📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 46 du RGPD : Transferts moyennant des garanties appropriées

Sommaire

Introduction 

L’article 46 du RGPD permet que lorsqu’aucune décision d’adéquation n’existe, les transferts de données peuvent tout de même être réalisés si le responsable de traitement ou le sous-traitant met en place des garanties appropriées, comme les clauses contractuelles types (CCT), les règles d’entreprise contraignantes (BCR) ou encore des codes de conduite approuvés. Ces mécanismes assurent un niveau de protection équivalent à celui offert au sein de l’UE.

Explication de l’article 

Les transferts de données personnelles vers des pays tiers ou des organisations internationales qui ne bénéficient pas d’une décision d’adéquation sont encadrés. 

Dans ces cas, le transfert n’est autorisé que si le responsable de traitement met en place des garanties appropriées assurant un niveau de protection équivalent à celui exigé par le RGPD.

Plusieurs mécanismes peuvent être mobilisés à cette fin :

  • Des instruments juridiques contraignants entre autorités publiques.
  • Des règles d’entreprise contraignantes (BCR), détaillées à l’article 47.
  • Des clauses types de protection des données, adoptées par la Commission ou approuvées par une autorité de contrôle.
  • L’adhésion à un code de conduite ou un mécanisme de certification, assorti d’engagements exécutoires.

Dans certains cas, ces garanties peuvent être intégrées à des contrats, sous réserve de validation par l’autorité de contrôle compétente (comme la CNIL).

Des accords internationaux peuvent également encadrer ces transferts, comme ce fut le cas du Privacy Shield entre l’UE et les États-Unis (aujourd’hui invalidé puis remplacé).

Enfin, des engagements administratifs peuvent être conclus entre autorités publiques et organismes pour formaliser les garanties de protection.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par:

a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

b) des règles d’entreprise contraignantes conformément à l’article 47;

c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;

d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;

e) un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou

f) un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. Sous réserve de l’autorisation de l’autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou

b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

4. L’autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l’article 63 dans les cas visés au paragraphe 3 du présent article.

5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l’article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l’article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

Article 26

2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

3. L’État membre informe la Commission et les autres États membres des autorisations qu’il accorde en application du paragraphe 2.

En cas d’opposition exprimée par un autre État membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l’article 31 paragraphe 2.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

4. Lorsque la Commission décide, conformément à la procédure prévue à l’article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 39

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Dans le cas où, saisie d’une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l’informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d’une personne à l’égard du traitement de ses données à caractère personnel, ou de manière générale afin d’assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d’Etat d’ordonner, le cas échéant sous astreinte, soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert qu’elle aurait elle-même préalablement ordonnée, et elle assortit alors ses conclusions d’une demande de question préjudicielle à la Cour de justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne prise sur le fondement de l’article 45 du règlement (UE) 2016/679 du 27 avril 2016 ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l’article 46 du même règlement.

Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l’exercice de sa fonction juridictionnelle, la Commission nationale de l’informatique et des libertés peut saisir, dans les mêmes conditions, le Conseil d’Etat aux fins d’ordonner, soit la suspension du transfert de données fondé sur une décision d’adéquation de la Commission européenne prise sur le fondement de l’article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, soit la prolongation de la suspension de ce transfert qu’elle aurait elle-même déjà ordonnée, dans l’attente de l’appréciation par la Cour de justice de l’Union européenne de la validité de cette décision d’adéquation.

Analyse des 3 textes qui précèdent 

L’article 26, paragraphe 2, de la Directive 95/46/CE instituait la possibilité pour un État membre d’autoriser des transferts de données vers un pays tiers sans niveau de protection adéquat, à condition que le responsable du traitement apporte des garanties suffisantes. Ces garanties pouvaient notamment résulter de clauses contractuelles appropriées. La directive imposait aussi une notification systématique de ces autorisations à la Commission et aux autres États membres (paragraphe 3).

En cas d’opposition, la Commission pouvait prendre des mesures contraignantes (paragraphe 3), et elle disposait du pouvoir de reconnaître des clauses contractuelles types comme garanties adéquates, obligeant les États membres à s’y conformer (paragraphe 4).

