📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 46 du RGPD : Transferts moyennant des garanties appropriées

Sommaire

Comprendre l’article 46

L’article 46 du RGPD encadre les transferts de données personnelles vers des pays tiers ou des organisations internationales qui ne bénéficient pas d’une décision d’adéquation.

Dans ces cas, le transfert n’est autorisé que si le responsable de traitement met en place des garanties appropriées assurant un niveau de protection équivalent à celui exigé par le RGPD.

Plusieurs mécanismes peuvent être mobilisés à cette fin :

  • Des instruments juridiques contraignants entre autorités publiques.
  • Des règles d’entreprise contraignantes (BCR), détaillées à l’article 47.
  • Des clauses types de protection des données, adoptées par la Commission ou approuvées par une autorité de contrôle.
  • L’adhésion à un code de conduite ou un mécanisme de certification, assorti d’engagements exécutoires.

Dans certains cas, ces garanties peuvent être intégrées à des contrats, sous réserve de validation par l’autorité de contrôle compétente (comme la CNIL).

Des accords internationaux peuvent également encadrer ces transferts, comme ce fut le cas du Privacy Shield entre l’UE et les États-Unis (aujourd’hui invalidé puis remplacé).

Enfin, des engagements administratifs peuvent être conclus entre autorités publiques et organismes pour formaliser les garanties de protection.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous

Article 46 du RGPD

  1. « En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.
  2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par:      a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics; b) des règles d’entreprise contraignantes conformément à l’article 47; c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2; d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2; e) un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou f) un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
  3. Sous réserve de l’autorisation de l’autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:      a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.
  4. L’autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l’article 63 dans les cas visés au paragraphe 3 du présent article.
  5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l’article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l’article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.»

Jurisprudence

Aucune jurisprudence sur cet article !

Comme de nombreuses entreprises, choisissez la sérénité. Faites appel à un DPO externe de Mon Expert RGPD.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.