La communication aux autorités américaines de données sur la base du Cloud Act est-elle en conflit avec le règlement général sur la protection des données ?

Un debat s’est engage sur la question de savoir si le reglement general sur la protection des donnees adopte par l’Union europeenne (RGPD) le 24 mai 2016, applicable a partir du 25 mai 2018, empeche une entreprise destinataire d’une injonction americaine de communiquer des donnees personnelles detenues sur le territoire de l’Union europeenne. Le fait que le CLOUD Act autorise de telles injonctions independamment du lieu de detention des donnees cree-t-il un conflit entre le RGPD et le CLOUD Act ? Au cœur de ces discussions se trouvent les articles 48 et 49 RGPD dont le sens n’est pas des plus clairs. En vue d’apporter quelques elements de reponse il importe donc de clarifier le sens de ces articles et, surtout, la portee de l’art. 49(1)(d) du RGPD prevoyant une derogation pour des raisons importantes d’interet public, sur laquelle la presente etude se concentre.