonymisées traitées, de la finalité du traitement, de l’historique d’utilisation et des éventuels tiers destinataires (article 29-5, paragraphe 2, du décret d’application de la PIPA).

(46)

Troisièmement et dernièrement, la PIPA prévoit des garanties spécifiques afin d’éviter l’identification de personnes par des tiers dans les cas où les informations sont partagées. Plus particulièrement, lorsqu’ils fournissent des informations pseudonymisées à un tiers à des fins de statistiques, de recherche scientifique ou d’archivage dans l’intérêt général, les responsables du traitement ne peuvent pas inclure d’informations qui pourraient être utilisées pour identifier une personne spécifique (article 28-2, paragraphe 2, de la PIPA) (65).

(47)

Plus précisément, bien que la PIPA permette de combiner des informations pseudonymisées (traitées par différents responsables du traitement) à des fins statistiques, de recherche scientifique ou d’archivage dans l’intérêt général, elle réserve ce droit aux institutions spécialisées disposant d’installations de sécurité spécifiques (article 28-3, paragraphe 1, de la PIPA) (66). Lorsqu’il demande à pouvoir combiner des données pseudonymisées, un responsable du traitement doit présenter des documents portant notamment sur les données devant être combinées, la finalité de la combinaison, ainsi que les mesures de sécurité proposées concernant le traitement des données combinées (67). Afin de permettre la combinaison, le responsable du traitement doit envoyer les données devant être combinées à l’institution spécialisée et fournir une «clé de combinaison» (c’est-à-dire les informations qui ont été utilisées pour la pseudonymisation) à l’agence coréenne de l’internet et de la sécurité (68). Celle-ci génère des «données de liaison de la clé de combinaison» (qui permettent de relier les clés de combinaison de différents demandeurs afin de parvenir à combiner les ensembles de données) et les fournit à l’institution spécialisée (69).

(48)

Le responsable du traitement qui demande la combinaison de données peut analyser les informations combinées dans les locaux de l’institution spécialisée, dans un endroit où sont appliquées des mesures de sécurité techniques, physiques et administratives spécifiques (article 29-3 du décret d’application de la PIPA). Les responsables du traitement qui fournissent un ensemble de données en vue d’une telle combinaison ne peuvent faire sortir les données combinées de l’institution spécialisée qu’une fois les données combinées pseudonymisées ou anonymisées et uniquement avec l’approbation de ladite institution (article 28-3, paragraphe 2, de la PIPA) (70). Pour déterminer s’il y lieu ou non de donner son approbation, l’institution évalue le lien entre les données combinées et la finalité du traitement et vérifie si un plan de sécurité spécifique a été élaboré en vue de l’utilisation de ces données (71). L’exportation des informations combinées en dehors de l’institution ne sera pas permise si les informations contiennent des données qui permettraient d’identifier une personne (72). Enfin, la PIPC supervise la combinaison et la diffusion des données pseudonymisées par l’institution spécialisée (article 29-4, paragraphe 3, du décret d’application de la PIPA).

(49)

Des garanties spécifiques devraient être prévues pour le traitement des «catégories particulières» de données.

(50)

La PIPA contient des règles spécifiques concernant le traitement des données sensibles (73), définies comme étant des données à caractère personnel révélant des informations concernant l’idéologie, les croyances, l’adhésion à un syndicat ou à un parti politique ou la cessation d’une telle adhésion, les opinions politiques, la santé et la vie sexuelle d’une personne, ainsi que d’autres informations à caractère personnel susceptibles de menacer «considérablement» la vie privée de la personne concernée, qui ont été désignées comme étant des informations sensibles par un décret présidentiel (74). Selon les précisions communiquées par la PIPC, la notion de vie sexuelle est interprétée comme couvrant également l’orientation ou les préférences sexuelles d’une personne (75). De plus, l’article 18 du décret d’application ajoute d’autres catégories au champ d’application des données sensibles, notamment les informations sur l’ADN acquises à la suite d’un test génétique et les données qui constituent le casier judiciaire d’une personne. La modification récente apportée au décret d’application de la PIPA a encore élargi la notion de données sensibles, en y incluant également les données à caractère personnel révélant l’origine raciale ou ethnique et les informations biométriques (76). À la suite de cette modification, la notion de données sensibles en vertu de la PIPA est substantiellement équivalente à celle qui figure à l’article 9 du règlement (UE) 2016/679.

(51)

Conformément à l’article 23, paragraphe 1, de la PIPA et à l’instar des dispositions de l’article 9, paragraphe 1, du règlement (UE) 2016/679, le traitement de données sensibles est interdit de manière générale, sauf si l’une des exceptions prévues s’applique (77). Ces exceptions limitent le traitement aux cas dans lesquels le responsable du traitement informe la personne concernée conformément aux articles 15 et 17 de la PIPA et obtient son consentement distinct (c’est-à-dire distinct du consentement au traitement d’autres données à caractère personnel), ou dans lesquels la loi permet ou exige un tel traitement. Les autorités publiques peuvent également traiter les informations biométriques, les informations sur l’ADN acquises à la suite d’un test génétique, les informations à caractère personnel révélant l’origine raciale ou ethnique et les données qui constituent un casier judiciaire pour des motifs qu’elles seules peuvent invoquer (par exemple lorsque cela est nécessaire aux fins d’une enquête pénale ou pour permettre à une juridiction de juger d’une affaire) (78). Dès lors, les fondements juridiques disponibles pour le traitement des données sensibles sont plus limités que pour d’autres types de données à caractère personnel et les dispositions du droit coréen à cet égard sont plus restrictives que celles de l’article 9, paragraphe 2, du règlement (UE) 2016/679.

(52)

De plus, l’article 23, paragraphe 2, de la PIPA, dont le non-respect expose à des sanctions (79), souligne à quel point il est important de garantir une sécurité appropriée lors du traitement de données sensibles, afin d’éviter qu’elles ne soient «perdues, volées, divulguées, falsifiées, modifiées ou endommagées». Bien que l’article 29 de la PIPA donne à cette exigence un caractère général, l’article 3, paragraphe 4, indique clairement que le niveau de sécurité doit être adapté au type de données à caractère personnel traitées, ce qui signifie qu’il faut tenir compte des risques spécifiques liés au traitement de données sensibles. De plus, le traitement des données doit toujours être réalisé «de manière à limiter la possibilité d’atteinte» à la vie privée de la personne concernée et, si possible, «de manière anonyme» (article 3, paragraphes 6 et 7, de la PIPA). Ces exigences sont particulièrement pertinentes lorsque le traitement porte sur des données sensibles.

(53)

Les données à caractère personnel devraient être collectées dans un but précis et d’une manière qui n’est pas incompatible avec la finalité du traitement.

(54)

Ce principe est garanti par l’article 3, paragraphes 1 et 2, de la PIPA, selon lequel le responsable du traitement «précise et explicite» la finalité du traitement, traite les données à caractère personnel de façon appropriée et nécessaire à cette finalité et ne les utilise pas d’une manière qui outrepasse cette finalité. L’article 15, paragraphe 1, l’article 18, paragraphe 1, l’article 19 et, pour les sous-traitants (les «parties sous-traitantes»), l’article 26, paragraphe 1, point 1, et l’article 26, paragraphes 5 et 7, de la PIPA confirment également le principe général de limitation de la finalité. Plus particulièrement, les données à caractère personnel ne peuvent en principe être utilisées et fournies à des tiers que dans le cadre de la finalité pour laquelle elles ont été collectées (article 15, paragraphe 1, et article 17, paragraphe 1, point 2). Le traitement pour une finalité compatible, c’est-à-dire «dans un cadre raisonnablement lié à la finalité initiale de la collecte», n’est possible que s’il n’a pas de répercussions négatives sur les personnes concernées et si les mesures de sécurité nécessaires (comme le chiffrement), sont adoptées (article 15, paragraphe 3, et article 17, paragraphe 4, de la PIPA). Afin de déterminer si la finalité d’un traitement ultérieur est compatible, le décret d’application de la PIPA énumère des critères spécifiques semblables à ceux prévus par l’article 6, paragraphe 4, du règlement (UE) 2016/679, voir considérant 36.

(55)

Comme expliqué au considérant 38, la finalité de la collecte dans le cas où les responsables du traitement coréens reçoivent des données à caractère personnel provenant de l’Union correspond à la finalité pour laquelle les données sont transférées. Le responsable du traitement ne peut modifier la finalité qu’à titre exceptionnel, dans des cas spécifiques (énumérés) (article 18, paragraphe 2, points 1 à 3, de la PIPA; voir également considérant 39). Dans la mesure où un changement de finalité est autorisé par la loi, ces lois doivent à leur tour respecter le droit fondamental au respect de la vie privée et à la protection des données, ainsi que les principes de nécessité et de proportionnalité énoncés dans la Constitution coréenne. De plus, l’article 18, paragraphes 2 et 5, de la PIPA prévoit des garanties supplémentaires, notamment en exigeant qu’une telle modification de la finalité ne «porte pas atteinte de manière déloyale aux intérêts de la personne concernée», une mise en balance des intérêts en jeu étant dès lors toujours nécessaire. Ces dispositions fournissent un niveau de protection substantiellement équivalent à celui prévu par l’article 5, paragraphe 1, point b), et par l’article 6, en liaison avec le considérant 50, du règlement (UE) 2016/679.

(56)

Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour. Elles doivent également être adéquates, pertinentes et se limiter à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

(57)

Le principe d’exactitude est reconnu d’une manière similaire à l’article 3, paragraphe 3, de la PIPA, qui exige que les données à caractère personnel soient «exactes, complètes et mises à jour dans la mesure nécessaire aux finalités» pour lesquelles elles ont été collectées. L’article 3, paragraphes 1 et 6, et l’article 16, paragraphe 1, de la PIPA exigent la minimisation des données et précisent que le responsable du traitement limite la collecte des données à caractère personnel «à ce qui est strictement nécessaire» pour parvenir à la finalité prévue, et que la charge de la preuve lui incombe à cet égard. Si la finalité de la collecte peut être atteinte en traitant les informations sous une forme anonymisée, les responsables du traitement doivent s’efforcer de le faire (article 3, paragraphe 7, de la PIPA).

(58)

Les données à caractère personnel ne doivent en principe pas être conservées plus longtemps que cela est nécessaire pour atteindre les finalités pour lesquelles elles sont traitées.

(59)

Le principe de limitation de la conservation est également prévu par l’article 21, paragraphe 1, de la PIPA (80), qui impose au responsable du traitement qu’il «détruise» (81) les données à caractère personnel sans délai une fois atteinte la finalité pour laquelle elles ont été collectées ou à l’expiration de la durée de conservation (selon ce qui se produit en premier lieu), sauf si la loi impose de les conserver plus longtemps (82). Dans ce dernier cas, les données à caractère personnel concernées «sont conservées et gérées indépendamment des autres informations à caractère personnel» (article 21, paragraphe 3, de la PIPA).

(60)

L’article 21, paragraphe 1, de la PIPA ne s’applique pas lorsque des données pseudonymisées sont traitées à des fins statistiques, de recherche scientifique ou d’archivage dans l’intérêt général (83). Afin de veiller à l’application du principe de limitation de la conservation des données dans un tel cas également, la notification 2021-5 impose aux responsables du traitement d’anonymiser les informations conformément à l’article 58-2 de la PIPA si les données n’ont pas été détruites une fois atteinte la finalité spécifique du traitement des données (84).

(61)

Les données à caractère personnel devraient être traitées d’une manière garantissant leur sécurité, y compris leur protection contre tout traitement non autorisé ou illicite et contre toute perte, toute destruction ou tout dommage d’origine accidentelle. À cette fin, les opérateurs économiques devraient prendre les mesures techniques ou organisationnelles appropriées pour protéger les données à caractère personnel contre d’éventuelles menaces. Ces mesures devraient être évaluées en tenant compte de l’état de la technique, des coûts y afférents ainsi que de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits des personnes.

(62)

L’article 3, paragraphe 4, de la PIPA prévoit un principe de sécurité similaire et impose aux responsables du traitement de «gérer les informations à caractère personnel en toute sécurité, en fonction des méthodes de traitement, des types, etc. d’informations à caractère personnel, en tenant compte de la possibilité d’atteintes aux droits de la personne concernée et de la gravité des risques pertinents». De plus, le responsable du traitement «traite les informations à caractère personnel de manière à limiter autant que faire se peut la possibilité d’atteinte à la vie privée d’une personne concernée» et s’efforce dans ce cadre de traiter les données à caractère personnel sous forme anonymisée ou pseudonymisée, si possible (article 3, paragraphes 6 et 7, de la PIPA).

(63)

L’article 29 de la PIPA décrit plus en détail ces exigences générales et prévoit que chaque responsable du traitement doit «prendre les mesures techniques, organisationnelles et physiques nécessaires, comme créer un plan de gestion interne et conserver des registres d’accès, qui sont nécessaires pour garantir la sécurité de la manière prescrite par décret présidentiel afin d’éviter que les informations à caractère personnel ne soient perdues, volées, divulguées, falsifiées, modifiées ou endommagées». L’article 30, paragraphe 1, du décret d’application de la PIPA détaille ces mesures en faisant référence 1) à la formulation et à la mise en œuvre d’un plan de gestion interne pour le traitement en toute sécurité des données à caractère personnel; 2) au contrôle et à la limitation de l’accès; 3) à l’adoption de technologies de chiffrement afin de conserver et de transmettre les données à caractère personnel en toute sécurité; 4) aux registres d’accès; 5) aux programmes de sécurité; et 6) à des mesures physiques telles qu’un stockage sûr ou un système de verrouillage (85).

(64)

De plus, des obligations spécifiques s’appliquent en cas de violation des données (article 34 de la PIPA, en liaison avec les articles 39 et 40 du décret d’application de la PIPA) (86). Plus particulièrement, le responsable du traitement est tenu d’informer sans délai les personnes concernées lésées des détails de la violation (87) et notamment de leur fournir des informations concernant les contre-mesures (obligatoires) prises par le responsable du traitement et les mesures que les personnes concernées peuvent prendre pour réduire le plus possible le risque de préjudice (article 34, paragraphes 1 et 2, de la PIPA) (88). Lorsqu’au moins 1 000 personnes concernées sont victimes d’une violation, le responsable du traitement signale également, sans délai, la violation de données et les contre-mesures prises à la PIPC et à l’agence coréenne de l’internet et de la sécurité, lesquels peuvent apporter une assistance technique (article 34, paragraphe 3, de la PIPA, en liaison avec l’article 39 du décret d’application de la PIPA). Les responsables du traitement sont responsables des dommages subis du fait des violations de données, conformément aux dispositions du code civil sur la responsabilité délictuelle (voir également section 2.5 sur les recours) (89).

(65)

Lorsqu’il s’acquitte de ses obligations en matière de sécurité, le responsable du traitement doit être secondé par un responsable de la confidentialité, dont les missions incluent notamment la création d’un système interne de contrôle «afin de prévenir la divulgation et l’utilisation abusive ou détournée des informations à caractère personnel» (article 31, paragraphe 2, point 4, de la PIPA). De plus, le responsable du traitement est tenu d’exercer «un contrôle et une supervision appropriés» des membres de son personnel qui traitent des données à caractère personnel, y compris en ce qui concerne la gestion de celles-ci en toute sécurité. Cela inclut la formation nécessaire formation («éducation») des salariés [article 28, paragraphes 1 et 2 de la PIPA). Enfin, en cas de sous-traitance, le responsable du traitement doit imposer des exigences à la partie sous-traitante, en ce qui concerne notamment la gestion en toute sécurité des données à caractère personnel («mesures techniques et organisationnelles») et doit superviser la manière dont ces exigences sont appliquées grâce à des contrôles (article 26, paragraphes 1 et 4, de la PIPA, en liaison avec l’article 28, paragraphe 1, points 3 et 4, et paragraphe 6, du décret d’exécution de la PIPA).

(66)

Il convient d’informer les personnes concernées des principales caractéristiques du traitement des données à caractère personnel les concernant.

(67)

Le système coréen prévoir différentes manières de le faire. Outre le droit à l’information prévu à l’article 4, point 1 (en général), et par l’article 20, paragraphe 1 (pour les données à caractère personnel collectées auprès de tiers), de la PIPA et le droit d’accès prévu par l’article 35 de la PIPA, la PIPA inclut une obligation générale de transparence en ce qui concerne la finalité du traitement (article 3, paragraphe 1, de la PIPA) et des obligations spécifiques de transparence lorsque le traitement est fondé sur le consentement (article 15, paragraphe 2, article 17, paragraphe 2, et article 18, paragraphe 3, de la PIPA) (90). De plus, l’article 20, paragraphe 2, de la PIPA impose à certains responsables du traitement [ceux pour qui le traitement dépasse certains seuils (91)] de notifier aux personnes concernées dont il a reçu des données à caractère personnel de la part de tiers la source d’information, la finalité du traitement et le fait qu’elles ont le droit de demander une suspension du traitement, sauf si une telle notification s’avère impossible en raison de l’absence de coordonnées permettant de contacter les personnes. Des exceptions à cette obligation de notification s’appliquent à certains fichiers de données à caractère personnel détenus par les autorités publiques, notamment aux fichiers qui contiennent des données traitées à des fins de sécurité nationale, pour d’autres intérêts nationaux particulièrement importants («sérieux») ou aux fins de l’application du droit pénal, ou lorsqu’une telle notification est susceptible de porter atteinte à la vie ou à l’intégrité corporelle d’une autre personne ou de causer des dommages de manière déloyale aux biens et autres intérêts d’une autre personne, mais uniquement lorsque les intérêts publics ou privés en jeu sont «manifestement supérieurs» aux droits des personnes concernées (article 20, paragraphe 4, de la PIPA). Il convient à cet effet de trouver un équilibre entre les intérêts en jeu.

(68)

De plus, l’article 3, paragraphe 5, de la PIPA impose aux responsables du traitement de rendre publique leur politique de confidentialité (et d’autres questions liées au traitement des données à caractère personnel). Cette exigence est décrite plus en détail à l’article 30 de la PIPA, en liaison avec l’article 31 du décret d’application de la PIPA. Selon ces dispositions, la politique de confidentialité portée à la connaissance du public doit notamment indiquer 1) les types de données à caractère personnel traitées; 2) la finalité du traitement; 3) la durée de conservation; 4) si les données à caractère personnel sont fournies à des tiers (92); 5) toute sous-traitance; 6) des informations concernant les droits de la personne concernée et la manière de les exercer; et 7) des coordonnées (y compris le nom du responsable de la confidentialité ou du service interne chargé de contrôler le respect des règles en matière de protection des données et de traiter les plaintes). La politique de confidentialité doit être rendue publique de manière à ce que les personnes concernées «puissent aisément la reconnaître» (article 30, paragraphe 2, de la PIPA) (93) et doit être constamment mise à jour (article 31, paragraphe 2, du décret d’application de la PIPA).

