Article 45 du RGPD : Transferts fondés sur une décision d’adéquation

Introduction

L’article 45 du RGPD autorise le transfert de données personnelles vers un pays tiers ou une organisation internationale si la Commission européenne a constaté que ce pays ou cette organisation offre un niveau de protection des données adéquat, c’est-à-dire équivalent à celui prévu par le RGPD. Une telle décision dispense les responsables de traitement d’utiliser des garanties supplémentaires pour les transferts.

Explication de l’article

L’article 45 du RGPD prévoit que le transfert de données personnelles vers un pays tiers ou une organisation internationale peut avoir lieu si la Commission européenne a adopté une décision d’adéquation. Cela signifie que le pays ou l’organisation visé offre un niveau de protection jugé « essentiellement équivalent » à celui de l’Union européenne.

Pour évaluer le caractère adéquat d’un pays, la Commission examine plusieurs critères, notamment :

Le respect de l’État de droit.
L’existence et les pouvoirs effectifs d’une autorité de contrôle indépendante.
Les engagements internationaux du pays en matière de protection des données.

Ces décisions font l’objet d’un réexamen au moins tous les quatre ans et peuvent être modifiées, suspendues ou abrogées si le niveau de protection cesse d’être adéquat

Un DPO peut vous aider à déterminer si un transfert est couvert par une décision d’adéquation. Consultez notre article : Comment trouver son DPO ?

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Libérez-vous du RGPD

Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.

Je prends rendez-vous avec un expert

Texte original du RGPD

1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique.

2. Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants:

a) l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que la mise en oeuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l’organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;

b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d’assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d’application desdites règles, d’assister et de conseiller les personnes concernées dans l’exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et

c) les engagements internationaux pris par le pays tiers ou l’organisation internationale en question, ou d’autres obligations découlant de conventions ou d’instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d’acte d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L’acte d’exécution prévoit un mécanisme d’examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale. L’acte d’exécution précise son champ d’application territorial et sectoriel et, le cas échéant, nomme la ou des autorités de contrôle visées au paragraphe 2, point b) du présent article. L’acte d’exécution est adopté en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

4. La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l’article 25, paragraphe 6, de la directive 95/46/CE.

5. Lorsque les informations disponibles révèlent, en particulier à l’issue de l’examen visé au paragraphe 3 du présent article, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n’assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission si nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article par voie d’actes d’exécution sans effet rétroactif. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

Pour des raisons d’urgence impérieuses dûment justifiées, la Commission adopte des actes d’exécution immédiatement applicables en conformité avec la procédure visée à l’article 93, paragraphe 3.

6. La Commission engage des consultations avec le pays tiers ou l’organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

7. Une décision adoptée en vertu du paragraphe 5 du présent article est sans préjudice des transferts de données à caractère personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l’organisation internationale en question, effectués en application des articles 46 à 49.

7. La Commission publie au Journal officiel de l’Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu’un niveau de protection adéquat est ou n’est plus assuré.

8. Les décisions adoptées par la Commission sur la base de l’article 25, paragraphe 6, de la directive 95/46/CE demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 25

1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

3. Les États membres et la Commission s’informent mutuellement des cas dans lesquels ils estiment qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2.

4. Lorsque la Commission constate, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause.

5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.

6. La Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 39

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Dans le cas où, saisie d’une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l’informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne à l’égard du traitement de ses données à caractère personnel, ou de manière générale afin d’assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d’Etat d’ordonner, le cas échéant sous astreinte, soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert qu’elle aurait elle-même préalablement ordonnée, et elle assortit alors ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne prise sur le fondement de l’article 45 du règlement (UE) 2016/679 du 27 avril 2016 ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l’article 46 du même règlement.

Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l’exercice de sa fonction juridictionnelle, la Commission nationale de l’informatique et des libertés peut saisir, dans les mêmes conditions, le Conseil d’Etat aux fins d’ordonner, soit la suspension du transfert de données fondé sur une décision d’adéquation de la Commission européenne prise sur le fondement de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, soit la prolongation de la suspension de ce transfert qu’elle aurait elle-même déjà ordonnée, dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de cette décision d’adéquation.

Analyse des 3 textes qui précèdent

L’article 25 de la Directive 95/46/CE instaurait déjà le principe d’adéquation : aucun transfert de données vers un pays tiers n’était permis si celui-ci n’assurait pas un niveau de protection suffisant.
Toutefois, la directive impliquait un mécanisme dual :

La Commission pouvait adopter des décisions d’adéquation, mais les États membrespouvaient parallèlement évaluer eux-mêmes la conformité de certains destinataires.
Le Groupe de travail « Article 29 » jouait un rôle consultatif majeur, notamment pour établir des critères d’évaluation.
Cette approche a été jugée fragmentée et parfois inefficace, notamment après les affaires Safe Harbor et Privacy Shield, invalidées par la CJUE pour absence de garanties suffisantes.

