Article 44 du RGPD : Principe général applicable aux transferts
Sommaire
Introduction
Cet article pose le principe fondamental selon lequel tout transfert de données personnelles vers des pays hors de l’Union européenne doit garantir un niveau de protection équivalent à celui prévu par le RGPD.
Explication de l’article
L’article 44 du RGPD encadre les transferts de données personnelles vers des pays tiers, c’est-à-dire situés en dehors de l’Union européenne et non soumis directement au RGPD.
Son objectif est clair : garantir que les données transférées bénéficient, même en dehors de l’UE, d’un niveau de protection équivalent à celui prévu par le règlement.
Trois cas de figure sont prévus :
- Transfert vers un pays reconnu comme « adéquat » : La Commission européenne établit une liste de pays tiers dont la législation offre un niveau de protection jugé équivalent à celui de l’UE. Dans ce cas, aucun mécanisme complémentaire n’est requis pour transférer les données. Cette liste est disponible sur le site de la Commission et mentionnée dans notre guide complet du RGPD.
- Garanties appropriées en l’absence d’adéquation : Si le pays tiers ne bénéficie pas d’une décision d’adéquation, le transfert est possible à condition de mettre en place des garanties juridiques suffisantes : clauses contractuelles types (CCT), règles d’entreprise contraignantes (BCR), adhésion à un code de conduite ou mécanisme de certification approuvé.
- Dérogations pour situations exceptionnelles : À défaut de garanties, certains transferts peuvent être autorisés dans des cas limités : consentement explicite de la personne concernée, exécution d’un contrat, motif d’intérêt public important, ou encore nécessité pour la constatation, l’exercice ou la défense de droits en justice.
L’article 44 rappelle ainsi que, quel que soit le pays de destination, les principes de protection des données doivent être respectés et les droits des personnes garanties.
Texte original du RGPD
Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.
Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
Pas de disposition correspondante
Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)
Voir TITRE VIII du Décret pris pour l’application de la loi n°78-17 du 6 janvier 1978.
Analyse des 3 textes qui précèdent
L’article 44 du RGPD établit le principe fondamental encadrant les transferts de données à caractère personnel vers des pays tiers ou des organisations internationales hors de l’Union européenne. Ces transferts ne peuvent avoir lieu que si les responsables du traitement ou sous-traitants soumis au RGPD respectent les règles strictes du Chapitre V, garantissant un niveau de protection équivalent à celui de l’Union.
La nouveauté majeure apportée est l’extension du champ d’application à tous les traitements ultérieurs dans le pays tiers destinataire, ainsi qu’aux transferts de ces données vers d’autres pays tiers ou organisations internationales. Cette disposition instaure un véritable « droit de suite » des données personnelles, qui restent soumises aux normes européennes non seulement lors du transfert initial, mais aussi lors de tout traitement ou transfert ultérieur hors Union.
La notion d’« organisation internationale » mentionnée renvoie aux organismes publics relevant d’accords internationaux entre États, définie à l’article 4, paragraphe 26 du RGPD.
Cette disposition, absente de la directive 95/46/CE, a été réintégrée dans la version finale du RGPD afin de garantir que le niveau de protection des personnes concernées ne soit pas affaibli par les transferts internationaux.
Synthèse
- Le RGPD instaure un principe de protection continue des données personnelles, y compris au-delà du premier transfert vers un pays tiers ou une organisation internationale.
- La directive 95/46/CE ne contenait pas cette notion de contrôle des traitements ultérieurs ou de « droit de suite ».
- Cette évolution renforce fortement la portée extraterritoriale et protectrice du RGPD en matière de transferts internationaux de données.
Jurisprudences
Européennes
Affaire Uber Technologies Inc., Uber B.V.
Sanction de 290,000,000 euros d’amende
Entre août 2021 et novembre 2023, Uber a cessé d’utiliser les clauses contractuelles types (SCC), qui fournissaient un cadre légal reconnu, et n’a pas établi d’autres garanties appropriées. De ce fait, la protection offerte lors du transfert de données était insuffisante, constituant une violation de l’article 44, notamment des exigences du Chapitre V du RGPD sur les transferts internationaux.
Cette amende de 290 millions d’euros est l’application concrète des règles posées par l’article 44. Elle illustre la responsabilité des responsables de traitement dans la mise en œuvre de garanties adéquates pour tout transfert vers des pays tiers et souligne l’extraterritorialité du RGPD dans la protection continue des données personnelles.
La décision met aussi en évidence que le RGPD ne protège pas seulement lors du transfert initial, mais impose une vigilance continue quant aux traitements et transferts ultérieurs des données hors UE, aussi appelée la notion de « droit de suite ».
Affaire Tele2 Sverige Aktiebolag
Sanction de 1,000,000 euros d’amende
Le 30 juin 2023, Tele2 a été sanctionnée d’une amende de 1 million d’euros pour ne pas avoir mis en œuvre des mesures techniques et organisationnelles suffisantes garantissant la sécurité des informations lors du transfert de données personnelles vers les États-Unis via l’outil Google Analytics. Cette sanction s’inscrit dans un cadre plus large où quatre entreprises (CDON, Coop, Dagens Industri, et Tele2) ont fait l’objet de contrôles simultanés pour des transferts similaires.
Comme l’article 44 l’exige, tout transfert de données personnelles vers un pays tiers doit garantir un niveau de protection équivalent à celui prévu par le RGPD. Or, selon l’IMY, les mesures techniques de protection mises en place par Tele2 (et par extension les autres entreprises concernées) ne suffisaient pas à assurer ce niveau de protection.
En particulier, l’utilisation de Google Analytics a permis des transferts de données personnelles vers les États-Unis, un pays que la Cour de justice de l’Union européenne a jugé ne pas offrir une protection adéquate des données personnelles dans le cadre de la décision « Schrems II ». Malgré la mise en place de clauses contractuelles types, ces mesures n’étaient pas jugées suffisantes pour pallier les risques liés aux pratiques de surveillance de masse aux États-Unis.
Françaises
Sanction de 500,000 euros d’amende
Dans l’affaire Futura Internationale, l’amende prononcée traduit spécifiquement un manquement à ces règles relatives aux transferts internationaux. Cela signifie que la société n’a pas mis en œuvre les garanties nécessaires, telles que les clauses contractuelles types, les règles d’entreprise contraignantes ou d’autres mécanismes reconnus, pour assurer la protection requise lors du transfert des données vers un pays tiers.
Recommandations
CEPD
Mon Expert RGPD accompagne les entreprises de toutes tailles. Trouvez votre DPO externe dès aujourd’hui.