(69)

Les institutions publiques sont soumises à une obligation supplémentaire d’enregistrement auprès de la PIPC, notamment des informations suivantes: 1) le nom de l’institution publique; 2) les fondements et finalités du traitement des fichiers de données à caractère personnel; 3) les caractéristiques des données à caractère personnel enregistrées; 4) la méthode de traitement; 5) la durée de conservation; 6) le nombre de personnes concernées dont les données à caractère personnel sont conservées; 7) le service qui traite les demandes des personnes concernées; et 8) les destinataires des données à caractère personnel lorsque celles-ci sont fournies de manière habituelle ou répétée (article 32, paragraphe 1, de la PIPA) (94). Les fichiers de données à caractère personnel enregistrées sont rendus publics par la PIPC et doivent également être référencés par les institutions publiques dans leur politique de confidentialité (article 30, paragraphe 1, et article 32, paragraphe 4, de la PIPA).

(70)

Afin d’améliorer la transparence pour les personnes concernées se trouvant dans l’Union dont les données à caractère personnel sont transférées en Corée sur la base de la présente décision, la section 3, points i) et ii), de la notification 2021-5 (annexe I) impose des exigences supplémentaires en matière de transparence. Premièrement, lorsqu’ils reçoivent des données à caractère personnel provenant de l’Union sur la base de la présente décision, les responsables du traitement coréens doivent notifier aux personnes concernées sans retard injustifié (et en tout état de cause dans un délai maximal d’un mois à compter du transfert) le nom et les coordonnées des entités transférant et recevant les informations, les données (ou catégories de données) à caractère personnel transférées, la finalité de la collecte par le responsable du traitement coréen, la durée de conservation et les droits que leur confère la PIPA. Deuxièmement, lorsque des données à caractère personnel provenant de l’Union sont fournies à des tiers sur la base de la présente décision, les personnes concernées doivent notamment être informées du destinataire, des données à caractère personnel ou des catégories de données à caractère personnel devant être fournies, du pays auquel ces données sont fournies (le cas échéant), ainsi que des droits que leur confère la PIPA (95). De cette manière, la notification garantit que les personnes se trouvant dans l’Union continuent d’être informées des responsables du traitement spécifiques qui traitent leurs informations et sont en mesure d’exercer leurs droits vis-à-vis des entités pertinentes.

(71)

La section 3, point iii), de la notification (annexe I) permet certaines exceptions limitées et spécifiques à ces obligations supplémentaires en matière de transparence, qui sont substantiellement équivalentes à celles prévues par le règlement (UE) 2016/679. Plus particulièrement, la notification des personnes concernées se trouvant dans l’Union n’est pas requise 1) lorsqu’il convient de restreindre les notifications pour des raisons d’intérêt général (par exemple lorsque les informations sont traitées aux fins de la sécurité nationale ou d’enquêtes pénales en cours) et pour la durée nécessaire à cet effet, dans la mesure où les objectifs d’intérêt général sont manifestement supérieurs aux droits de la personne concernée; 2) lorsque la personne concernée dispose déjà de ces informations; 3) lorsque et dans la mesure où la notification est susceptible de porter atteinte à la vie ou à l’intégrité corporelle de la personne concernée ou d’une autre personne, ou de porter atteinte de manière déloyale aux intérêts matériels d’une autre personne, lorsque de tels droits ou intérêts sont manifestement supérieurs aux droits de la personne concernée; ou 4) lorsqu’on ne dispose pas des coordonnées des personnes concernées ou que leur envoyer une notification nécessiterait un effort disproportionné. Afin de déterminer s’il est ou non possible de contacter la personne concernée ou si des efforts excessifs sont nécessaires à cet effet, il convient de tenir compte de la possibilité de coopérer avec l’exportateur des données situé dans l’Union.

(72)

Les règles prévues aux considérants 67 à 71 assurent donc un niveau de protection en matière de transparence substantiellement équivalent à celui que prévoit le règlement (UE) 2016/679.

(73)

Les personnes concernées devraient disposer de certains droits qu’elles peuvent opposer au responsable du traitement ou au sous-traitant, en particulier le droit d’accéder aux données, le droit d’obtenir la rectification des données, le droit de s’opposer au traitement et le droit d’obtenir l’effacement des données. Dans le même temps, de tels droits peuvent être soumis à des limitations, dans la mesure où celles-ci sont nécessaires et proportionnées pour garantir des objectifs d’intérêt public importants.

(74)

Selon l’article 3, paragraphe 5, de la PIPA, le responsable du traitement garantit les droits des personnes concernées énumérés à l’article 4 de la PIPA et détaillés dans les articles 35 à 37, 39 et 39-2 de la PIPA.

(75)

Premièrement, les personnes disposent d’un droit à l’information et d’un droit d’accès. Lorsque le responsable du traitement a collecté les données à caractère personnel auprès d’un tiers (ce qui sera toujours le cas lorsque les données sont transférées depuis l’Union), les personnes concernées disposent généralement du droit de recevoir des informations concernant 1) la «source» de leurs données à caractère personnel transférées (c’est-à-dire l’entité qui les a transférées), 2) la finalité du traitement et 3) le fait qu’elles ont le droit de demander la suspension du traitement (article 20, paragraphe 1, de la PIPA). Des limitations s’appliquent, notamment lorsqu’une telle notification est susceptible de porter atteinte à la vie ou à l’intégrité corporelle d’une autre personne ou «de causer de manière déloyale des dommages aux biens et autres intérêts» d’une autre personne, mais seulement lorsque les intérêts de ces tiers sont «explicitement supérieurs» aux droits de la personne concernée (article 20, paragraphe 4, point 2, de la PIPA).

(76)

De plus, l’article 35, paragraphes 1 et 3, de la PIPA, en liaison avec l’article 41, paragraphe 4, du décret d’application de la PIPA, confère aux personnes concernées un droit d’accès à leurs informations à caractère personnel (96). Le droit d’accès couvre la confirmation du traitement, les informations concernant le type de données traitées, la finalité du traitement, la durée de conservation et toute divulgation à un tiers, ainsi que la fourniture d’une copie des informations à caractère personnel traitées (article 4, point 3, de la PIPA, en liaison avec l’article 41, paragraphe 1, du décret d’application de la PIPA) (97). L’accès ne peut être limité (accès partiel) (98) ou refusé que lorsque la loi le prévoit (99), lorsqu’il est susceptible de porter atteinte à la vie ou à l’intégrité corporelle d’un tiers ou de causer une atteinte injustifiée aux biens et autres intérêts d’une autre personne (article 35, paragraphe 4, de la PIPA) (100). Ce dernier cas nécessite de mettre en balance les droits et libertés constitutionnels de la personne, d’une part, et ceux d’autres personnes, d’autre part. Lorsque l’accès est limité ou refusé, le responsable du traitement doit en indiquer les motifs à la personne concernée et lui préciser la manière dont elle peut former un recours contre une telle décision (article 41, paragraphe 5, et article 42, paragraphe 2, du décret d’application de la PIPA).

(77)

Deuxièmement, les personnes concernées disposent du droit à la rectification ou à l’effacement (101) de leurs données à caractère personnel, «sauf si d’autres dispositions légales en disposent spécifiquement autrement» (article 36, paragraphes 1 et 2, de la PIPA) (102). À la réception d’une demande, le responsable du traitement doit réaliser une enquête sans retard, prendre les mesures nécessaires (103) et les notifier à la personne concernée dans un délai de dix jours; lorsqu’il n’est pas possible de donner suite à la demande, cette obligation de notification porte sur les raisons du refus et la manière de former un recours (voir article 36, paragraphe 4, de la PIPA, en liaison avec l’article 43, paragraphe 3, du décret d’application de la PIPA) (104).

(78)

Enfin, les personnes concernées ont droit à la suspension du traitement de leurs données à caractère personnel sans retard (105), sauf si l’une des exceptions prévues s’applique (article 37, paragraphes 1 et 2, de la PIPA) (106). Le responsable du traitement peut rejeter la demande 1) lorsque la loi le permet expressément ou lorsque cela est nécessaire («inévitable») afin de s’acquitter d’obligations juridiques; 2) lorsque la suspension demandée est susceptible de porter atteinte à la vie ou à l’intégrité corporelle d’un tiers ou de causer une atteinte injustifiée aux biens et autres intérêts d’une autre personne; 3) lorsqu’il serait impossible pour une institution publique de réaliser ses missions telles que prévues par la loi sans traiter les informations; ou 4) lorsque la personne concernée ne résilie pas expressément le contrat sous-jacent conclu avec le responsable du traitement alors même qu’il serait impossible d’exécuter ce contrat sans traiter les données. Dans ce cas, le responsable du traitement doit, sans retard, notifier à la personne concernée les motifs du rejet et l’informer de la manière dont elle peut former un recours (article 37, paragraphe 2, de la PIPA, en liaison avec l’article 44, paragraphe 2, du décret d’application de la PIPA). Selon l’article 37, paragraphe 4, de la PIPA, le responsable du traitement doit, sans retard, «prendre les mesures nécessaires, y compris la destruction des informations à caractère personnel concernées» lorsqu’il exécute la demande de suspension (107).

(79)

Le droit à la suspension s’applique également lorsque les données à caractère personnel sont utilisées à des fins de marketing direct, c’est-à-dire afin de promouvoir des biens ou des services ou d’en encourager l’acquisition. De plus, un tel traitement ultérieur nécessite en général le consentement spécifique (supplémentaire) de la personne concernée (voir article 15, paragraphe 1, point 1, et article 17, paragraphe 2, point 1, de la PIPA) (108). Lorsqu’il demande un tel consentement, le responsable du traitement doit spécifiquement informer la personne concernée de l’utilisation prévue des données à des fins de marketing direct (c’est-à-dire du fait qu’il ou elle pourra être contacté en vue de la promotion de biens ou de services ou d’être encouragé à en faire l’acquisition) d’une «manière explicitement reconnaissable» (article 22, paragraphes 2 et 4, de la PIPA, en liaison avec l’article 17, paragraphe 2, point 1, du décret d’exécution de la PIPA).

(80)

Afin de faciliter l’exercice des droits individuels, le responsable du traitement doit mettre au point des procédures spécifiques et les porter à la connaissance du public (article 38, paragraphe 4, de la PIPA) (109). Cela comprend notamment des procédures permettant de contester le rejet d’une demande (article 38, paragraphe 5, de la PIPA). Le responsable du traitement doit veiller à ce que la procédure d’exercice des droits soit «conviviale» et ne soit pas plus difficile que celle de la collecte des données à caractère personnel. Cela inclut également l’obligation de fournir des informations sur la procédure sur son site web (article 41, paragraphe 2, article 43, paragraphe 1, et article 44, paragraphe 1, du décret d’application de la PIPA) (110). Les personnes peuvent désigner un représentant et l’autoriser à présenter une telle demande (article 38, paragraphe 1, de la PIPA, en liaison avec l’article 45 du décret d’application de la PIPA). Bien que le responsable du traitement puisse imposer des frais (et, dans le cas d’une demande de copies par courrier de données à caractère personnel, des frais postaux), le montant doit en être déterminé «conformément aux dépenses réellement nécessaires au traitement de [la demande]»; aucuns frais (ni aucuns frais postaux) ne peuvent être imposés lorsque le responsable du traitement est à l’origine de la demande (article 38, paragraphe 3, de la PIPA, en liaison avec l’article 47 du décret d’application de la PIPA).

(81)

La PIPA et son décret d’application ne comportent pas de dispositions générales traitant de la question des décisions relatives à la personne concernée et reposant uniquement sur le traitement automatisé de données à caractère personnel. Cependant, pour ce qui est des données à caractère personnel qui ont été collectées dans l’Union, toute décision fondée sur un traitement automatisé sera généralement prise par le responsable du traitement de l’Union (qui est en relation directe avec la personne concernée) et relève par conséquent du règlement (UE) 2016/679 (111). Cela inclut les cas de transfert dans lesquels le traitement est effectué par un opérateur économique étranger (coréen, par exemple) en tant qu’agent (sous-traitant) agissant au nom du responsable du traitement de l’Union (ou en tant que sous-traitant agissant au nom du sous-traitant de l’Union ayant obtenu les données auprès d’un responsable du traitement de l’Union qui les a collectées) qui prend ensuite la décision sur cette base. Il est donc peu probable que l’absence de règles spécifiques applicables à la prise de décisions automatisée dans la PIPA porte préjudice au niveau de protection des données à caractère personnel transférées sur la base de la présente décision.

(82)

À titre exceptionnel, les dispositions relatives à la transparence concernant les demandes (article 20) et les droits individuels (articles 35 à 37), ainsi que l’obligation de notification individuelle pour les fournisseurs de services d’information et de communication (article 39-8 de la PIPA), ne s’appliquent pas aux informations pseudonymisées lorsqu’elles sont traitées à des fins statistiques, de recherche scientifique ou d’archivage dans l’intérêt général (article 28-7 de la PIPA) (112). Conformément à l’approche de l’article 11, paragraphe 2 (en liaison avec le considérant 57) du règlement (UE) 2016/679, cela se justifie par le fait que, pour garantir la transparence ou accorder des droits individuels, le responsable du traitement devrait déterminer si des données (et, le cas échéant, lesquelles) sont liées à la personne à l’origine de la demande, ce qui est expressément interdit en vertu de la PIPA (article 28-5, paragraphe 1, de la PIPA). En outre, lorsque cette réidentification implique de renoncer à la pseudonymisation pour la totalité de l’ensemble de données (pseudonymisées), elle exposerait les informations à caractère personnel de toutes les autres personnes concernées à des risques accrus. Tandis que le règlement (UE) 2016/679 fait référence à des situations dans lesquelles la réidentification est pratiquement impossible, la PIPA adopte une approche plus stricte en interdisant expressément la réidentification dans tous les cas où des informations pseudonymisées sont traitées.

(83)

Le système coréen, tel que décrit aux considérants 74 à 82, contient donc des règles relatives aux droits des personnes concernées qui assurent un niveau de protection substantiellement équivalent à celui prévu par le règlement (UE) 2016/679.

(84)

Le niveau de protection conféré aux données à caractère personnel qui sont transférées depuis l’Union vers des responsables du traitement en République de Corée ne doit pas être compromis par le transfert ultérieur de ces mêmes données vers des destinataires se trouvant dans un pays tiers.

(85)

De tels «transferts ultérieurs» constituent des transferts à partir de la République de Corée du point de vue du responsable du traitement. À cet égard, la PIPA opère une distinction entre le fait de sous-traiter le traitement à une partie sous-traitante (c’est-à-dire un sous-traitant) et la fourniture de données à caractère personnel à des tiers (113).

(86)

Premièrement, lorsque le traitement des données à caractère personnel est sous-traité à une entité se situant dans un pays tiers, le responsable du traitement coréen doit veiller au respect des dispositions de la PIPA en matière de sous-traitance (article 26 de la PIPA). Cela comprend la mise en place d’un instrument juridiquement contraignant qui, entre autres, limite le traitement réalisé par la partie sous-traitante à la finalité des tâches sous-traitées, impose des garanties techniques et organisationnelles et limite la sous-traitance (voir article 26, paragraphe 1, de la PIPA), et la publication d’informations sur les tâches sous-traitées. De plus, le responsable du traitement est tenu d’«éduquer» la partie sous-traitante concernant les mesures de sécurité nécessaires et de surveiller, y compris au moyen de contrôles, le respect de toutes les obligations incombant au responsable du traitement au titre de la PIPA (114) ainsi que du contrat de sous-traitance.

(87)

Tout préjudice causé par la partie sous-traitante en raison du non-respect de la PIPA dans le cadre du traitement des données à caractère personnel est imputable au responsable du traitement à des fins de responsabilité, tout comme si le préjudice était causé par un employé de ce dernier (article 26, paragraphe 6, de la PIPA). Le responsable du traitement coréen reste donc responsable des données à caractère personnel sous-traitées et doit garantir que le sous-traitant se trouvant à l’étranger traite les informations conformément à la PIPA. Si la partie sous-traitante traite les informations en violation de la PIPA, le responsable du traitement coréen peut être tenu pour responsable du non-respect de son obligation d’assurer la conformité avec la PIPA, notamment via le contrôle exercé sur la partie sous-traitante. Les garanties incluses dans le contrat de sous-traitance et la responsabilité du responsable du traitement coréen pour les actions de sa partie sous-traitante assurent la continuité de la protection lorsque le traitement de données à caractère personnel est sous-traité à une entité se trouvant en dehors de la Corée.

(88)

Deuxièmement, les responsables du traitement coréens peuvent fournir les données à caractère personnel à un tiers situé en dehors de la Corée. Bien que la PIPA comprenne un certain nombre de fondements juridiques permettant la fourniture à des tiers de manière générale, si le tiers en question se trouve en dehors de la Corée, le responsable du traitement doit en principe (115) obtenir le consentement (116) de la personne concernée après lui avoir fourni des informations concernant 1) le type de données à caractère personnel; 2) le destinataire des données à caractère personnel; 3) la finalité du transfert au regard de la finalité du traitement recherchée par le destinataire; 4) la durée de conservation aux fins du traitement par le destinataire; et 5) le fait que la personne concernée peut refuser de donner son consentement (article 17, paragraphes 2 et 3, de la PIPA). Dans sa section sur la transparence (voir considérant 70), la notification 2021-5 exige que les personnes soient informées du pays tiers vers lequel leurs données seront transférées. Cela permet de garantir que les personnes concernées dans l’Union peuvent prendre une décision éclairée s’agissant de consentir ou non à la fourniture à l’étranger de leurs données. De plus, le responsable du traitement ne doit pas conclure de contrat qui enfreindrait la PIPA avec un tiers destinataire, ce qui signifie que le contrat ne doit pas contenir d’obligations contraires aux exigences incombant au responsable du traitement en vertu de la PIPA (117).

(89)

En l’absence de consentement de la personne, les données à caractère personnel peuvent être fournies à un tiers (à l’étranger) lorsque l’objectif de la divulgation reste «dans un cadre raisonnablement lié» à la finalité initiale de la collecte (article 17, paragraphe 4, de la PIPA, voir considérant 36). Cependant, lorsqu’il décide de divulguer (ou non) des données à caractère personnel pour une finalité «liée», le responsable du traitement doit se demander si la divulgation entraînerait des inconvénients pour la personne et si les mesures de sécurité nécessaires (comme le chiffrement) ont été prises. Puisqu’il est possible que le pays tiers vers lequel des données à caractère personnel sont transférées ne prévoie pas de protections semblables à celles contenues dans la PIPA, la section 2 de la notification 2021-5 reconnaît que de tels inconvénients peuvent survenir et ne peuvent être évités que si le responsable du traitement coréen et le destinataire se trouvant à l’étranger assurent, au moyen d’un instrument juridiquement contraignant (comme un contrat), un niveau de protection équivalent à celui prévu par la PIPA, y compris en ce qui concerne les droits des personnes concernées.