Le RGPD, à son article 45, unifie le processus : la Commission européenne détient seule la compétence de constater l’adéquation. Le texte élargit en outre les critères d’appréciation en y incluant explicitement :

le respect de l’État de droit ;
les libertés fondamentales ;
la législation sectorielle pertinente (sécurité nationale, droit pénal, etc.) ;
la présence d’une autorité de contrôle indépendante dotée de réels pouvoirs ;
les engagements internationaux du pays tiers.

Il impose aussi une révision périodique tous les quatre ans des décisions d’adéquation, afin d’assurer leur actualité.

Enfin, la Commission peut suspendre ou abroger une décision d’adéquation si les garanties ne sont plus effectives, mais sans effet rétroactif. L’article 45(7) précise que cette réévaluation n’affecte pas les transferts opérés sous les articles 46 à 49 (garanties, BCR, dérogations).

La Loi Informatique et Libertés reprend le principe d’adéquation avec une approche alignée sur la directive. Le texte exigeait un niveau de protection “suffisant” des droits et libertés fondamentaux, en tenant compte de critères tels que :

l’origine et la destination des données ;
la nature des traitements et leurs finalités.
L’évaluation relevait de la CNIL, dans le cadre du contrôle administratif interne.
Toutefois, depuis l’entrée en vigueur du RGPD, ces dispositions nationales s’interprètent à la lumière du règlement, avec un rôle réduit pour les autorités nationales dans la reconnaissance d’un niveau d’adéquation.

Jurisprudences

Européennes

Arrêt C-362/14 (Schrems I) — 6 octobre 2015

Cet arrêt a notamment annulé la décision dite « Safe Harbor » (2000/520/CE), qui autorisait les transferts vers les États-Unis. La CJUE a jugé que la décision ne garantissait pas un niveau de protection adéquat conformément à l’article 25 (premier équivalent de l’article 45 RGPD), en raison d’un accès insuffisamment encadré des autorités américaines aux données personnelles transférées.
La Cour a ainsi rappelé que la compétence d’une autorité nationale de contrôle n’était pas neutralisée par une décision d’adéquation : cette autorité reste libre de vérifier au cas par cas la validité de la protection offerte, et peut suspendre ou interdire le transfert en cas de doute. Ce principe relève directement de l’obligation d’assurer un niveau effectif de protection des personnes, socle de l’article 45.

Arrêt C-311/18 (Schrems II) — 16 juillet 2020

Cet arrêt a invalidé le « Bouclier de protection des données » UE-USA, tout en validant les clauses contractuelles types susceptibles d’assurer un niveau adéquat, sous réserve d’une vérification rigoureuse.
La CJUE y a interprété strictement les conditions de validité d’une décision d’adéquation (article 45 du RGPD), insistant sur l’obligation pour la Commission d’examiner les lois de surveillance nationales affectant la protection des données personnelles.
Elle a également posé une obligation forte aux responsables de traitement et autorités de contrôle : avant tout transfert, il faut apprécier la situation juridique réelle dans le pays tiers, et suspendre le transfert en cas de violation des garanties de protection. Cette surveillance effective est par ailleurs obligatoire même en cas de décision d’adéquation.

Françaises

CE Fr., n°450163 (12 mars 2021)

L’affaire CE Fr., n°450163 (12 mars 2021) constitue une application juridictionnelle importante des principes liés à l’article 45 du RGPD dans le contexte du transfert de données à caractère personnel vers des pays tiers, en l’occurrence les États-Unis.

La société Doctolib utilise les services d’hébergement de la société AWS Sarl (filiale luxembourgeoise d’Amazon Web Services, société américaine) pour stocker ses données, y compris des données sensibles relatives à la santé.
Les requérants ont soulevé l’argument que la filiale américaine de AWS pourrait être soumise à des demandes d’accès aux données par les autorités américaines en vertu de lois telles que l’article 702 du Foreign Intelligence Surveillance Act (FISA) et le décret présidentiel EO 12333, mettant en péril le niveau de protection garanti aux personnes en Europe.

Le Conseil d’État a examiné la conformité du stockage et du transfert des données à l’article 45 du RGPD, qui demande un niveau adéquat de protection dans les pays tiers destinataires.
Ce contrôle inclut non seulement les engagements contractuels entre le responsable du traitement (Doctolib) et le sous-traitant (AWS), mais aussi l’évaluation du cadre juridique du pays tiers (États-Unis) susceptible d’autoriser l’accès par les autorités publiques à ces données.

Le Conseil d’État a adopté la méthode appliquée par la CJUE dans l’arrêt Schrems II (16 juillet 2020) et a souligné la nécessité de vérifier l’effectivité du niveau de protection.
Il a notamment insisté sur le fait que la simple certification du prestataire ou l’absence de transfert technique direct ne suffisent pas à garantir le respect des droits fondamentaux des personnes concernées si la législation du pays tiers autorise un accès non restreint aux données.
Cette affaire traduit la mise en œuvre pratique, dans le droit français, des exigences de l’article 45, en renforçant le rôle de la CNIL et des autorités judiciaires dans la vigilance exercée sur ces transferts et signe la nécessité d’un encadrement contractuel et technique strict.