(90)

Des règles spécifiques s’appliquent à la divulgation «ne relevant pas de la finalité», c’est-à-dire à la fourniture de données à un tiers pour une nouvelle finalité (non liée), qui ne peut avoir lieu que pour l’un des motifs indiqués à l’article 18, paragraphe 2, de la PIPA, comme le décrit le considérant 39. Cependant, même dans de telles conditions, toute fourniture à des tiers est exclue si elle est susceptible de «porter atteinte de manière déloyale» aux intérêts de la personne concernée ou d’un tiers, ce qui nécessite une mise en balance des intérêts. De plus, conformément à l’article 18, paragraphe 5, de la PIPA, le responsable du traitement doit appliquer des garanties supplémentaires, qui peuvent notamment consister à demander au tiers de limiter la finalité et la méthode du traitement ou de mettre en place des mesures de sécurité spécifiques. Une fois encore, puisqu’il est possible que le pays tiers vers lequel des données à caractère personnel sont transférées ne prévoie pas de protections semblables à celles contenues dans la PIPA, la section 2 de la notification 2021-5 reconnaît qu’une telle «atteinte déloyale» aux intérêts de la personne ou d’un tiers peut survenir et ne peut être évitée que si le responsable du traitement coréen et le destinataire se trouvant à l’étranger assurent, au moyen d’un instrument juridiquement contraignant (comme un contrat), un niveau de protection équivalent à celui prévu par la PIPA, y compris en ce qui concerne les droits des personnes concernées.

(91)

Les règles mentionnées aux considérants 86 à 90 assurent donc la continuité de la protection lorsque les données à caractère personnel font l’objet d’un transfert ultérieur (à une «partie sous-traitante» ou à un tiers) depuis la République de Corée d’une manière substantiellement équivalente à celle prévue par le règlement (UE) 2016/679.

(92)

Selon le principe de responsabilité, les entités traitant des données sont tenues de mettre en place les mesures techniques et organisationnelles appropriées pour s’acquitter effectivement de leurs obligations en matière de protection des données et doivent être en mesure de démontrer le respect de ces obligations, en particulier à l’autorité de contrôle compétente.

(93)

Selon l’article 3, paragraphes 6 et 8, de la PIPA, le responsable du traitement doit traiter les données à caractère personnel «de manière à réduire au minimum la possibilité d’atteinte» à la vie privée de la personne concernée et s’efforce d’obtenir la confiance de la personne concernée en respectant et en exécutant les obligations et les responsabilités telles que prévues par la PIPA et d’autres lois connexes. Cela comprend la création d’un plan de gestion interne (article 29 de la PIPA), ainsi qu’une formation et une supervision appropriées des employés (article 28 de la PIPA).

(94)

Afin d’assurer la responsabilité, l’article 31 de la PIPA, en liaison avec l’article 32 du décret d’application de la PIPA, oblige les responsables du traitement à désigner un responsable de la confidentialité qui «prend en charge de manière exhaustive le traitement des informations à caractère personnel». Plus particulièrement, ce responsable de la confidentialité est chargé des missions suivantes: 1) la création et la mise en œuvre d’un plan de protection des données à caractère personnel et la rédaction de la politique de confidentialité; 2) la réalisation d’études régulières sur le statut du traitement des données à caractère personnel et sur les bonnes pratiques en la matière, afin de remédier aux éventuelles lacunes; 3) la gestion des plaintes et des indemnités octroyées à titre de réparation; 4) la création d’un système interne de contrôle afin d’empêcher la divulgation ou l’utilisation abusive ou détournée de données à caractère personnel; 5) la préparation et la mise en œuvre d’un programme de formation; 6) la protection, le contrôle et la gestion des fichiers de données à caractère personnel; et 7) la destruction des données à caractère personnel une fois que la finalité du traitement est réalisée ou que la durée de conservation est arrivée à son terme. Lorsqu’il exécute ces missions, le responsable de la confidentialité peut contrôler le statut du traitement des données à caractère personnel et des systèmes y afférents et réclamer des informations à cet égard (article 31, paragraphe 3, de la PIPA). Si le responsable de la confidentialité prend connaissance de toute infraction à la PIPA ou à toute autre loi pertinente en matière de protection des données, il doit immédiatement prendre des mesures correctrices et les notifier à la direction du responsable du traitement, si nécessaire (article 31, paragraphe 4, de la PIPA). Selon l’article 31, paragraphe 5, de la PIPA, le responsable de la confidentialité ne doit pas subir des inconvénients injustifiés du fait de l’exercice de ces missions.

(95)

De plus, les responsables du traitement doivent s’efforcer de manière proactive de réaliser une analyse d’impact relative à la confidentialité lorsque l’exploitation de fichiers de données à caractère personnel comprend un risque en matière de confidentialité (article 33, paragraphe 8, de la PIPA). Sur la base de l’article 33, paragraphes 1 et 2, de la PIPA, en liaison avec les articles 35, 36 et 38 du décret d’application de la PIPA, des facteurs tels que le type et la nature des données traitées (notamment s’il s’agit d’informations sensibles), leur volume, la durée de conservation et la probabilité que des violations de données se produisent sont pertinents afin d’apprécier le degré de risque pour les droits des personnes concernées. L’objectif de l’analyse d’impact relative à la confidentialité est de garantir que les facteurs de risque en matière de confidentialité, ainsi que les contre-mesures de sécurité ou autres, sont analysés et de signaler les aspects qui nécessitent une amélioration (voir article 33, paragraphe 1, de la PIPA, en liaison avec l’article 38 du décret d’application de la PIPA).

(96)

Les institutions publiques sont tenues de réaliser une analyse d’impact lorsqu’elles traitent certains fichiers de données à caractère personnel qui présentent un risque plus élevé de violation de la confidentialité (article 33, paragraphe 1, de la PIPA). Conformément à l’article 35 du décret d’application de la PIPA, c’est notamment le cas des fichiers contenant des informations sensibles sur au moins 50 000 personnes concernées, des fichiers qui seront combinés à d’autres fichiers et qui contiendront en conséquence de cela des informations sur au moins 500 000 personnes concernées ou des fichiers contenant des informations sur au moins un million de personnes concernées. Une institution qui réalise une analyse d’impact doit en communiquer les résultats à la PIPC (article 33, paragraphe 1, de la PIPA), qui peut rendre un avis sur la question (article 33, paragraphe 3, de la PIPA).

(97)

Enfin, l’article 13 de la PIPA prévoit que la PIPC élabore les politiques nécessaires afin de promouvoir et de soutenir des «activités de protection des données autorégulées» réalisées par les responsables du traitement, notamment par la formation à la protection des données, par la promotion et l’appui d’organisations actives dans le domaine de la protection des données et par l’aide apportée aux responsables du traitement s’agissant de créer et de mettre en place des règles autorégulées. De plus, elle présente le système de symbole ePRIVACY et en facilite l’application. À cet égard, l’article 32, paragraphe 2, de la PIPA, en liaison avec les articles 34-2 à 34-8 du décret d’application de la PIPA, prévoit la possibilité de certifier que le traitement des données à caractère personnel et le système de protection d’un responsable du traitement sont conformes aux exigences de la PIPA. Selon ces règles, il est possible d’accorder une certification (118) (pour une durée de trois ans) au responsable du traitement qui remplit les critères de certification définis par la PIPC, notamment la mise en place de mesures organisationnelles, techniques et physiques pour protéger les données à caractère personnel (119). La PIPC doit examiner les systèmes du responsable du traitement pertinents pour la certification au moins une fois par an afin d’en assurer l’efficacité, ce qui peut conduire à la révocation de la certification (article 32, paragraphe 4, de la PIPA, en liaison avec l’article 34-5 du décret d’application de la PIPA, la «gestion de suivi»).

(98)

Le cadre coréen met donc en place le principe de responsabilité d’une manière qui garantit un niveau de protection substantiellement équivalent à celui prévu par le règlement (UE) 2016/679, y compris en prévoyant différents mécanismes permettant de vérifier et de démontrer la conformité avec la PIPA.

(99)

Comme décrit au considérant 13, la CIA prévoit des règles spécifiques pour le traitement des informations à caractère personnel en matière de crédit par les opérateurs économiques. Lorsqu’ils traitent des informations à caractère personnel en matière de crédit, les opérateurs économiques doivent donc respecter les dispositions générales de la PIPA, sauf si la CIA prévoit des règles plus spécifiques. C’est par exemple le cas lorsqu’ils traitent des informations relatives à une carte de crédit ou à un compte bancaire dans le cadre d’une opération commerciale avec une personne. En tant que législation sectorielle pour le traitement d’informations (à caractère personnel et non personnel) en matière de crédit, la CIA impose non seulement des garanties spécifiques en matière de protection des données (par exemple en ce qui concerne la transparence ou la sécurité), mais elle régit également de manière plus générale les circonstances particulières dans lesquelles il est possible de traiter des informations à caractère personnel en matière de crédit. Cela se traduit notamment dans les exigences détaillées concernant l’utilisation, la fourniture à un tiers ou la conservation de telles données.

(100)

Tout comme la PIPA, la CIA consacre les principes de licéité et de proportionnalité. Premièrement, à titre d’exigence générale, l’article 15, paragraphe 1, de la CIA n’autorise à collecter des informations à caractère personnel en matière de crédit que par des moyens raisonnables et loyaux et que dans la moindre mesure nécessaire pour réaliser une finalité spécifique, conformément à l’article 3, paragraphes 1 et 2, de la PIPA. Deuxièmement, la CIA régit spécifiquement la licéité du traitement des informations à caractère personnel en matière de crédit en restreignant leur collecte, leur utilisation et leur fourniture à un tiers et, de manière générale, en soumettant ces activités de traitement à l’obligation de disposer du consentement de la personne concernée.

(101)

Les informations à caractère personnel en matière de crédit peuvent être collectées sur la base de l’un des fondements prévus par la PIPA, ou de l’un des fondements spécifiques prévus par la CIA. Puisque l’article 45 du règlement (UE) 2016/679 présuppose un transfert de données à caractère personnel par un responsable du traitement ou un sous-traitant se trouvant dans l’Union, mais ne couvre pas la collecte directe (auprès de la personne ou d’un site internet par exemple) par un responsable du traitement en Corée, seuls le consentement et les fondements prévus par la PIPA sont pertinents pour la présente décision. Ces fondements incluent notamment des scénarios dans lesquels le transfert est nécessaire à l’exécution d’un contrat conclu avec la personne ou conforme aux intérêts légitimes du responsable du traitement coréen (article 15, paragraphe 1, points 4 et 6, de la PIPA) (120).

(102)

Une fois collectées, les informations à caractère personnel en matière de crédit peuvent être utilisées 1) pour la finalité initiale pour laquelle elles ont été (directement) fournies par la personne concernée (121); 2) pour une finalité compatible avec la finalité initiale de la collecte (122); 3) pour décider d’établir ou de conserver une relation commerciale demandée par la personne concernée (123); 4) à des fins statistiques, de recherche et d’archivage dans l’intérêt général (124) si les informations ont été pseudonymisées (125); 5) si un consentement supplémentaire a été obtenu; ou 6) conformément à la législation.

(103)

Si un opérateur économique souhaite divulguer des informations à caractère personnel en matière de crédit à un tiers, il doit obtenir le consentement de la personne concernée (126), après l’avoir informée du destinataire des données, de la finalité du traitement par le destinataire, des détails concernant les données qui seront transférées, de la durée de conservation par le destinataire et de son droit à ne pas consentir à ce transfert (article 32, paragraphe 1, de la CIA et article 28, paragraphe 2, du décret d’application de la CIA) (127). Cette obligation de consentement ne s’applique pas dans certaines situations spécifiques, notamment lorsque les informations à caractère personnel en matière de crédit sont divulguées (128): 1) à une partie sous-traitante à des fins de sous-traitance (129); à un tiers en cas de transfert, de division ou de fusion d’une entreprise; 3) à des fins statistiques, de recherche et d’archivage dans l’intérêt général, lorsque les informations ont été pseudonymisées; 4) pour une finalité compatible avec la finalité initiale de la collecte; 5) à un tiers qui utilise les informations afin de recouvrer une dette due par la personne (130); 6) afin d’exécuter une ordonnance judiciaire; 7) à un procureur ou un agent de police judiciaire en cas d’urgence lorsque la vie de la personne est en danger ou que la personne est susceptible de subir un préjudice corporel et qu’il n’y a pas assez de temps pour délivrer un mandat judiciaire (131); 8) aux autorités fiscales compétentes afin de se conformer au droit fiscal; ou 9) conformément à tout autre acte législatif. En cas de divulgation sur la base de l’un de ces fondements, il convient d’en informer à l’avance la personne concernée (article 32, paragraphe 7, de la CIA).

(104)

La CIA régit aussi spécifiquement la durée du traitement des informations à caractère personnel en matière de crédit sur la base de l’un de ces fondements en vue de leur utilisation ou de leur fourniture à un tiers une fois que la relation commerciale avec la personne est terminée (132). Seules les informations qui étaient nécessaires à l’établissement ou à la conservation de cette relation peuvent être conservées, sous réserve de l’application de garanties supplémentaires (elles doivent être conservées séparément des informations en matière de crédit portant sur des personnes avec lesquelles une relation commerciale est en cours, protégées par des mesures spécifiques de sécurité et seulement accessibles aux personnes autorisées) (133). Toutes les autres données doivent être supprimées (article 17-2, paragraphe 1, point 2, du décret d’application de la CIA). Afin de déterminer quelles données étaient nécessaires à la relation commerciale, il convient de tenir compte de différents facteurs, notamment s’il aurait été possible d’établir la relation sans ces données et si ces données portent directement sur les biens ou les services fournis à la personne (article 17-2, paragraphe 2, du décret d’application de la CIA).

(105)

Même dans les cas où les informations à caractère personnel en matière de crédit peuvent en principe être conservées après la fin de la relation commerciale, elles doivent être supprimées dans un délai de trois mois après la réalisation de la finalité supplémentaire du traitement (134) ou, en tout état de cause, après cinq ans (article 20-2 de la CIA). Dans un nombre limité de circonstances, les informations personnelles sur le crédit peuvent être conservées pendant plus de cinq ans, en particulier lorsque cela est nécessaire pour se conformer à une obligation légale; lorsque cela est nécessaire pour les intérêts vitaux, l’intégrité corporelle ou les biens d’une personne; aux fins de l’archivage d’informations pseudonymisées (qui ont été utilisées à des fins statistiques, de recherche scientifique ou d’archivage dans l’intérêt général); ou à des fins d’assurance (notamment pour le paiement d’assurances ou pour prévenir la fraude à l’assurance) (135). Dans ces cas exceptionnels, des garanties spécifiques s’appliquent (comme la notification de l’utilisation ultérieure à la personne, la séparation des informations conservées et des informations portant sur des personnes avec qui une relation commerciale existe encore, la limitation des droits d’accès, voir article 17-2, paragraphes 1 et 2, du décret d’application de la CIA).

(106)

La CIA donne également des précisions concernant les principes d’exactitude et de qualité des données en exigeant que les informations à caractère personnel en matière de crédit soient «enregistrées, modifiées et gérées» de manière à assurer qu’elles sont exactes et mises à jour (article 18, paragraphe 1, de la CIA et article 15, paragraphe 3, du décret d’application de la CIA) (136). Lorsqu’ils fournissent des informations en matière de crédit à certaines autres entités (comme des agences de notation du crédit), les opérateurs économiques sont également spécifiquement tenus de vérifier l’exactitude des informations afin de garantir que le destinataire enregistre et gère uniquement des informations exactes (article 15, paragraphe 1, du décret d’application de la CIA, en liaison avec l’article 18, paragraphe 1, de la CIA). Plus généralement, la CIA impose la tenue de registres concernant la collecte, l’utilisation, la divulgation à des tiers et la destruction d’informations à caractère personnel en matière de crédit (article 20, paragraphe 2, de la CIA) (137).

(107)

De plus, le traitement d’informations à caractère personnel en matière de crédit est soumis à des exigences spécifiques en ce qui concerne la sécurité des données. Plus particulièrement, la CIA impose la mise en œuvre de mesures technologiques, physiques et organisationnelles afin de prévenir tout accès illicite aux systèmes informatiques, et d’empêcher que les données traitées soient exposées à la modification, à la destruction ou à tout autre risque (par exemple grâce à la mise en place de contrôles de l’accès, voir article 19 de la CIA et article 16 du décret d’application de la CIA). De plus, lorsque des informations à caractère personnel en matière de crédit sont partagées avec un tiers, il convient de conclure un accord prévoyant des mesures de sécurité spécifiques (article 19, paragraphe 2, de la CIA). En cas de violation des informations à caractère personnel en matière de crédit, il convient de prendre des mesures visant à réduire au minimum tout dommage et d’en informer sans retard les personnes concernées (article 39-4, paragraphes 1 et 2, de la CIA). De plus, la PIPC doit être informée de la notification adressée aux personnes concernées et des mesures mises en œuvre (article 39-4, paragraphe 4, de la CIA).

(108)

La CIA impose également des obligations spécifiques en matière de sécurité au moment de l’obtention du consentement à l’utilisation ou à la fourniture d’informations à caractère personnel en matière de crédit (article 32, paragraphe 4, et article 34-2 de la CIA et article 30-3 du décret d’application de la CIA) et, plus généralement, avant la fourniture d’informations à un tiers (article 32, paragraphe 7, de la CIA) (138). De plus, les personnes ont le droit d’obtenir sur demande des informations concernant l’utilisation et la fourniture de leurs informations en matière de crédit à des tiers au cours des trois années précédant la demande (y compris concernant la finalité et les dates de telles utilisations/fournitures) (139).

(109)

Au titre de la CIA, les personnes ont également le droit d’avoir accès à leurs informations à caractère personnel en matière de crédit (article 38, paragraphe 1, de la CIA) et d’obtenir la rectification des données inexactes (article 38, paragraphes 2 et 3, de la CIA) (140). De plus, outre le droit général à l’effacement prévu par la PIPA (voir considérant 77), la CIA prévoit un droit spécifique à l’effacement des informations à caractère personnel en matière de crédit qui ont été conservées plus longtemps que les durées de conservation mentionnées au considérant 104, c’est-à-dire cinq ans (pour les informations à caractère personnel en matière de crédit nécessaires à l’établissement ou au maintien d’une relation commerciale) ou trois mois (pour les autres types d’informations à caractère personnel en matière de crédit) (141). Il est possible, à titre exceptionnel, qu’une demande d’effacement soit rejetée lorsqu’une plus longue durée de conservation est nécessaire dans les cas décrits au considérant 105. Si une personne demande l’effacement de ses données, mais que l’une des exceptions s’applique, des garanties spécifiques doivent être appliquées aux informations à caractère personnel en matière de crédit concernées (article 38-3, paragraphe 3, de la CIA et article 33-3 du décret d’application de la CIA). Par exemple, ces informations doivent être conservées séparément des autres informations, elles doivent faire l’objet de mesures de sécurité spécifiques et seules les personnes autorisées peuvent y avoir accès.

(110)

Outre les droits mentionnés au considérant 109, la CIA donne aux personnes le droit de demander à un responsable du traitement de cesser de les contacter à des fins de marketing direct (article 37, paragraphe 2, de la CIA) et le droit à la portabilité des données. En ce qui concerne ce droit à la portabilité, la CIA permet aux personnes de demander la transmission de leurs informations à caractère personnel en matière de crédit à elles-mêmes ou à certains tiers (par exemple des institutions financières ou des agences de notation du crédit). Les informations à caractère personnel en matière de crédit doivent être traitées et transmises au tiers dans un format permettant leur traitement par un appareil de traitement des données (comme un ordinateur).

(111)

Dans la mesure où la CIA contient des règles spécifiques par rapport à la PIPA, la Commission estime donc que ces règles assurent également un niveau de protection substantiellement équivalent à celui prévu par le règlement (UE) 2016/679.

(112)

Pour garantir un niveau adéquat de protection des données dans la pratique, il convient de mettre en place une autorité de contrôle indépendante chargée de surveiller l’application des règles en matière de protection des données et de les faire respecter. Cette autorité devrait agir en toute indépendance et en toute impartialité dans l’exercice de ses fonctions et compétences.

(113)

En République de Corée, l’autorité indépendante chargée de surveiller l’application de la PIPA et de la faire respecter est la PIPC. La PIPC se compose d’un président, d’un vice-président et de sept commissaires. Le président et le vice-président sont nommés par le président de la République sur recommandation du Premier ministre. Parmi les commissaires, deux sont nommés par le président de la République sur recommandation du président de la PIPC et cinq sur recommandation de l’Assemblée nationale [dont deux sur recommandation du parti politique auquel appartient le président de la République et trois sur recommandation d’autres partis politiques (article 7-2, paragraphe 2, de la PIPA), ce qui contribue à contrebalancer la partialité dans le processus de nomination] (142). Cette procédure est conforme aux exigences applicables à la nomination des membres des autorités chargées de la protection des données dans l’Union [article 53, paragraphe 1, du règlement (UE) 2016/679]. De plus, tous les commissaires doivent s’abstenir de participer à des activités à but lucratif ou politiques et d’occuper des postes dans l’administration publique ou à l’Assemblée nationale (article 7-6 et article 7-7, paragraphe 1, point 3, de la PIPA) (143). Tous les commissaires sont soumis à des règles spécifiques leur interdisant de prendre part aux délibérations en cas de possible conflit d’intérêts (article 7-11 de la PIPA). La PIPC bénéficie de l’aide d’un secrétariat (article 7-13) et peut créer des sous-commissions (se composant de trois commissaires) qui géreront les infractions mineures et les problèmes récurrents (article 7-12 de la PIPA).

(114)

Chaque membre de la PIPC est nommé pour un mandat de trois ans renouvelable une seule fois (article 7-4, paragraphe 1, de la PIPA). Les commissaires ne peuvent être révoqués que dans des circonstances particulières, notamment s’ils ne sont plus en mesure d’assurer leurs fonctions en raison d’une incapacité mentale ou physique durable, s’ils enfreignent la loi ou s’ils remplissent l’un des critères d’interdiction d’exercer leurs fonctions (144) (article 7-5 de la PIPA). Cela leur assure une protection institutionnelle dans l’exercice de leurs fonctions.

(115)

De manière plus générale, l’article 7, paragraphe 1, de la PIPA garantit explicitement l’indépendance de la PIPC et l’article 7-5, paragraphe 2, de la PIPA impose aux commissaires d’exercer leurs fonctions de manière indépendante, dans le respect de la loi et de leur conscience (145). Les garanties institutionnelles et procédurales décrites ci-dessus, notamment en ce qui concerne la nomination et la révocation de ses membres, assurent que la PIPC agit en toute indépendance, sans influence ou instructions extérieures. En outre, en tant qu’agence administrative centrale, la PIPC propose chaque année son propre budget (qui est réexaminé par le ministère des finances dans le cadre du budget national global avant son adoption par l’Assemblée nationale) et est chargée de sa propre gestion du personnel. La PIPC est dotée d’un budget actuel d’environ 35 millions d’euros et compte 154 membres du personnel (dont 40 employés spécialisés dans les technologies de l’information et de la communication, 32 employés spécialisés dans les enquêtes et 40 experts juridiques).

(116)

Les missions et pouvoirs de la PIPC sont principalement prévus aux articles 7-8, 7-9 et 61 à 66 de la PIPA (146). Plus particulièrement, la PIPC est notamment chargée de fournir des conseils sur les lois et règlements portant sur la protection des données, de mettre au point des politiques et orientations en matière de protection des données, d’enquêter sur les violations des droits des personnes, de gérer les plaintes et d’arbitrer les conflits, de veiller à la conformité avec la PIPA, d’assurer la formation et la promotion en matière de protection des données, et de communiquer et de coopérer avec les autorités de protection des données de pays tiers (147).

(117)

Sur la base de l’article 68 de la PIPA, en liaison avec l’article 62 du décret d’application de la PIPA, certaines missions de la PIPC ont été déléguées à l’agence coréenne de l’internet et de la sécurité, à savoir: 1) la formation et les relations publiques; 2) la formation de spécialistes et la mise au point de critères pour les analyses d’impact relatives à la confidentialité; 3) le traitement des demandes de désignation d’une «institution réalisant des analyses d’impact relatives à la confidentialité»; 4) le traitement de demandes d’accès indirect aux données à caractère personnel détenues par les autorités publiques (article 35, paragraphe 2, de la PIPA); et 5) la mission consistant à demander des documents et à réaliser des contrôles concernant les plaintes reçues via le «centre d’appel consacré à la protection de la vie privée». Dans le cadre de la gestion des plaintes via le centre d’appel consacré à la protection de la vie privée, l’agence coréenne de l’internet et de la sécurité transfère les affaires dans lesquelles elle estime que la loi a été violée à la PIPC ou au ministère public. La possibilité de soumettre une plainte au centre d’appel consacré à la protection de la vie privée n’empêche pas les personnes de présenter directement une plainte à la PIPC ou de s’adresser à celle-ci si elles estiment ne pas être satisfaites de la manière dont l’agence coréenne de l’internet et de la sécurité a traité leur plainte.

(118)

Afin de garantir le respect de la PIPA, le législateur a accordé à la PIPC des pouvoirs d’enquête et d’exécution, allant de recommandations à des amendes administratives. Un régime de sanctions pénales vient compléter ces pouvoirs.

(119)

En ce qui concerne les pouvoirs d’enquête, si l’existence d’une violation de la PIPA est présumée ou a été signalée, ou lorsque cela est nécessaire à la protection des droits des personnes concernées contre les infractions, la PIPC peut réaliser des contrôles sur place et demander tout élément pertinent (comme des articles ou des documents) aux responsables du traitement (article 63 de la PIPA, en liaison avec l’article 60 du décret d’application de la PIPA) (148).

(120)

En ce qui concerne l’exécution, au titre de l’article 61, paragraphe 2, de la PIPA, la PIPC peut donner des conseils aux responsables du traitement concernant la manière dont ils peuvent améliorer le niveau de protection des données à caractère personnel dans le cadre d’activités de traitement spécifiques. Les responsables du traitement doivent s’efforcer de bonne foi d’appliquer ces conseils et sont tenus d’informer la PIPC de leurs résultats. De plus, lorsque des raisons suffisantes laissent à penser qu’une violation de la PIPA a été commise et que toute inaction est susceptible de causer des préjudices difficiles à réparer, la PIPC peut imposer des mesures correctrices (article 64, paragraphe 1, de la PIPA) (149). La section 5 de la notification 2021-5 (annexe I) précise, de manière contraignante, que ces conditions sont remplies en ce qui concerne la violation de toute disposition de la PIPA protégeant les droits des personnes en matière de confidentialité portant sur des informations à caractère personnel (150). La PIPC peut notamment prendre les mesures suivantes: ordonner la cessation du comportement causant la violation, la suspension temporaire du traitement des données ou toute autre mesure nécessaire. Le non-respect d’une mesure corrective peut entraîner une peine d’amende d’un montant maximal de 50 millions de wons (article 75, paragraphe 2, point 13, de la PIPA).

(121)

En ce qui concerne certaines autorités publiques (telles que l’Assemblée nationale, les agences administratives centrales, les administrations locales et les juridictions), l’article 64, paragraphe 4, de la PIPA prévoit que la PIPC peut «recommander» l’une des mesures correctives mentionnées au considérant 120 et que ces autorités doivent se conformer à cette recommandation, sauf dans des circonstances extraordinaires. Conformément à la section 5 de la notification 2021-5, il s’agit de circonstances de fait ou de droit dont la PIPC n’avait pas connaissance au moment de formuler sa recommandation. L’autorité publique concernée ne peut invoquer de telles circonstances extraordinaires que si elle démontre clairement qu’aucune violation n’a eu lieu et la PIPC établit que ce n’est effectivement pas le cas. Sinon, l’autorité publique doit suivre la recommandation de la PIPC et «prendre une mesure corrective, y compris cesser immédiatement l’action en cause et réparer le préjudice subi dans le cas exceptionnel où un acte illicite aurait néanmoins été commis».

(122)

La PIPC peut également demander à d’autres organismes administratifs dotés de compétences spécifiques en vertu de la législation sectorielle (par exemple, santé, éducation) de mener une enquête — seule ou conjointement avec la PIPC — sur les violations (présumées) de la vie privée commises par des responsables du traitement opérant dans ces secteurs relevant de leur compétence, et d’imposer des mesures correctives (article 63, paragraphes 4 et 5, de la PIPA). Dans ce cas, la PIPC détermine les motifs, l’objet et la portée de l’enquête (151). Ensuite, l’agence administrative concernée doit soumettre un plan d’inspection à la PIPC et communiquer à cette dernière le résultat de l’inspection. La PIPC peut recommander une mesure corrective spécifique à prendre, que l’agence compétente doit s’efforcer de mettre en œuvre. En tout état de cause, une telle demande ne limite pas le pouvoir de la PIPC de mener sa propre enquête ou d’imposer des sanctions.

(123)

Outre son pouvoir d’adopter des mesures correctives, la PIPC peut imposer des amendes administratives d’un montant de 10 à 50 millions de wons en cas d’infraction aux diverses exigences de la PIPA (article 75 de la PIPA) (152). Ces infractions incluent, entre autres, le non-respect des exigences relatives à la licéité du traitement, la non-adoption des mesures de sécurité nécessaires, l’absence de notification à la personne concernée en cas de violation de données à caractère personnel, le non-respect des exigences en matière de sous-traitance ultérieure, le non-établissement et la non-communication d’une politique de confidentialité, l’absence de désignation d’un responsable de la protection de la vie privée ou l’inaction à la suite d’une demande d’une personne concernée exerçant ses droits individuels, ainsi que certaines infractions procédurales (non-coopération au cours d’une enquête). En cas de violation de plusieurs dispositions de la PIPA par le même responsable du traitement, une amende peut être infligée pour chaque infraction et le nombre de personnes concernées sera pris en compte lors de la fixation du montant de l’amende.

(124)

En outre, lorsqu’il existe des motifs raisonnables de soupçonner une violation de la PIPA ou de toute autre «loi relative à la protection des données», la PIPC peut introduire une plainte pénale auprès de l’autorité enquêtrice compétente (comme un procureur, voir article 65, paragraphe 1, de la PIPA). La PIPC peut également recommander au responsable du traitement de prendre des mesures disciplinaires à l’encontre de la personne responsable (y compris du gestionnaire, voir article 65, paragraphe 2, de la PIPA). Lorsqu’il reçoit une telle recommandation, le responsable du traitement doit s’y conformer (153) et informer par écrit la PIPC du résultat (article 65 de la PIPA, en liaison avec l’article 58 du décret d’application de la PIPA).

(125)

S’agissant de la recommandation visée à l’article 61, des mesures correctives visées à l’article 64, de la saisine ou de la recommandation de mesures disciplinaires visées à l’article 65 et de l’imposition d’amendes administratives visée à l’article 75 de la PIPA, la PIPC peut rendre publics les faits — à savoir, l’infraction, l’entité ayant commis l’infraction et la ou les mesures imposées — en les publiant sur son site internet ou, généralement, dans un quotidien national (article 66 de la PIPA, en liaison avec l’article 61, paragraphe 1, du décret d’application de la PIPA) (154).

(126)

Pour finir, le respect des exigences en matière de protection des données figurant dans la PIPA (ainsi que dans les autres «lois relatives à la protection des données») est renforcé par un régime de sanctions pénales. À cet égard, les articles 70 à 73 de la PIPA contiennent des dispositions en matière de sanctions qui peuvent donner lieu à l’imposition d’une amende (entre 20 et 100 millions de wons) ou d’une peine d’emprisonnement (dont la durée maximale se situe entre deux et 10 ans). Les infractions concernées comprennent, entre autres, l’utilisation de données à caractère personnel ou la transmission de telles données à un tiers sans le consentement nécessaire, le traitement d’informations sensibles contraire à l’interdiction visée à l’article 23, paragraphe 1, de la PIPA, le non-respect des exigences de sécurité applicables entraînant la perte, le vol, la divulgation, la falsification, l’altération ou la détérioration des données à caractère personnel, la non-adoption des mesures nécessaires en vue de rectifier ou d’effacer des données à caractère personnel ou de suspendre leur utilisation, ou le transfert illicite de données à caractère personnel vers un pays tiers (155). Conformément à l’article 74 de la PIPA, dans chacun de ces cas, la responsabilité de l’employé, de l’agent ou du représentant du responsable du traitement, y compris de ce dernier, est engagée (156).

(127)

Outre les sanctions pénales prévues par la PIPA, l’utilisation détournée de données à caractère personnel peut également constituer une infraction en vertu du code pénal. C’est le cas en particulier en ce qui concerne la violation de la confidentialité de lettres, de documents ou de dossiers électroniques (article 316), la divulgation d’informations couvertes par le secret professionnel (article 317), la fraude informatique (article 347-2) ainsi que le détournement de fonds et l’abus de confiance (article 355).

(128)

Le système coréen combine donc différents types de sanctions, allant des mesures correctives et des amendes administratives aux sanctions pénales, qui sont susceptibles d’avoir un effet dissuasif particulièrement fort pour les responsables du traitement et les personnes traitant les données. Immédiatement après son institution en 2020, la PIPC a commencé à faire usage de ses pouvoirs. Le rapport annuel 2021 de la PIPC montre que celle-ci a déjà émis un certain nombre de recommandations, d’amendes administratives et d’injonctions correctives, tant à l’encontre du secteur public (environ 34 autorités publiques) que d’opérateurs privés (environ 140 entreprises) (157). La PIPC a notamment infligé à une société une amende d’un montant de 6,7 milliards de wons en décembre 2020 pour violation de plusieurs dispositions de la PIPA (notamment des exigences en matière de sécurité, de consentement à la fourniture de données à un tiers et de transparence) (158). Elle a imposé également à une société spécialisée dans les technologies de l’IA une amende d’un montant de 103,3 millions de wons le 28 avril 2021 pour violation, entre autres dispositions, des règles relatives à la licéité du traitement, en particulier au consentement, et au traitement d’informations pseudonymisées (159). En août 2021, la PIPC a achevé une autre enquête sur les activités de trois entreprises, qui a donné lieu à des mesures correctives et à l’imposition d’amendes allant jusqu’à 6.47 milliards de wons (notamment pour n’avoir pas informé les particuliers de la divulgation de données à caractère personnel à des tiers, y compris des transferts vers des pays tiers) (160). De même, avant la réforme récente, la Corée du Sud était déjà très active en matière de répression, dans la mesure où les autorités responsables recouraient à l’éventail complet des mesures de répression, notamment aux amendes administratives, aux mesures correctives et à la «désignation et [au] partage» à l’égard de divers responsables du traitement, y compris des fournisseurs de services de communication (Commission coréenne des communications), ainsi que des opérateurs commerciaux, des institutions financières, des autorités publiques, des universités et des hôpitaux (ministère de l’intérieur et de la sécurité) (161). Sur cette base, la Commission conclut que le système coréen garantit en pratique l’application effective des règles en matière de protection des données, assurant ainsi un niveau de protection substantiellement équivalent à celui garanti par le règlement (UE) 2016/679.

(129)

En vue d’une protection adéquate et, en particulier, du respect de ses droits individuels, la personne concernée doit disposer de possibilités de recours administratif et juridictionnel effectif, y compris d’indemnisation.

(130)

Le système coréen offre aux particuliers divers mécanismes leur permettant de faire valoir effectivement leurs droits et d’obtenir réparation (en justice).

(131)

Dans un premier temps, les personnes qui considèrent que leurs droits ou intérêts en matière de protection des données ont été violés peuvent s’adresser au responsable du traitement concerné. Conformément à l’article 30, paragraphe 1, point 5, de la PIPA, la politique de confidentialité du responsable du traitement contient, entre autres, des informations concernant les droits des personnes concernées et leurs modalités d’exercice. En outre, elle fournit des coordonnées — telles que le nom et le numéro de téléphone du responsable de la protection de la vie privée ou du service chargé de la protection des données — afin de permettre le dépôt des plaintes («réclamations»). Au sein de l’organisation du responsable du traitement, le responsable de la protection de la vie privée est chargé de traiter les plaintes, d’adopter des mesures correctives en cas d’atteinte à la vie privée et de veiller à la réparation du préjudice subi (article 31, paragraphe 2, point 3, et article 31, paragraphe 4, de la PIPA). Ce dernier point est pertinent, par exemple, dans le cas d’une violation de données, car le responsable du traitement doit informer la personne concernée, entre autres, du ou des points de contact à qui signaler tout préjudice (article 34, paragraphe 1, point 5, de la PIPA).

(132)

En outre, la PIPA offre aux particuliers plusieurs voies de recours contre les responsables du traitement. Premièrement, toute personne qui estime que ses droits ou intérêts en matière de protection des données ont été violés par le responsable du traitement peut signaler cette violation directement à la PIPC et/ou à l’une des institutions spécialisées désignées par le PIPC pour recevoir et traiter les plaintes; il s’agit notamment de l’Agence coréenne pour l’internet et la sécurité, qui gère à cette fin un centre d’appels d’informations à caractère personnel (le «centre d’appel concernant la protection de la vie privée») (article 62, paragraphes 1 et 2, de la PIPA, en liaison avec l’article 59 du décret d’application de la PIPA). Le centre d’appel concernant la protection de la vie privée enquête et constate les infractions, fournit des conseils en matière de traitement des données à caractère personnel (article 62, paragraphe 3, de la PIPA) et peut signaler des infractions à la PIPC (mais ne peut prendre lui-même de mesures d’exécution). Le centre d’appel concernant la protection de la vie privée reçoit un grand nombre de plaintes/demandes (par exemple, 177 457 en 2020, 159 255 en 2019 et 164 497 en 2018) (162). Selon les informations reçues de la PIPC elle-même, cette dernière a reçu un millier de plaintes entre août 2020 et août 2021. En réponse à une plainte, la PIPC peut adresser un avis d’amélioration, des mesures correctives, une «accusation» à l’organisme d’enquête compétent (y compris un procureur) ou des conseils en matière de sanctions disciplinaires (voir articles 61, 64 et 65 de la PIPA). Les décisions de la PIPC (telles que le refus de traiter une plainte ou le rejet d’une plainte sur le fond) peuvent être contestées en vertu de la loi sur le contentieux administratif (163).

(133)

Deuxièmement, conformément aux articles 40 à 50 de la PIPA, en liaison avec les articles 48-14 à 57 du décret d’application de la PIPA, les personnes concernées peuvent introduire une réclamation auprès d’un «comité de médiation des litiges» composé de représentants nommés par le président de la PIPC parmi les hauts fonctionnaires (membres du service d’encadrement supérieur) de la PIPC et de personnes nommées sur la base de leur expérience dans le domaine de la protection des données parmi certains groupes éligibles (voir article 40, paragraphes 2, 3 et 7, de la PIPA et article 48-14 du décret d’application de la PIPA) (164). La possibilité de recourir à la médiation devant le comité de médiation des litiges offre une autre voie de recours, mais ne limite pas le droit de la personne de s’adresser à la PIPC ou aux tribunaux. Afin d’examiner l’affaire, le comité peut demander aux parties au litige de fournir les éléments nécessaires et/ou faire comparaître les témoins concernés devant lui (article 45 de la PIPA). Une fois l’affaire clarifiée, le comité prépare un projet de décision de médiation (165) qui doit être approuvé par une majorité de ses membres. Le projet de médiation peut inclure la suspension de la violation, les mesures correctives nécessaires (y compris une restitution ou une indemnisation) ainsi que toute mesure nécessaire pour éviter que de telles violations ne se reproduisent (article 47, paragraphe 1, de la PIPA). Lorsque les deux parties acceptent la décision de médiation, cette dernière produira les mêmes effets qu’une transaction judiciaire (article 47, paragraphe 5, de la PIPA). Chacune des parties est autorisée à intenter une action en justice pendant le processus de médiation, auquel cas cette dernière sera suspendue (voir article 48, paragraphe 2, de la PIPA) (166). Les chiffres annuels publiés par la PIPC montrent que les particuliers recourent régulièrement à la procédure devant le comité de médiation des litiges, ce qui aboutit souvent à un résultat positif. Par exemple, en 2020, le comité a traité 126 dossiers, dont 89 ont été résolus devant le comité (77 cas dans lesquels les parties étaient déjà parvenues à un accord avant la fin du processus de médiation et 12 cas dans lesquels les parties ont accepté la proposition de médiation), ce qui a conduit à un taux de médiation de 70,6 % (167). De même, en 2019, le comité a traité 139 dossiers, dont 92 ont été résolus, ce qui a conduit à un taux de médiation de 62,2 %.

(134)

Par ailleurs, lorsqu’au moins 50 personnes ont subi un préjudice, ou si leurs droits en matière de protection des données ont été violés de la même manière ou de façon similaire à la suite du même incident (ou d’incidents du même type) (168), une personne concernée ou une organisation de protection des données peut introduire une demande de médiation collective pour le compte d’un tel collectif; les autres personnes concernées peuvent demander à rejoindre cette médiation, laquelle sera annoncée publiquement par le comité de médiation des litiges (article 49, paragraphes 1 à 3, de la PIPA, en liaison avec les articles 52 à 54 du décret d’application de la PIPA) (169). Le comité de médiation des litiges peut désigner en tant que partie représentante au moins une personne parmi celles qui représentent au mieux les intérêts collectifs (article 49, paragraphe 4, de la PIPA). Si le responsable du traitement refuse la médiation collective ou n’accepte pas la décision de médiation, certaines organisations (170) peuvent introduire un recours collectif afin de remédier à la violation (articles 51 à 57 de la PIPA).

(135)

Troisièmement, dans le cas d’une atteinte à la vie privée entraînant un «préjudice» pour l’individu, la personne concernée a le droit à un recours approprié dans le cadre d’une «procédure rapide et équitable» (article 4, point 5, en liaison avec article 39 de la PIPA) (171). Le responsable du traitement peut se disculper en prouvant l’absence de faute («intention fautive» ou négligence). Lorsque la personne concernée subit un préjudice du fait de la perte, du vol, de la divulgation, de la falsification, de l’altération ou de la détérioration de ses données à caractère personnel, la juridiction peut fixer le montant de l’indemnisation jusqu’à trois fois celui du préjudice réel, en tenant compte d’un certain nombre de facteurs (article 39, paragraphes 3 et 4, de la PIPA). À titre subsidiaire, la personne concernée peut réclamer un «montant raisonnable» d’indemnisation inférieur ou égal à 3 millions de wons (article 39-2, paragraphes 1 et 2, de la PIPA). De plus, conformément au code civil, une indemnisation peut être réclamée à toute personne «qui a causé des pertes ou des préjudices à une autre personne en commettant un acte illicite, intentionnellement ou par négligence» (172) ou à une personne «qui a porté préjudice à la personne, qui a porté atteinte à la liberté ou à la réputation d’une autre personne, ou qui a infligé une souffrance morale à une autre personne» (173). Cette responsabilité délictuelle découlant de la violation des règles en matière de protection des données a été confirmée par la Cour suprême (174). Si un préjudice a été causé du fait d’un acte illicite commis par une autorité publique, une demande en réparation peut en outre être introduite en vertu de la loi sur l’indemnisation publique (175). Une demande au titre de la loi sur l’indemnisation publique peut être introduite auprès d’un «conseil de l’indemnisation» spécialisé ou directement auprès des juridictions coréennes (176). La responsabilité de l’État s’étend également aux préjudices non matériels (tels que la souffrance morale) (177). Si la victime est un ressortissant étranger, la loi sur l’indemnisation publique s’applique, pour autant que son pays d’origine garantisse de la même manière l’indemnisation publique des ressortissants coréens (178).

(136)

Quatrièmement, la Cour suprême a reconnu que les particuliers ont le droit de réclamer une mesure injonctive en cas de violation de leurs droits découlant de la Constitution, y compris du droit à la protection des données à caractère personnel (179). Dans ce contexte, une juridiction peut, par exemple, ordonner à des responsables du traitement de suspendre ou de cesser toute activité illicite. En outre, les droits en matière de protection des données, notamment les droits protégés par la PIPA, peuvent être exercés au moyen d’actions civiles. Cette application horizontale de la protection constitutionnelle de la vie privée aux relations entre les parties privées a été reconnue par la Cour suprême (180).

(137)

Enfin, les particuliers peuvent introduire une plainte pénale conformément au code de procédure pénale (article 223) auprès d’un procureur ou d’un officier de police judiciaire (181).

(138)

Le système coréen offre donc diverses possibilités d’obtenir réparation, allant des options peu coûteuses et facilement accessibles [par exemple, en contactant le centre d’appel consacré à la protection de la vie privée ou par le biais de la médiation (collective)] aux voies de recours administratif (devant la PIPC) et judiciaire, y compris la possibilité d’obtenir une indemnisation.

(139)

La Commission a également évalué les limitations et les garanties prévues, y compris les mécanismes de surveillance et de recours individuel prévus par le droit coréen en ce qui concerne la collecte et l’utilisation ultérieure par les autorités publiques coréennes de données à caractère personnel transférées à des responsables du traitement en Corée pour des motifs d’intérêt public, en particulier à des fins répressives et à des fins de sécurité nationale (ci-après l’«accès des pouvoirs publics»). À cet égard, le gouvernement coréen a fourni à la Commission des déclarations, des assurances et des engagements officiels souscrits au plus haut niveau ministériel et des services, qui figurent à l’annexe II de la présente décision.

(140)

Lorsqu’elle a évalué si les conditions dans lesquelles les pouvoirs publics accèdent aux données transférées vers la Corée en vertu de la présente décision remplissaient le critère de l’«équivalence substantielle» conformément à l’article 45, paragraphe 1, du règlement (UE) 2016/679, tel qu’il est interprété par la Cour de justice de l’Union européenne à la lumière de la Charte des droits fondamentaux, la Commission a notamment pris en considération les critères exposés ci-après.

(141)

Premièrement, toute limitation du droit à la protection des données à caractère personnel doit être prévue par la loi et la base juridique qui permet l’ingérence dans ce droit doit définir elle-même la portée de la limitation de l’exercice du droit concerné (182).

(142)

Deuxièmement, pour satisfaire à l’exigence de proportionnalité, selon laquelle les dérogations à la protection des données à caractère personnel et les limitations de celle-ci doivent s’opérer dans les limites du strict nécessaire dans une société démocratique pour répondre à des objectifs spécifiques d’intérêt général équivalents à ceux reconnus par l’Union, la réglementation du pays tiers en cause permettant l’ingérence doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données ont été transférées disposent de garanties suffisantes permettant de protéger efficacement leurs données à caractère personnel contre les risques d’abus (183). Elle doit en particulier indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise (184), ainsi que soumettre le respect de ces exigences à une surveillance indépendante (185).

(143)

Troisièmement, la législation et ses exigences doivent être juridiquement contraignantes en vertu du droit national. Cela concerne en premier lieu toutes les autorités du pays tiers en question, mais ces exigences légales doivent également être opposables à ces autorités devant les tribunaux (186). En particulier, les personnes concernées doivent disposer de la possibilité d’exercer des voies de droit devant un tribunal indépendant et impartial afin d’avoir accès à des données à caractère personnel les concernant, ou d’obtenir la rectification ou la suppression de telles données (187).

(144)

Les limitations et les garanties applicables à la collecte et à l’utilisation ultérieure des données à caractère personnel par les autorités publiques coréennes découlent du cadre constitutionnel général, de lois spécifiques qui régissent leurs activités dans les domaines de la répression et de la sécurité nationale, ainsi que de règles qui s’appliquent spécifiquement au traitement des données à caractère personnel.

(145)

Premièrement, l’accès des autorités publiques coréennes aux données à caractère personnel est régi par les principes généraux de légalité, de nécessité et de proportionnalité issus de la Constitution coréenne (188). En particulier, les libertés et les droits fondamentaux (notamment le droit au respect de la vie privée et le droit au secret de la correspondance) (189) ne peuvent être limités que conformément au droit et lorsque cela est nécessaire pour la sécurité nationale ou le maintien de l’ordre aux fins du bien-être public. De telles limitations ne sauraient porter atteinte à l’essence du droit ou de la liberté en jeu. En particulier, en ce qui concerne les perquisitions et les saisies, la Constitution prévoit qu’elles ne peuvent avoir lieu que dans les conditions prévues par le droit, sur la base d’un mandat délivré par un juge et dans le respect d’une procédure régulière (190). Enfin, les particuliers peuvent faire valoir leurs droits et leurs libertés devant la Cour constitutionnelle s’ils estiment qu’ils ont été violés par des autorités publiques dans l’exercice de leurs pouvoirs (191). De la même manière, les personnes qui ont subi un préjudice du fait d’un acte illicite commis par un agent public dans l’exercice de ses fonctions officielles ont le droit de réclamer une juste réparation (192).

(146)

Deuxièmement, comme décrit plus en détail dans les sections 3.2.1 et 3.3.1, les principes généraux mentionnés au considérant 145 sont également consacrés dans les lois spécifiques qui régissent les pouvoirs des autorités répressives et des autorités nationales de sécurité. Par exemple, s’agissant des enquêtes pénales, le code de procédure pénale (ci-après le «CPP») dispose que des mesures de contrainte ne peuvent être prises que dans les cas expressément prévus dans le CPP et dans la stricte mesure du nécessaire pour parvenir à l’objectif de l’enquête (193). De même, l’article 3 de la loi sur la protection de la confidentialité des communications (ci-après la «CPPA») interdit l’accès aux communications privées, sauf sur la base du droit et sous réserve des limitations et des garanties prévues par le droit. Dans le domaine de la sécurité nationale, la loi sur le Service national de renseignement (ci-après la «loi sur le NIS») dispose que tout accès à des communications ou à des informations de localisation doit être conforme au droit et punit de sanctions pénales les abus de pouvoir et les violations de la loi (194).

(147)

Troisièmement, le traitement des données à caractère personnel par les autorités publiques, y compris à des fins répressives et à des fins de sécurité nationale, est soumis aux règles en matière de protection des données fixées par la PIPA (195). En règle générale, l’article 5, paragraphe 1, de la PIPA impose aux autorités publiques d’élaborer des politiques visant à prévenir «l’utilisation abusive et détournée des informations à caractère personnel, la surveillance et le traçage indiscrets, etc. et à renforcer la dignité des êtres humains et le respect de la vie privée des personnes». En outre, tout responsable du traitement doit traiter les données à caractère personnel de manière à réduire au minimum la possibilité d’empiéter sur la vie privée de la personne concernée (article 3, paragraphe 6, de la PIPA).

(148)

Toutes les exigences de la PIPA, telles que décrites en détail à la section 2, s’appliquent au traitement des données à caractère personnel à des fins répressives. Cela inclut les principes (tels que les principes de licéité et de loyauté, de limitation des finalités, d’exactitude, de minimisation des données, de limitation de la conservation, de sécurité et de transparence), les obligations (par exemple, en ce qui concerne la notification des violations de données et les données sensibles) et les droits fondamentaux (droits d’accès, de rectification, de suppression et de suspension).

(149)

Bien que le traitement des données à caractère personnel à des fins de sécurité nationale soit soumis à un ensemble plus restreint de dispositions en vertu de la PIPA, les principes fondamentaux, ainsi que les règles en matière de surveillance, de contrôle du respect des règles et de recours, s’appliquent (196). Plus précisément, les articles 3 et 4 de la PIPA énoncent les principes généraux en matière de protection des données (licéité et loyauté, limitation des finalités, exactitude, minimisation des données, sécurité et transparence) et les droits individuels (le droit d’être informé, le droit d’accès et les droits de rectification, de suppression et de suspension) (197). L’article 4, paragraphe 5, de la PIPA prévoit en outre pour les particuliers, en cas de préjudice résultant du traitement de leurs données à caractère personnel, le droit à un recours approprié dans le cadre d’une procédure rapide et équitable. Ces droits et principes sont complétés par les obligations plus spécifiques de limiter le traitement des données à caractère personnel à la portée et à la durée minimales nécessaires pour atteindre la finalité visée, de mettre en place les mesures nécessaires pour garantir la gestion sûre et le traitement approprié des données (telles que des garanties techniques, administratives et physiques), ainsi que de mettre en place des mesures aux fins du traitement approprié des réclamations individuelles (plaintes) (198). Pour finir, les principes généraux de légalité, de nécessité et de proportionnalité découlant de la Constitution coréenne (voir considérant 145) s’appliquent également au traitement de données à caractère personnel à des fins de sécurité nationale.

(150)

Les particuliers peuvent invoquer ces limitations et garanties générales devant les organismes de surveillance indépendants (par exemple, la PIPC et/ou la Commission nationale des droits de l’homme, voir considérants 177 et 178) et les juridictions (voir considérants 179 à 183) pour obtenir réparation.

(151)

Le droit de la République de Corée impose un certain nombre de limitations à l’accès aux données à caractère personnel et à l’utilisation de celles-ci à des fins répressives. Il prévoit également des mécanismes de surveillance et de recours dans ce domaine qui sont conformes aux exigences visées aux considérants 141 à 143 de la présente décision. Les conditions dans lesquelles un tel accès peut intervenir et les garanties applicables à l’utilisation de ces pouvoirs sont évaluées en détail dans les sections suivantes.

(152)

Les données à caractère personnel traitées par des responsables du traitement coréens qui seraient transférées depuis l’Union sur la base de la présente décision (199) peuvent être collectées par les autorités coréennes à des fins répressives dans le cadre d’une perquisition ou d’une saisie (sur la base du CPP), en accédant aux informations de communications (sur la base de la CPPA) ou en obtenant les données d’abonnés par voie de demandes de divulgation volontaire (sur la base de la loi sur les activités de télécommunications, ci-après la «TBA») (200).

(153)

En vertu du CPP, une perquisition ou une saisie ne peut avoir lieu que si une personne est soupçonnée d’avoir commis une infraction, la perquisition ou la saisie est nécessaire aux fins de l’enquête et un lien est établi entre l’enquête et la personne faisant l’objet de la perquisition ou le bien à inspecter ou à saisir (201). En outre, une perquisition ou une saisie (en tant que mesure de contrainte) ne peut être autorisée/effectuée que dans la stricte mesure du nécessaire (202). Si une perquisition concerne une disquette ou un autre support de stockage de données, en principe seules les données nécessaires (copiées ou imprimées) seront saisies et non le support entier (203). Ce dernier ne peut être saisi que si l’impression ou la copie séparée des données nécessaires, ou la réalisation de l’objectif de la perquisition, est considérée comme fondamentalement impossible (204). Le CPP fixe par conséquent des règles claires et précises concernant la portée et l’application de ces mesures, garantissant ainsi que l’ingérence dans les droits des personnes, dans le cas d’une perquisition ou d’une saisie, sera limitée à ce qui est nécessaire aux fins d’une enquête pénale spécifique et proportionné à l’objectif visé.

(154)

Pour ce qui est des garanties procédurales, le CPP exige qu’un mandat soit obtenu auprès d’une juridiction pour effectuer une perquisition ou une saisie (205). Une perquisition ou une saisie sans mandat n’est autorisée qu’à titre exceptionnel, à savoir dans des circonstances urgentes (206), in loco au moment de l’arrestation ou de la détention d’un suspect (207), ou lorsqu’un bien est jeté ou volontairement produit par un suspect ou un tiers (dans le cas de données à caractère personnel, par l’individu concerné lui-même) (208). Les perquisitions et les saisies illégales sont passibles de sanctions pénales (209) et tout élément de preuve obtenu en violation du CPP est considéré comme irrecevable (210). Enfin, les individus concernés doivent toujours être informés de la perquisition ou de la saisie (y compris de la saisie de leurs données) sans délai (211), ce qui facilitera l’exercice de leurs droits substantiels et de leur droit de recours (en particulier sur la possibilité de contester l’exécution d’un mandat de saisie, voir considérant 180).

(155)

Sur la base de la CPPA, les autorités répressives coréennes peuvent adopter deux types de mesures (212): d’une part, la collecte de «données de confirmation des communications» (213), qui comprennent la date, l’heure de début et l’heure de fin des télécommunications, le nombre d’appels sortants et entrants ainsi que le numéro d’abonné de l’autre partie, la fréquence d’utilisation, les journaux relatifs à l’utilisation des services de télécommunications et les informations de localisation (par exemple, à partir des pylônes de transmission où les signaux sont reçus); et, d’autre part, les «mesures de restriction des communications» qui couvrent aussi bien la collecte du contenu du courrier traditionnel que l’interception directe du contenu des télécommunications (214).

(156)

Les données de confirmation des communications ne peuvent être consultées que lorsque cela est nécessaire aux fins de la réalisation d’une enquête pénale ou de l’exécution d’une peine (215), sur la base d’un mandat délivré par une juridiction (216). À cet égard, la CPPA exige que des informations détaillées soient fournies tant dans la demande de mandat (par exemple, concernant les raisons de la demande, le lien avec la cible/l’abonné et les données nécessaires) que dans le mandat lui-même (par exemple, concernant l’objectif, la cible et la portée de la mesure) (217). La collecte de données sans mandat ne peut avoir lieu que lorsque, pour des motifs d’urgence, il n’est pas possible d’obtenir l’autorisation d’une juridiction, auquel cas le mandat doit être obtenu et transmis à l’opérateur de télécommunications immédiatement après que les données ont été demandées (218). Si la juridiction refuse d’accorder une autorisation par la suite, les informations recueillies doivent être détruites (219).

(157)

En ce qui concerne les garanties supplémentaires relatives à la collecte de données de confirmation des communications, la CPPA impose des exigences spécifiques en matière de tenue de registres et de transparence (220). En particulier, les autorités répressives (221) et les opérateurs de télécommunications (222) doivent tenir des registres relatifs aux demandes et aux divulgations effectuées. De plus, les autorités répressives doivent notifier en principe aux personnes le fait que leurs données de confirmation des communications ont été collectées (223). Une telle notification ne peut être différée que dans des circonstances exceptionnelles, sur la base d’une autorisation du directeur d’un parquet de district compétent (224). Cette autorisation ne peut être accordée que lorsque la notification est susceptible 1) de menacer la sécurité nationale, la sécurité publique et l’ordre public; 2) de causer un décès ou un préjudice corporel; 3) d’entraver la tenue d’une procédure judiciaire équitable (par exemple, parce qu’elle entraîne la destruction de preuves ou l’intimidation de témoins); ou 4) de nuire à la réputation du suspect, des victimes ou d’autres personnes liées à l’affaire, ou d’empiéter sur leur vie privée. Dans ces cas, la notification doit être effectuée dans un délai de 30 jours à partir du moment où le ou les motifs du report cessent d’exister (225). Une fois informées, les personnes ont le droit d’obtenir des informations sur les raisons de la collecte de leurs données (226).

(158)

Des règles plus strictes s’appliquent en ce qui concerne les mesures de restriction des communications, auxquelles il ne peut être fait recours que lorsqu’il existe des raisons sérieuses de soupçonner que certaines infractions graves spécifiquement énumérées dans la CPPA sont en train d’être planifiées ou commises ou ont été commises (227). En outre, les mesures de restriction des communications ne peuvent être prises qu’en dernier recours et si, dans le cas contraire, il est difficile de prévenir la commission d’une infraction, d’arrêter un criminel ou de recueillir des preuves (228). Elles doivent être immédiatement abandonnées lorsqu’elles ne sont plus nécessaires afin de limiter autant que possible la violation de la confidentialité des communications (229). Les informations qui ont été illégalement obtenues par le biais de mesures de restriction des communications ne sont pas admises comme preuves dans les procédures judiciaires ou disciplinaires (230).

(159)

Pour ce qui est des garanties procédurales, la CPPA exige qu’un mandat judiciaire soit obtenu aux fins de la mise en œuvre des mesures de restriction des communications (231). De la même manière, la CPPA exige que la demande de mandat et le mandat lui-même contiennent des informations détaillées (232), notamment la justification de la demande, ainsi que les communications à collecter (qui doivent être celles du suspect faisant l’objet de l’enquête) (233). De telles mesures ne peuvent être prises sans un mandat que dans le cas d’une menace imminente de crime organisé, ou lorsqu’une autre infraction grave susceptible de causer un décès ou un préjudice grave est imminente, et si une urgence ne permet pas d’appliquer la procédure normale (234). Toutefois, dans ce cas, une demande de mandat doit être immédiatement introduite après que la mesure a été prise (235). Les mesures de restriction des communications ne doivent être mises en œuvre que dans une période maximale de deux mois (236) et ne peuvent être prolongées qu’avec l’accord d’une juridiction si les conditions de mise en œuvre des mesures continuent d’être remplies (237). La période prolongée ne saurait dépasser un an au total, ou trois ans pour certaines infractions particulièrement graves (par exemple, les infractions liées à une insurrection, à une agression étrangère et à la sécurité nationale) (238).

(160)

Comme pour la collecte de données de confirmation des communications, la CPPA exige des opérateurs de télécommunications (239) et des autorités répressives (240) qu’ils tiennent des registres relatifs à l’exécution des mesures de restriction des communications. La loi prévoit également la notification des mesures à l’individu concerné, laquelle peut être différée à titre exceptionnel, lorsque cela est nécessaire pour des motifs d’intérêt public importants (241).

(161)

Enfin, le non-respect de plusieurs des limitations et garanties prévues par la CPPA (notamment, par exemple, les obligations relatives à l’obtention d’un mandat, à la tenue de registres et à la notification à la personne), en ce qui concerne tant la collecte de données de confirmation des communications que le recours à des mesures de restriction des communications, est passible de sanctions pénales (242).

(162)

Le pouvoir des autorités répressives de collecter des données de communication sur la base de la CPPA (aussi bien le contenu des communications que les données de confirmation des communications) est donc encadré par des règles claires et précises et est soumis à un certain nombre de garanties. Ces garanties assurent en particulier le contrôle de l’exécution de ces mesures, aussi bien ex ante (par le biais de l’autorisation préalable d’une juridiction) qu’ex post (par le biais des exigences en matière de tenue de registres et de déclaration), et facilitent l’accès des personnes à des recours effectifs (en veillant à ce qu’elles soient informées de la collecte de leurs données).

(163)

En plus de s’appuyer sur les mesures de contrainte décrites aux considérants 153 à 162, les autorités répressives coréennes peuvent demander aux opérateurs de télécommunications des «données de communication» sur une base volontaire, à l’appui d’un procès pénal, d’une enquête pénale ou de l’exécution d’une peine (article 83, paragraphe 3, de la TBA). Cette possibilité n’existe qu’en ce qui concerne des ensembles de données limités, c’est-à-dire le nom, le numéro d’enregistrement résidentiel, l’adresse et le numéro de téléphone des utilisateurs, les dates auxquelles ces derniers ont souscrit ou résilié leur abonnement ainsi que leurs codes d’identification (à savoir les codes utilisés pour identifier l’utilisateur légitime des systèmes informatiques ou des réseaux de communication) (243). Étant donné que seules les personnes qui concluent directement un contrat de service avec un opérateur de télécommunications coréen sont considérées comme des «utilisateurs» (244), les citoyens de l’Union dont les données ont été transférées vers la République de Corée ne relèvent normalement pas de cette catégorie (245).

(164)

Différentes limitations s’appliquent à de telles divulgations volontaires, en ce qui concerne aussi bien l’exercice des pouvoirs par l’autorité répressive que la réponse de l’opérateur de télécommunications. En règle générale, les autorités répressives doivent agir conformément aux principes constitutionnels de nécessité et de proportionnalité (article 12, paragraphe 1, et article 37, paragraphe 2, de la Constitution), notamment lorsqu’elles demandent des informations sur une base volontaire. En outre, elles doivent se conformer à la PIPA, en particulier en ne collectant qu’un minimum de données à caractère personnel, dans la mesure nécessaire pour atteindre une finalité légitime et de manière à réduire au minimum l’incidence de la collecte sur la vie privée des personnes (comme prévu à l’article 3, paragraphes 1 et 6, de la PIPA). Plus précisément, les demandes visant à obtenir des données de communication sur la base de la TBA doivent être effectuées par écrit et indiquer les raisons de la demande, le lien avec l’utilisateur concerné et la portée des données demandées (246).

(165)

Les opérateurs de télécommunications ne sont pas tenus de satisfaire à de telles demandes et ne peuvent le faire que conformément à la PIPA. Cela signifie, en particulier, qu’ils doivent mettre en balance les différents intérêts en jeu et peuvent ne pas fournir les données si cela est susceptible de porter atteinte de manière déloyale aux intérêts de la personne ou d’un tiers (247). Cela serait par exemple le cas s’il apparaissait clairement que l’autorité à l’origine de la demande a abusé de son autorité (248). Les opérateurs de télécommunications doivent tenir des registres relatifs aux divulgations effectuées au titre de la TBA et rendre compte de celles-ci deux fois par an au ministère des sciences et des TIC (249).

(166)

De plus, conformément à la section 3 de la notification 2021-5 (annexe 1), les opérateurs de télécommunications doivent en principe informer la personne concernée lorsqu’ils répondent volontairement à une demande (250). La personne sera alors en mesure d’exercer ses droits et, dans le cas où ses données seraient divulguées illégalement, de former un recours contre le responsable du traitement (par exemple, pour avoir divulgué les données en violation de la PIPA ou pour avoir répondu à une demande qui était visiblement disproportionnée) ou contre l’autorité répressive (par exemple, pour avoir agi au-delà des limites de ce qui est nécessaire et proportionné, ou pour ne pas avoir respecté les exigences procédurales de la TBA).

(167)

Le traitement des données à caractère personnel collectées par les autorités répressives coréennes est soumis à l’ensemble des exigences de la PIPA, notamment en ce qui concerne la limitation des finalités (article 3, paragraphes 1 et 2, de la PIPA), la licéité de l’utilisation et de la fourniture des données aux tiers (articles 15, 17 et 18 de la PIPA), les transferts internationaux (articles 17 et 18 de la PIPA, en liaison avec la section 2 de la notification 2021-5) (251), la proportionnalité/minimisation des données (article 3, paragraphes 1 et 6, de la PIPA) et la limitation de la conservation (article 21 de la PIPA) (252).

(168)

S’agissant du contenu des communications acquises par l’exécution de mesures de restriction des communications, la CPPA limite spécifiquement l’utilisation possible de ces communications à la prévention des infractions graves et aux enquêtes et poursuites en la matière (253); aux procédures disciplinaires relatives aux mêmes infractions; aux demandes d’indemnisation introduites par une partie aux communications ou lorsque cela est spécifiquement autorisé par d’autres lois (254). En outre, le contenu de télécommunications transmises sur l’internet qui est collecté ne peut être conservé qu’avec l’accord de la juridiction ayant autorisé les mesures de restriction des communications (255), en vue de leur utilisation aux fins de la prévention d’infractions graves et des enquêtes et poursuites en la matière (256). Plus généralement, la CPPA interdit la divulgation des informations confidentielles obtenues par le biais de mesures de restriction des communications, ainsi que l’utilisation de ces informations dans le but de porter atteinte à la réputation des personnes visées par les mesures (257).

(169)

En Corée, les activités des autorités répressives sont supervisées par différents organismes (258).

(170)

Premièrement, la police est soumise au contrôle interne de l’inspecteur général (259), qui est chargé du contrôle de la légalité, notamment en ce qui concerne les éventuelles violations des droits de l’homme. La fonction d’inspecteur général a été établie aux fins de la mise en œuvre de la loi sur les audits du secteur public, qui encourage la création d’organismes d’autocontrôle et fixe les exigences spécifiques relatives à leur composition et à leurs missions. En particulier, la loi prévoit que le directeur d’un organisme d’autocontrôle est nommé en dehors de l’autorité concernée (par exemple, parmi des anciens juges ou professeurs) pour une période de deux à cinq ans (260), qu’il ne peut être révoqué que pour des motifs justifiés (par exemple, lorsqu’il n’est plus en mesure d’exercer ses fonctions pour des raisons de santé, ou lorsqu’il fait l’objet d’une mesure disciplinaire) (261) et que son indépendance est garantie dans la plus large mesure possible (262). L’entrave à un autocontrôle est passible d’amendes administratives (263). Les rapports d’audit (qui peuvent inclure des recommandations, des demandes de mesures disciplinaires et des demandes d’indemnisation ou de correction) sont communiqués au directeur de l’autorité publique concernée et au comité d’audit et d’inspection (ci-après le «BAI») (264), et sont généralement rendus publics (265). Les résultats de la mise en œuvre du rapport doivent également être transmis au BAI (266) (voir considérant 173 en ce qui concerne la fonction de surveillance et les pouvoirs du BAI).

(171)

Deuxièmement, la PIPC contrôle la conformité du traitement des données par les autorités répressives avec la PIPA et d’autres lois qui protègent la vie privée des personnes, notamment les lois qui régissent la collecte de preuves (électroniques) à des fins répressives, comme décrit à la section 3.2.1 (267). En particulier, dans la mesure où la surveillance de la PIPC s’étend aux principes de licéité et de loyauté de la collecte et du traitement des données (article 3, paragraphe 1, de la PIPA), lesquels seront violés en cas d’accès aux données à caractère personnel et d’utilisation de celles-ci en violation de ces lois (268), la PIPC peut également mener des enquêtes et faire respecter les limitations et garanties décrites à la section 3.2.1 (269). Dans l’exercice de sa fonction de surveillance, la PIPC peut utiliser l’ensemble des pouvoirs d’investigation et de correction à sa disposition, tels que détaillés à la section 2.4.2. Avant même la réforme récente de la PIPA (c’est-à-dire, dans le cadre de sa précédente fonction de supervision pour le secteur public), la PIPC réalisait plusieurs activités de surveillance liées au traitement de données à caractère personnel par les autorités répressives, par exemple, dans le cadre de l’interrogation de suspects (affaire no 2013-16 du 26 août 2013), en ce qui concerne l’envoi de notifications aux personnes concernant l’imposition d’amendes administratives (affaire no 2015-02-04 du 26 janvier 2015), le partage de données avec d’autres autorités (affaire no 2018-15-146 du 9 juillet 2018; affaire no 2018-25-308 du 10 décembre 2018; affaire no 2019-02-015 du 29 janvier 2019), la collecte d’empreintes digitales ou de photographies (affaire no 2019-17-273 du 9 septembre 2019) et l’utilisation de drones (affaire no 2020-01-004 du 13 janvier 2020). Dans ces cas, la PIPC a examiné le respect de plusieurs dispositions de la PIPA (par exemple, la licéité du traitement, les principes de limitation des finalités et de minimisation des données), mais également des dispositions pertinentes d’autres lois, comme le code de procédure pénale, et, lorsque cela était nécessaire, a formulé des recommandations en vue de remettre le traitement en conformité avec les exigences en matière de protection des données.

(172)

Troisièmement, une surveillance indépendante est exercée par la Commission nationale des droits de l’homme (ci-après la «CNDH») (270), qui peut enquêter sur les violations des droits au respect de la vie privée et au secret de la correspondance dans le cadre de sa mission générale visant à protéger les droits fondamentaux consacrés par les articles 10 à 22 de la Constitution. La CNDH est composée de 11 commissaires qui doivent posséder des qualifications spécifiques (271) et sont nommés par le président de la République, conformément aux procédures prévues par le droit. En particulier, quatre commissaires sont nommés sur proposition de l’Assemblée nationale, quatre autres sur proposition du président de la République et les trois derniers sur proposition du président de la Cour suprême (272). Le président est nommé par le président de la République parmi les commissaires et cette nomination doit être confirmée par l’Assemblée nationale (273). Les commissaires (y compris le président) sont nommés pour un mandat renouvelable d’une durée de trois ans et ne peuvent être révoqués que s’ils sont condamnés à une peine de prison ou ne sont plus en mesure d’exercer leurs fonctions en raison d’un handicap physique ou mental prolongé (auquel cas les deux tiers des commissaires doivent approuver la révocation) (274). Dans le cadre d’une enquête, la CNDH peut demander la présentation d’éléments pertinents, mener des inspections et convoquer des personnes afin qu’elles témoignent (275). Pour ce qui est de ses pouvoirs de correction, la CNDH peut formuler des recommandations (publiques) en vue d’améliorer ou de corriger certaines politiques et pratiques, auxquelles les autorités publiques doivent répondre par une proposition de plan de mise en œuvre (276). Si l’autorité concernée ne met pas en œuvre les recommandations, elle doit en informer la commission (277), qui, à son tour, peut notifier ce défaut à l’Assemblée nationale et/ou le rendre public. Selon la déclaration officielle du gouvernement coréen (section 2.3.5 de l’annexe II), les autorités coréennes se conforment généralement aux recommandations de la CNDH et y sont fortement incitées dans la mesure où leur mise en œuvre a été évaluée dans le cadre d’une évaluation générale continue sous l’autorité du cabinet du Premier ministre. Les chiffres annuels relatifs à ces activités montrent que la CNDH contrôle activement les activités des autorités répressives, sur la base de demandes individuelles ou au moyen d’enquêtes d’office (278).

(173)

Quatrièmement, la surveillance générale de la légalité des activités des autorités publiques est exercée par le BAI, qui examine les recettes et les dépenses de l’État, mais aussi, plus généralement, qui contrôle le respect des devoirs des autorités publiques en vue d’améliorer le fonctionnement de l’administration publique (279). Le BAI est formellement établi par le président de la République de Corée, mais il conserve un statut d’indépendance en ce qui concerne ses devoirs (280). En outre, il jouit d’une indépendance totale pour ce qui est de la nomination, du congédiement et de l’organisation de son personnel, ainsi que de l’établissement de son budget (281). Le BAI se compose d’un président (nommé par le président de la République, avec le consentement de l’Assemblée nationale) (282) et de six commissaires (nommés par le président de la République sur recommandation du président du BAI) (283), qui doivent posséder les qualifications spécifiques fixées par la législation (284) et qui ne peuvent être révoqués qu’en cas de destitution, de peine de prison ou d’incapacité à exercer leurs fonctions en raison d’un handicap mental ou physique durable (285). Le BAI réalise un audit général tous les ans, mais il peut également mener des audits spécifiques concernant des questions revêtant un intérêt particulier. Lorsqu’il procède à un audit ou à une inspection, le BAI peut demander qu’on lui fournisse des documents et que certaines personnes soient présentes (286). Le BAI peut formuler des recommandations, demandes des mesures disciplinaires ou déposer une plainte pénale (287).

(174)

Enfin, l’Assemblée nationale exerce un contrôle parlementaire sur les autorités publiques au moyen d’enquêtes et d’inspections (288) portant sur leurs activités (289). Elle peut demander la communication de documents, contraindre des témoins à comparaître (290), recommander des mesures correctives (si elle conclut que des activités illicites ou illégitimes ont eu lieu) (291) et rendre public le résultat de ses constatations (292). Lorsque l’Assemblée nationale demande que des mesures correctives soient prises — lesquelles peuvent inclure, par exemple, l’octroi d’une indemnisation, l’adoption de mesures disciplinaires ou l’amélioration de procédures internes —, l’autorité publique concernée est tenue d’agir sans délai et de rendre compte du résultat des mesures à l’Assemblée nationale (293).

(175)

Le système coréen offre différentes possibilités de recours (juridictionnel), notamment d’indemnisation.

(176)

Premièrement, la PIPA confère aux particuliers des droits d’accès, de rectification, de suppression et de suspension en ce qui concerne les données à caractère personnel traitées à des fins répressives (294).

(177)

Deuxièmement, les particuliers peuvent utiliser les différents mécanismes de recours offerts par la PIPA si leurs données ont été traitées par une autorité répressive en violation de la PIPA ou en violation des limitations et des garanties régissant la collecte des données à caractère personnel prévues dans d’autres lois (à savoir, le CPP ou la CPPA, voir considérant 171). En particulier, les personnes peuvent introduire une plainte auprès de la PIPC [notamment par le biais du centre d’appel consacré à la protection de la vie privée opéré par l’agence coréenne de l’internet et de la sécurité (295)] ou du comité de médiation des litiges relatifs aux informations à caractère personnel (296). Ces possibilités de recours ne sont pas soumises à d’autres exigences en matière de recevabilité. Sur la base de la loi sur le contentieux administratif, les personnes peuvent en outre former un recours contre les décisions ou l’inaction de la PIPC (voir considérant 132).

(178)

Troisièmement, toute personne (297) peut déposer plainte auprès de la CNDH pour violation du droit à la protection de la vie privée et des données par une autorité répressive coréenne. La CNDH peut recommander la rectification ou l’amélioration de toute législation, institution, politique ou pratique en cause (298), ou la mise en œuvre de voies de recours comme la médiation (299), la cessation de la violation des droits de l’homme, la réparation du préjudice subi et des mesures visant à éviter la répétition de ce type de violations (300). Selon la déclaration officielle du gouvernement coréen (section 2.4.2 de l’annexe II), ces recommandations peuvent inclure la suppression des données à caractère personnel collectées de manière illicite. Bien que la CNDH n’ait pas le pouvoir de prononcer des décisions contraignantes, elle offre des voies de recours plus informelles, abordables et facilement accessibles, en particulier car, comme expliqué à l’annexe II, section 2.4.2, il n’est pas nécessaire de démontrer qu’un préjudice réel a eu lieu pour qu’une plainte soit examinée (301). Cela permet de garantir que les plaintes de particuliers portant sur la collecte de leurs données seront examinées, même si la personne concernée n’est pas en mesure de démontrer que ses données ont effectivement été collectées (par exemple parce que la notification à cette personne n’a pas encore eu lieu). Les rapports annuels d’activités de la CNDH montrent que les individus utilisent également cette voie de recours en pratique pour contester les activités des autorités répressives, notamment en ce qui concerne le traitement de leurs données à caractère personnel (302). Si une personne n’est pas satisfaite de l’issue d’une procédure devant la CNDH, elle peut contester les décisions [telles que la décision de ne pas poursuivre l’enquête sur une plainte (303)] et les recommandations de la CNDH devant les juridictions coréennes en vertu de la loi sur le contentieux administratif (voir considérant 181) (304). En outre, une procédure devant la CNDH peut faciliter encore davantage l’accès à la justice, dans la mesure où un individu peut obtenir d’autres recours contre l’autorité publique qui a traité ses données de manière illicite sur la base des conclusions de la CNDH, conformément aux procédures décrites aux considérants 181 à 183.

(179)

Pour finir, les personnes ont accès à différentes voies de recours qui leur permettent d’invoquer les limitations et les garanties décrites à la section 3.2.1 pour obtenir réparation (305).

(180)

S’agissant des saisies (y compris de données), le CPP prévoit la possibilité de s’opposer à l’exécution d’un mandat ou de la contester au moyen d’une «quasi-plainte» en déposant une requête auprès de la juridiction compétente en vue d’annuler ou de modifier une disposition prise par un procureur ou un agent de police (306).

(181)

Plus généralement, les particuliers peuvent contester les actions (307) ou les omissions (308) des autorités publiques (y compris des autorités répressives) en vertu de la loi sur le contentieux administratif (309). Une action administrative est considérée comme une «disposition contestable» si elle a une incidence directe sur les droits et les devoirs civils (310), ce qui, comme l’a confirmé le gouvernement coréen (section 2.4.3 de l’annexe II), est le cas des mesures visant à collecter des données à caractère personnel, que ce soit directement (par exemple, en interceptant des communications) ou par le biais d’une demande de divulgation contraignante (par exemple, auprès d’un fournisseur de services) ou d’une demande de coopération volontaire. Pour qu’une plainte introduite sur la base de la loi sur le contentieux administratif soit recevable, une personne doit avoir un intérêt juridique à poursuivre la demande (311). Conformément à la jurisprudence de la Cour suprême, un «intérêt juridique» est interprété comme un «intérêt protégé par le droit», à savoir un intérêt direct et spécifique protégé par les lois et réglementations sur lesquelles les dispositions administratives sont fondées (par opposition aux intérêts généraux, indirects et abstraits du public) (312). Les personnes ont un tel intérêt juridique en cas de violation des limitations et des garanties qui s’appliquent à la collecte de leurs données à caractère personnel à des fins répressives (en vertu de lois spécifiques ou de la PIPA). Sur la base de la loi sur le contentieux administratif, une juridiction peut décider d’annuler ou de modifier une disposition illégale, prononcer sa nullité (c’est-à-dire, déclarer que la disposition n’a pas d’effets juridiques ou n’existe pas dans l’ordre juridique) ou conclure qu’une omission est illégale (313). Un jugement définitif rendu au titre de la loi sur le contentieux administratif est contraignant pour les parties (314).

(182)

En plus de contester les actions du gouvernement par voie de procédure administrative, les particuliers peuvent également introduire une plainte constitutionnelle auprès de la Cour constitutionnelle concernant toute violation de leurs droits fondamentaux résultant de l’exercice ou de l’absence d’exercice d’un pouvoir gouvernemental (à l’exclusion des jugements des juridictions) (315). Si d’autres voies de recours sont disponibles, celles-ci doivent être épuisées en premier lieu. Conformément à la jurisprudence de la Cour constitutionnelle, les ressortissants étrangers peuvent déposer une plainte constitutionnelle dans la mesure où leurs droits fondamentaux sont reconnus par la Constitution coréenne (voir explications figurant à la section 1.1) (316). La Cour constitutionnelle peut invalider l’exercice du pouvoir gouvernemental ayant entraîné la violation ou confirmer le caractère non constitutionnel d’un défaut d’action particulier (317). Dans ce cas, l’autorité concernée doit prendre des mesures en vue de se conformer à la décision de la Cour.

(183)

Par ailleurs, les personnes peuvent obtenir une indemnisation devant les juridictions coréennes. Cette voie de recours inclut avant tout la possibilité de réclamer des dommages-intérêts en cas de violations de la PIPA commises par des autorités répressives, conformément à son article 39 (voir également considérant 135). Plus généralement, les personnes peuvent demander la réparation des préjudices causés par des agents publics dans l’exercice de leurs fonctions officielles en violation du droit, sur la base de la loi sur l’indemnisation publique (voir également considérant 135) (318).

(184)

Les mécanismes décrits aux considérants 176 à 183 mettent à la disposition des personnes concernées des moyens de recours administratif et judiciaire effectif, qui leur permettent en particulier de faire valoir leurs droits, notamment le droit d’accéder aux données à caractère personnel les concernant ou d’obtenir la rectification ou l’effacement de ces données.

(185)

Le droit de la République de Corée impose un certain nombre de limitations et de garanties en ce qui concerne l’accès aux données à caractère personnel et l’utilisation de celles-ci à des fins de sécurité nationale. Il prévoit également des mécanismes de surveillance et de recours qui sont conformes aux exigences visées aux considérants 141 à 143 de la présente décision. Les conditions dans lesquelles un tel accès peut intervenir et les garanties applicables à l’utilisation de ces pouvoirs sont évaluées en détail dans les sections suivantes.

(186)

En République de Corée, les données à caractère personnel peuvent être consultées à des fins de sécurité nationale sur la base de la CPPA, de la TBA et de la loi sur la lutte contre le terrorisme pour la protection des citoyens et de la sécurité publique (la «loi antiterroriste») (319). L’autorité principale (320) compétente en matière de sécurité nationale est le Service national de renseignement (le «NIS») (321). La collecte et l’utilisation des données à caractère personnel par le NIS doivent être conformes aux exigences légales applicables (y compris à la PIPA et à la CPPA) (322) et aux lignes directrices générales élaborées par le président de la République et examinées par l’Assemblée nationale (323). En règle générale, le NIS doit maintenir la neutralité politique et protéger les libertés et les droits des personnes (324). En outre, le personnel du NIS ne doit pas abuser de son autorité officielle en vue de contraindre une institution, une organisation ou une personne à accomplir une action sans qu’elle y soit (légalement) tenue ni empêcher une personne d’exercer ses droits (325).

(187)

Sur la base de la CPPA, les autorités publiques coréennes (326) peuvent collecter des données de confirmation des communications (à savoir, la date, l’heure de début et l’heure de fin des télécommunications, le nombre d’appels sortants et entrants ainsi que le numéro d’abonné de l’autre partie, la fréquence d’utilisation, les journaux relatifs à l’utilisation des services de télécommunications et les informations de localisation, voir considérant 155) et le contenu des communications (par le biais de mesures de restriction des communications, voir considérant 155) à des fins de sécurité nationale (telles que déterminées par le mandat du NIS, voir note de bas de page 322 ci-dessus). Ces pouvoirs s’étendent à deux types d’informations: 1) les communications dont une ou les deux partie(s) sont des ressortissants coréens (327); et 2) les communications a) de pays hostiles à la République de Corée, b) d’agences, de groupes ou de ressortissants étrangers soupçonnés d’être impliqués dans des activités préjudiciables à la Corée (328), ou c) de membres de groupes opérant au sein de la péninsule coréenne, mais hors de la souveraineté de la République de Corée, et dont les groupes centraux sont établis dans des pays étrangers (329). Les communications des citoyens de l’UE transférées depuis l’Union vers la République de Corée sur la base de la présente décision peuvent donc être collectées en vertu de la CPPA à des fins de sécurité nationale (sous réserve des conditions énoncées aux considérants 188 à 192) si elles ont lieu entre un citoyen de l’UE et un ressortissant coréen ou, lorsque les communications ont lieu exclusivement entre des ressortissants non coréens, si elles relèvent de l’une des trois catégories mentionnées au point 2 a), b) et c).

(188)

Dans ces deux scénarios, la collecte de données de confirmation des communications ne peut avoir lieu que dans le but de prévenir les menaces pour la sécurité nationale (330), tandis que les mesures de restriction des communications ne peuvent être prises que s’il existe un risque grave pour la sécurité nationale et si la collecte est nécessaire pour prévenir celui-ci (331). En outre, le contenu des communications ne peut être consulté qu’en dernier recours et des efforts doivent être déployés pour réduire au minimum la violation de la confidentialité des communications (332), de manière à garantir qu’elle reste proportionnée à l’objectif de sécurité nationale poursuivi. La collecte du contenu des communications et des données de confirmation des communications ne peut se prolonger au-delà d’une période maximale de quatre mois, et doit être immédiatement abandonnée si l’objectif poursuivi est atteint plus tôt (333). Si les conditions pertinentes continuent d’être remplies, la période peut être prolongée moyennant l’autorisation préalable d’une juridiction (pour les mesures décrites au considérant 189) ou du président de la République (pour les mesures décrites au considérant 190) (334), pour une durée maximale de quatre mois.

(189)

Les mêmes garanties procédurales s’appliquent à la collecte des données de confirmation des communications et du contenu des communications (335). En particulier, si au moins une des personnes participant à la communication est un ressortissant coréen, l’agence de renseignement doit présenter une demande écrite au parquet supérieur, qui doit à son tour introduire une demande de mandat auprès d’un haut magistrat de la Haute Cour (336). La CPPA dresse la liste des informations qui doivent être fournies dans la demande adressée au procureur, la demande de mandat ou le mandat lui-même. Ces informations incluent, en particulier, la justification de la demande et les principaux motifs de suspicion, des éléments justificatifs, ainsi que des informations concernant l’objectif, la cible (c’est-à-dire la ou les personnes ciblées), la portée et la durée de la mesure proposée (337). Une collecte sans mandat peut également avoir lieu s’il existe une entente menaçant la sécurité nationale et une urgence qui ne permet pas de passer par les procédures susmentionnées (338). Toutefois, dans ce cas également, une demande de mandat doit être immédiatement introduite après que la mesure a été prise (339). La CPPA définit donc clairement le champ d’application et les conditions de ces types de collectes et les soumet à des garanties (procédurales) spécifiques (y compris à l’autorisation préalable d’une juridiction) afin de garantir que l’utilisation de telles mesures soit limitée à ce qui est nécessaire et proportionné. En outre, l’obligation de fournir des informations détaillées aussi bien dans la demande de mandat que dans le mandat lui-même exclut la possibilité d’un accès indifférencié aux données.

(190)

Dans le cas des communications entre des ressortissants non coréens qui relèvent de l’une des trois catégories spécifiques énumérées au considérant 187, une demande doit être introduite auprès du directeur du NIS, qui, après avoir examiné le caractère approprié des mesures proposées, doit solliciter l’approbation préalable écrite du président de la République de Corée (340). La demande préparée par l’agence de renseignement doit inclure les mêmes informations détaillées que celles figurant dans une demande de mandat judiciaire (voir considérant 189), en particulier la justification de la demande et les principaux motifs de suspicion, des éléments justificatifs et des informations concernant les objectifs, la portée et la durée des mesures proposées, ainsi que la ou les personnes ciblées par celles-ci (341). Dans des situations d’urgence (342), l’autorisation préalable du ministre auquel l’agence de renseignement est rattachée doit être obtenue, bien que l’agence de renseignement doive solliciter l’approbation du président de la République immédiatement après que les mesures d’urgence ont été prises (343). En ce qui concerne également la collecte des communications qui ont lieu exclusivement entre des ressortissants non coréens, la CPPA limite donc l’utilisation de ces mesures à ce qui est nécessaire et proportionné, en définissant clairement les catégories restreintes de personnes qui peuvent faire l’objet de telles mesures et en précisant les critères détaillés dont les agences de renseignement doivent démontrer le respect pour justifier une demande de collecte d’informations. En outre, cette limitation exclut de nouveau la possibilité d’un accès indifférencié aux données. En l’absence d’approbation préalable indépendante de ces mesures, une supervision indépendante est assurée ex post par, en particulier, la PIPC et la CNDH (voir, par exemple, considérants 199 et 200).

(191)

La CPPA impose en outre plusieurs garanties supplémentaires qui contribuent au contrôle ex post et facilitent l’accès des personnes à des voies de recours effectif. Premièrement, pour tous les types de collectes à des fins de sécurité nationale, la CPPA prévoit différentes exigences en matière de tenue de registres et de déclaration. En particulier, lorsqu’elles adressent une demande de coopération à des opérateurs privés, les agences de renseignement doivent fournir le mandat/l’autorisation présidentielle ou une copie de la couverture d’une déclaration de censure d’urgence que l’entité contrainte doit conserver dans ses dossiers (344). Dans le cadre d’une coopération par voie de contrainte, l’autorité publique à l’origine de la demande et l’opérateur concerné doivent conserver les documents relatifs à l’objectif et à l’objet des mesures, ainsi qu’à la date d’exécution (345). En outre, les agences de renseignement doivent rendre compte des informations recueillies et du résultat de l’activité de surveillance au directeur du NIS (346).

(192)

Deuxièmement, les personnes doivent être informées par notification de la collecte de leurs données (données de confirmation ou contenu des communications) à des fins de sécurité nationale si celle-ci concerne des communications dont au moins l’une des parties est un ressortissant coréen (347). Cette notification doit être effectuée par écrit dans un délai de 30 jours à compter de la date de fin de la collecte (y compris lorsque les données ont été obtenues conformément à la procédure d’urgence) et ne peut être différée que si et aussi longtemps qu’elle menace la sécurité nationale ou porte atteinte à la vie et à la sécurité physique des personnes (348). Indépendamment de cette notification, les personnes disposent de différentes voies de recours, comme expliqué plus en détail à la section 3.3.4.

(193)

La loi antiterroriste dispose que le NIS peut collecter des données concernant des individus soupçonnés d’activités terroristes (349) dans le respect des limitations et des garanties prévues par d’autres lois (350). En particulier, le NIS peut obtenir des données de communications (sur la base de la CPPA) et d’autres informations à caractère personnel (par le biais d’une demande de divulgation volontaire) (351). En ce qui concerne la collecte d’informations de communications (à savoir, le contenu ou les données de confirmation des communications), les limitations et les garanties décrites à la section 3.3.1.1 s’appliquent, notamment l’obligation d’obtenir un mandat approuvé par une juridiction. S’agissant des demandes de divulgation volontaire d’autres types de données à caractère personnel concernant des individus soupçonnés d’activités terroristes, le NIS doit se conformer aux exigences de nécessité et de proportionnalité prévues dans la Constitution et la PIPA (voir considérant 164) (352). Les responsables du traitement recevant de telles demandes peuvent satisfaire à celles-ci sur une base volontaire dans les conditions énoncées dans la PIPA (par exemple, conformément au principe de minimisation des données et en limitant l’incidence sur la vie privée de la personne) (353). Dans ce cas, ils doivent également se conformer à l’obligation d’informer la personne concernée imposée par la notification 2021-5 (voir considérant 166).

(194)

Sur la base de la TBA, les opérateurs de télécommunications peuvent divulguer volontairement des données d’abonnés (voir considérant 163) à la demande d’une agence de renseignement qui souhaite collecter ces informations en vue de prévenir une menace pour la sécurité nationale (354). Dans le cas de telles demandes du NIS, les mêmes limitations (découlant de la Constitution, de la PIPA et de la TBA) que celles prévues dans le domaine répressif, telles que décrites au considérant 164, s’appliquent (355). Les opérateurs de télécommunications ne sont pas tenus de satisfaire auxdites demandes et ne peuvent le faire que dans les conditions énoncées dans la PIPA (en particulier, conformément au principe de minimisation des données et en limitant l’incidence sur la vie privée de la personne, voir également considérant 193). Les mêmes obligations que celles prévues dans le domaine répressif en matière de tenue de registres et de notification de la personne concernée s’appliquent (voir considérants 165 et 166).

(195)

Le traitement des données à caractère personnel collectées par les autorités coréennes à des fins de sécurité nationale est soumis aux principes de limitation des finalités (article 3, paragraphes 1 et 2, de la PIPA), de licéité et de loyauté du traitement (article 3, paragraphe 1, de la PIPA), de proportionnalité/minimisation des données (article 3, paragraphes 1 et 6, et article 58 de la PIPA), d’exactitude (article 3, paragraphe 3, de la PIPA), de transparence (article 3, paragraphe 5, de la PIPA), de sécurité (article 58, paragraphe 4, de la PIPA), et de limitation de la conservation (article 58, paragraphe 4, de la PIPA) (356). La divulgation possible de données à caractère personnel à des tiers (y compris à des pays tiers) ne peut avoir lieu que dans le respect de ces principes (en particulier de ceux de limitation des finalités et de minimisation des données), après examen du respect des principes de nécessité et de proportionnalité (article 37, paragraphe 2, de la Constitution) et compte tenu de l’incidence sur les droits des personnes concernées (article 3, paragraphe 6, de la PIPA).

(196)

En ce qui concerne le contenu des communications et les données de confirmation des communications, la CPPA limite en outre l’utilisation de ces données aux procédures judiciaires, lorsqu’une partie liée à la communication se fonde sur celles-ci dans le cadre d’une demande d’indemnisation; ou autorise leur utilisation en vertu d’autres lois (357).

(197)

Les activités des autorités nationales de sécurité coréennes sont supervisées par différents organismes (358).

(198)

Premièrement, la loi antiterroriste prévoit des mécanismes de surveillance pour les activités de lutte contre le terrorisme, notamment la collecte des données concernant les individus soupçonnés d’activités terroristes. En particulier, au niveau de l’exécutif, les activités de lutte antiterroriste sont supervisées par la Commission de lutte contre le terrorisme (359), à laquelle le directeur du NIS doit rendre compte du traçage des individus soupçonnés d’activités terroristes et des enquêtes les concernant pour collecter des informations ou des éléments nécessaires aux activités de lutte antiterroriste (360). En outre, le délégué à la protection des droits de l’homme (ci-après le «HRPO») surveille spécifiquement le respect des droits fondamentaux dans les activités de lutte antiterroriste (361). Le HRPO est nommé par le président de la Commission de lutte contre le terrorisme parmi des personnes qui possèdent les qualifications spécifiques énumérées dans le décret d’application de la loi antiterroriste (362) pour un mandat (renouvelable) d’une durée de deux ans, et ne peut être démis de ses fonctions que pour des motifs spécifiques et limités et pour une raison valable (363). Dans l’exercice de sa fonction de surveillance, le HRPO peut formuler des recommandations générales en vue d’améliorer la protection des droits de l’homme (364) et des recommandations spécifiques de mesures correctives si une violation des droits de l’homme a été établie (365). Les autorités publiques doivent informer le HRPO du suivi assuré concernant ses recommandations (366).

(199)

Deuxièmement, la PIPC surveille le respect par les autorités nationales de sécurité des règles en matière de protection des données, qui comprennent à la fois les dispositions applicables de la PIPA (voir considérant 149) et les limitations et garanties qui s’appliquent à la collecte de données à caractère personnel sur la base d’autres lois (la CPPA, la loi antiterroriste et la TBA, voir considérant 171) (367). Dans l’exercice de sa fonction de surveillance, la PIPC peut utiliser l’ensemble des pouvoirs d’investigation et de correction à sa disposition, tels que détaillés à la section 2.4.2.

(200)

Troisièmement, les activités des autorités nationales de sécurité sont soumises à la surveillance indépendante de la CNDH, conformément aux procédures décrites au considérant 172 (368).

(201)

Quatrièmement, la fonction de supervision du BAI s’étend également aux autorités nationales de sécurité, bien que le NIS puisse, dans des circonstances exceptionnelles, refuser de fournir certaines informations ou certains éléments, c’est-à-dire lorsque ces derniers constituent des secrets d’État et que leur divulgation entraînerait des conséquences graves pour la sécurité nationale (369).

(202)

Enfin, le contrôle parlementaire des activités du NIS est exercé par l’Assemblée nationale (par le biais d’un comité du renseignement spécialisé) (370). La CPPA attribue à l’Assemblée nationale une fonction de supervision spécifique en ce qui concerne le recours à des mesures de restriction des communications à des fins de sécurité nationale (371). En particulier, l’Assemblée nationale peut procéder à des inspections sur place du matériel d’écoute et exiger tant du NIS que des opérateurs de télécommunications ayant divulgué le contenu des communications qu’ils lui en rendent compte. L’Assemblée nationale peut également exercer ses fonctions générales de supervision (conformément aux procédures décrites au considérant 174). La loi sur le NIS impose au directeur du NIS de répondre sans délai à la Commission du renseignement lorsque celle-ci lui demande un rapport sur une question spécifique (372), en fixant des règles spécifiques concernant certaines informations particulièrement sensibles. Concrètement, le directeur du NIS peut également refuser de répondre ou de témoigner devant le comité dans des circonstances exceptionnelles, c’est-à-dire si la demande concerne des secrets d’État relatifs à des questions militaires, diplomatiques ou liées à la Corée du Nord, lorsque leur divulgation pourrait avoir de graves conséquences pour le «destin national» du pays (373). Dans ce cas, la Commission du renseignement peut demander une explication au Premier ministre et, si aucune explication n’est fournie dans un délai de sept jours, la réponse ou le témoignage ne saurait être refusé.

(203)

Dans le domaine de la sécurité nationale, le système coréen offre également différentes possibilités de recours (juridictionnel), y compris d’indemnisation. Ces mécanismes mettent à la disposition des personnes concernées des moyens de recours administratif et judiciaire effectif, qui leur permettent notamment de protéger leurs droits, y compris le droit d’accéder aux données à caractère personnel les concernant ou d’obtenir la rectification ou l’effacement de telles données.

(204)

Premièrement, conformément à l’article 3, paragraphe 5, et à l’article 4, paragraphes 1, 3 et 4, de la PIPA, les particuliers peuvent exercer leurs droits d’accès, de rectification, de suppression et de suspension à l’égard des autorités nationales de sécurité. La section 6 de la notification 2021-5 (annexe 1 de la présente décision) précise davantage la façon dont ces droits s’appliquent dans le cadre du traitement des données à des fins de sécurité nationale. En particulier, une autorité nationale de sécurité ne peut limiter ou refuser l’exercice de l’un de ces droits que dans la mesure où et aussi longtemps que cela est nécessaire et proportionné pour protéger un objectif important d’intérêt public (par exemple, dans la mesure où et aussi longtemps que l’octroi de ce droit compromettrait une enquête en cours ou menacerait la sécurité nationale), ou lorsque l’octroi de ce droit peut porter atteinte à la vie ou à l’intégrité physique d’un tiers. Invoquer une telle restriction nécessite par conséquent de mettre en balance les droits et les intérêts de la personne avec l’intérêt public concerné et ne saurait en aucun cas porter atteinte à l’essence de ce droit (article 37, paragraphe 2, de la Constitution). Lorsque la demande est refusée ou restreinte, la personne doit être informée sans délai des raisons.

(205)

Deuxièmement, les particuliers ont le droit d’obtenir réparation en vertu de la PIPA si leurs données ont été traitées par une autorité nationale de sécurité en violation de cette loi ou des limitations et garanties prévues dans d’autres lois régissant la collecte des données à caractère personnel (en particulier, la CPPA, voir considérant 171) (374). Ce droit peut être exercé en introduisant une plainte auprès de la PIPC (y compris par l’intermédiaire du centre d’appel consacré à la protection de la vie privée opéré par l’agence coréenne de l’internet et de la sécurité) (375). En outre, afin de faciliter l’accès aux voies de recours contre les autorités nationales de sécurité coréennes, les citoyens de l’UE peuvent déposer plainte auprès de la PIPC par l’intermédiaire de leur autorité nationale de protection des données (376). Dans ce cas, la PIPC préviendra la personne concernée (autorité nationale de protection des données) une fois l’enquête terminée (y compris, le cas échéant, en l’informant sur les mesures correctives imposées). Sur la base de la loi sur le contentieux administratif, les personnes peuvent en outre former un recours contre les décisions ou l’inaction de la PIPC (voir considérant 132).

(206)

Troisièmement, les particuliers peuvent introduire une plainte auprès du HRPO concernant la violation de leur droit à la protection de la vie privée/des données dans le cadre d’activités de lutte antiterroriste (c’est-à-dire, sur la base de la loi antiterroriste) (377), lequel peut recommander une mesure corrective. Étant donné qu’il n’existe aucune exigence en matière de recevabilité devant le HRPO, une plainte sera traitée même si la personne concernée ne peut pas démontrer qu’elle a subi un préjudice réel (par exemple, du fait de la collecte illicite présumée de ses données par une autorité nationale de sécurité) (378). L’autorité concernée doit informer le HRPO de toute mesure prise aux fins de la mise en œuvre de ses recommandations.

(207)

Quatrièmement, les personnes peuvent introduire une plainte auprès de la CNDH concernant la collecte de leurs données par des autorités nationales de sécurité et obtenir réparation conformément à la procédure décrite au considérant 178 (379).

(208)

Pour finir, les personnes ont accès à différentes voies de recours (380), qui leur permettent d’invoquer les limitations et les garanties décrites à la section 3.3.1 pour obtenir réparation. En particulier, elles peuvent contester la légalité des actions des autorités nationales de sécurité sur la base de la loi sur le contentieux administratif (conformément à la procédure décrite au considérant 181) ou de la loi sur la Cour constitutionnelle (voir considérant 182). Par ailleurs, elles peuvent obtenir réparation du préjudice subi sur la base de la loi sur l’indemnisation publique (telle que décrite plus en détail au considérant 183).

(209)

La Commission considère que la République de Corée — au moyen de la PIPA, des règles particulières applicables à certains secteurs (telles qu’analysées à la section 2) et des garanties supplémentaires prévues dans la notification 2021-5 (annexe 1) — assure un niveau de protection des données à caractère personnel transférées de l’Union européenne qui est substantiellement équivalent à celui garanti par le règlement (UE) 2016/679.

(210)

De plus, la Commission estime que, pris dans leur ensemble, les mécanismes de surveillance et les voies de recours prévus dans le droit coréen permettent de repérer et de sanctionner en pratique les infractions commises par des responsables du traitement en Corée et offrent aux personnes concernées des voies de droit leur permettant d’avoir accès aux données à caractère personnel les concernant et, in fine, d’obtenir leur rectification ou leur effacement.

(211)

Enfin, sur la base des informations disponibles concernant l’ordre juridique coréen, y compris les déclarations, assurances et engagements du gouvernement coréen figurant à l’annexe II, la Commission considère que toute atteinte aux droits fondamentaux des particuliers dont les données à caractère personnel sont transférées de l’Union européenne vers la République de Corée par des autorités publiques coréennes pour des motifs d’intérêt public, en particulier à des fins répressives et à des fins de sécurité nationale, sera limitée à ce qui est strictement nécessaire pour atteindre l’objectif légitime visé et qu’il existe une protection juridique effective contre les atteintes de cette nature.

(212)

Par conséquent, à la lumière des constatations contenues dans la présente décision, il convient de décider que la République de Corée assure un niveau de protection adéquat, au sens de l’article 45 du règlement (UE) 2016/679, interprété à la lumière de la Charte des droits fondamentaux de l’Union européenne, des données à caractère personnel transférées de l’Union européenne vers la République de Corée à des responsables du traitement des données/informations à caractère personnel situés en République de Corée et soumis à la PIPA, à l’exception des organisations religieuses dans la mesure où elles traitent des données à caractère personnel aux fins de leurs activités missionnaires; des partis politiques dans la mesure où ils traitent des données à caractère personnel dans le cadre de la nomination de candidats; et des responsables du traitement qui sont soumis à la surveillance de la Commission des services financiers en ce qui concerne le traitement des informations à caractère personnel en matière de crédit conformément à la loi sur les informations en matière de crédit, dans la mesure où ils traitent de telles informations.

(213)

Les États membres et leurs organes sont tenus de prendre les mesures nécessaires pour se conformer aux actes des institutions de l’Union, car ces derniers jouissent d’une présomption de légalité et produisent, dès lors, des effets juridiques aussi longtemps qu’ils n’ont pas été retirés, annulés à la suite d’un recours en annulation ou déclarés invalides à la suite d’un renvoi préjudiciel ou d’une exception d’illégalité.

(214)

En conséquence, une décision d’adéquation de la Commission adoptée en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 a un caractère contraignant pour tous les organes des États membres destinataires, y compris leurs autorités de surveillance indépendantes. En particulier, les transferts d’un responsable du traitement ou d’un sous-traitant situé dans l’Union européenne à des responsables du traitement situés en République de Corée peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autorisation supplémentaire.

(215)

Il convient de rappeler que, comme prévu à l’article 58, paragraphe 5, du règlement (UE) 2016/679 et ainsi que la Cour de justice l’a expliqué dans l’arrêt Schrems (381), lorsqu’une autorité nationale chargée de la protection des données met en cause, notamment après avoir été saisie d’une plainte, la compatibilité d’une décision d’adéquation de la Commission avec la protection des droits fondamentaux que constituent le respect de la vie privée et la protection des données, le droit national doit prévoir des voies de recours lui permettant de faire valoir ces griefs devant les juridictions nationales, qui, en cas de doute, doivent surseoir à statuer et procéder à un renvoi préjudiciel devant la Cour de justice (382).

(216)

Conformément à la jurisprudence de la Cour de justice (383), et comme consacré par l’article 45, paragraphe 4, du règlement (UE) 2016/679, la Commission devrait suivre, de manière permanente, les évolutions dans le pays tiers après l’adoption d’une décision d’adéquation, afin de déterminer si le pays tiers continue de garantir un niveau de protection substantiellement équivalent. Une telle vérification s’impose, en tout état de cause, lorsque la Commission reçoit des informations faisant naître un doute justifié à cet égard.

(217)

Par conséquent, la Commission devrait surveiller de manière permanente la situation en République de Corée en ce qui concerne le cadre juridique et la pratique proprement dite de traitement des données à caractère personnel tels qu’évalués dans la présente décision, notamment le respect, par les autorités coréennes, des déclarations, assurances et engagements contenus dans l’annexe II. Pour faciliter ce processus, il est attendu des autorités coréennes qu’elles informent rapidement la Commission de toute évolution importante en rapport avec la présente décision, concernant tant le traitement des données à caractère personnel par les opérateurs économiques et les autorités publiques que les limitations et garanties applicables à l’accès des autorités publiques aux données à caractère personnel.

(218)

En outre, afin de permettre à la Commission d’accomplir efficacement sa mission de suivi, les États membres devraient l’informer de toute mesure pertinente prise par les autorités nationales chargées de la protection des données, en particulier en ce qui concerne les questions ou les plaintes des personnes concernées de l’UE au sujet du transfert de leurs données à caractère personnel de l’Union européenne vers des responsables du traitement en République de Corée. La Commission devrait également être informée de tout élément indiquant que les actions des autorités coréennes responsables de la prévention, de la détection, des enquêtes et des poursuites en matière d’infractions pénales, ou de la sécurité nationale, y compris de tout organisme de surveillance, n’assurent pas le niveau de protection requis.

(219)

En application de l’article 45, paragraphe 3, du règlement (UE) 2016/679 (384), et au regard du fait que le niveau de protection assuré par l’ordre juridique de la Corée est susceptible d’évoluer, la Commission, après l’adoption de la présente décision, devrait vérifier de manière périodique si les conclusions relatives au niveau adéquat de la protection assurée par la République de Corée sont toujours justifiées en fait et en droit.

(220)

À cette fin, la présente décision devrait faire l’objet d’un premier examen dans un délai de trois ans après son entrée en vigueur. Après ce premier examen, et en fonction de son résultat, la Commission se prononcera, en étroite concertation avec le comité institué en vertu de l’article 93, paragraphe 1, du règlement (UE) 2016/679, sur l’opportunité de maintenir, ou non, le cycle de trois ans. En tous les cas, les examens ultérieurs devraient avoir lieu au moins une fois tous les quatre ans (385). L’examen devrait couvrir tous les aspects relatifs au fonctionnement de la présente décision et, en particulier, l’application des garanties supplémentaires contenues dans l’annexe I de la présente décision (en accordant une attention particulière aux protections accordées en cas de transferts ultérieurs); les évolutions pertinentes de la jurisprudence; les règles relatives au traitement des informations pseudonymisées à des fins statistiques, de recherche scientifique ou d’archivage dans l’intérêt général, ainsi que l’application des exceptions prévues à l’article 28, paragraphe 7, de la PIPA; le caractère effectif de l’exercice des droits individuels, y compris avant la réforme récente de la PIPC, et l’application des exceptions à ces droits; l’application des dérogations partielles prévues par le PIPA; ainsi que les limitations et garanties en ce qui concerne l’accès des pouvoirs publics aux données (telles qu’exposées à l’annexe II de la présente décision), y compris la coopération de la PIPC avec les autorités européennes de protection des données dans le cadre du traitement des plaintes des particuliers. Il devrait également englober l’efficacité de la surveillance et du contrôle du respect des règles applicables eu égard à la PIPA et dans le domaine de la répression et de la sécurité nationale (en particulier par la PIPC et la CNDH).

(221)

En vue de la réalisation de cet examen, la Commission devrait rencontrer la PIPC, accompagnée, le cas échéant, d’autres autorités coréennes responsables de l’accès des pouvoirs publics aux données, y compris les organismes de surveillance concernés. La participation à cette réunion devrait être ouverte aux représentants des membres du comité européen de la protection des données. Dans le cadre de l’examen, la Commission devrait demander à la PIPC de fournir des informations exhaustives sur tous les aspects pertinents pour le constat d’adéquation, y compris sur les limitations et les garanties en ce qui concerne l’accès des pouvoirs publics aux données (386). La Commission devrait également demander des explications sur toute information reçue présentant de l’intérêt pour la présente décision, notamment des rapports publics établis par les autorités coréennes ou d’autres parties prenantes en Corée, par le comité européen de la protection des données, par diverses autorités de protection des données, par des groupes de la société civile, ainsi que des informations relayées par les médias ou toute autre source d’informations disponible.

(222)

Sur la base de l’examen, la Commission devrait élaborer un rapport public qui sera présenté au Parlement européen et au Conseil.

(223)

Lorsque des informations disponibles, en particulier les informations résultant du suivi de la présente décision ou fournies par les autorités coréennes ou des États membres, révèlent que le niveau de protection assuré par la République de Corée pourrait ne plus être adéquat, la Commission devrait en informer rapidement les autorités coréennes compétentes et demander que des mesures appropriées soient prises dans un délai raisonnable bien défini.

(224)

Si, à l’expiration de la période précisée, les autorités coréennes compétentes n’ont pas pris ces mesures ou échouent à démontrer de manière satisfaisante que la présente décision reste fondée sur un niveau de protection adéquat, la Commission lancera la procédure visée à l’article 93, paragraphe 2, du règlement (UE) 2016/679 en vue de la suspension partielle ou complète ou de l’abrogation de la présente décision.

(225)

À défaut, la Commission lancera cette procédure visant à modifier la présente décision, notamment en soumettant les transferts de données à des conditions supplémentaires ou en limitant le constat d’adéquation aux seuls transferts de données pour lesquels un niveau de protection adéquat continue à être garanti.

(226)

Plus particulièrement, la Commission devrait lancer la procédure de suspension ou d’abrogation en présence d’éléments indiquant que les garanties supplémentaires figurant à l’annexe I ne sont pas respectées par les opérateurs économiques recevant des données à caractère personnel sur la base de la présente décision et/ou que leur mise en œuvre n’est pas effectivement garantie, ou encore que les autorités coréennes ne respectent pas les déclarations, assurances et engagements contenus dans l’annexe II de la présente décision.

(227)

La Commission devrait également envisager de lancer la procédure conduisant à la modification, à la suspension ou à l’abrogation de la présente décision si, dans le contexte ou non de l’examen, les autorités coréennes compétentes ne fournissent pas les informations ou les clarifications nécessaires pour apprécier le niveau de protection conféré aux données à caractère personnel transférées de l’Union européenne vers la République de Corée, ou concernant le respect de la présente décision. À cet égard, la Commission devrait prendre en compte la mesure dans laquelle les informations concernées peuvent être obtenues auprès d’autres sources.

(228)

Pour des raisons d’urgence impérieuse dûment justifiées, la Commission aura recours à la possibilité d’adopter, conformément à la procédure visée à l’article 93, paragraphe 3, du règlement (UE) 2016/679, des actes d’exécution immédiatement applicables suspendant, abrogeant ou modifiant la décision.

(229)

Le comité européen de la protection des données a publié son avis (387), dont il a été tenu compte dans l’élaboration de la présente décision.

(230)

Les mesures prévues par la présente décision sont conformes à l’avis du comité institué en vertu de l’article 93, paragraphe 1, du règlement (UE) 2016/679,