La Loi Informatique et Libertés organise une procédure de contrôle judiciaire des transferts de données, notamment en cas de plainte auprès de la CNIL. La CNIL peut demander au Conseil d’État d’ordonner la suspension ou la prolongation de la suspension d’un transfert si elle estime que les garanties offertes ne respectent pas les droits et libertés fondamentaux des personnes. La CNIL peut aussi saisir la CJUE par question préjudicielle pour valider la décision d’adéquation ou les garanties appropriées mises en œuvre, notamment celles mentionnées aux articles 45 et 46 du RGPD.

Cela traduit une volonté d’assurer un contrôle juridictionnel strict des transferts internationaux, en complément des mécanismes européens.

L’article 46 du RGPD reprend et précise l’exception prévue par l’article 26, paragraphe 2, de la directive 95/46/CE, permettant les transferts vers des pays tiers sans décision d’adéquation préalable de la Commission, à condition que des garanties appropriées soient mises en place. Cette disposition rompt avec la directive en déléguant désormais à la Commission européenne la compétence exclusive pour apprécier le niveau de protection adéquat, ce qui décharge les responsables de traitement du rôle d’évaluation directe.

Jurisprudences 

Européennes 

Affaire Meta Platforms Ireland Limited (12 mai 2023)

Sanction de 1,200,000,000 euros d’amende 

L’infraction principale concerne le non-respect des exigences de l’article 46(1) RGPD qui impose la mise en place de garanties appropriées (ex: clauses contractuelles types, règles d’entreprise contraignantes) pour les transferts hors UE en l’absence de décision d’adéquation.

La DPC a conclu que Meta n’a pas réussi à assurer ces garanties, notamment face aux risques liés à la surveillance par les autorités étrangères, ce qui porte atteinte aux droits des personnes concernées.

Affaire TikTok Technology Limited (2 mai 2025)

Sanction de 530,000,000 euros d’amende 

TikTok a été sanctionné à hauteur de 530 millions d’euros pour des violations combinées des articles 13(1)f (informations à fournir aux personnes) et 46(1) RGPD.

Cette décision souligne en particulier le manquement aux exigences de l’article 46 portant sur l’absence de garanties adaptées lors de transferts internationaux de données.

Comme dans l’affaire Meta, le risque lié à la juridiction des pays tiers sur les données transférées a joué un rôle déterminant dans l’évaluation négative des garanties. 

C-311/18 (16 juillet 2020) – Facebook Ireland et Schrems

Arrêt phare lié à l’article 46, notamment sur la validité des garanties mises en place (clauses contractuelles types) en l’absence de décision d’adéquation.

La Cour impose une obligation d’évaluation continue par les responsables de traitement sur la législation des pays tiers pour vérifier si les garanties sont effectives.

En cas d’insuffisance, un transfert doit être suspendu ou interdit.

Françaises 

CE Fr., n°424216 (19 juillet 2019)

Affaire française portant sur l’interprétation de l’article 46 et la compatibilité d’un accord bilatéral avec le RGPD.

Le Conseil d’État confirme que le respect des garanties appropriées prévues à l’article 46 est crucial pour la légalité des transferts, même en présence d’accords internationaux.

CE Fr., n°450163 (12 mars 2021)

Affaire relative à l’hébergement par AWS, où la juridiction française applique la jurisprudence Schrems II à l’évaluation des garanties de l’article 46.

La décision souligne la nécessité de vérifier la législation du pays tiers et les risques de surveillance, et l’importance d’un encadrement contractuel strict.

Recommandations 

CEPD 

Recommandations sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE – 1/2020 (18 juin 2021) 

Foire aux questions sur l’arrêt rendu dans l’affaire C-311/18 – Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (23 juillet 2020)

Recommandations sur les garanties essentielles européennes pour les mesures de surveillance – 2/2020 (10 novembre 2020)

Guidelines on articles 46.2.a and 46.3.b of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies – 2/2020 (15 décembre 2020)

Lignes directrices sur la certification en tant qu’outil au service des transferts – 07/2022 (14 février 2023)

Décision d’exécution (UE) de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil – 2021/914 (4 juin 2021)

Statement on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework – 1/2022 (6 April 2022)

CNIL 

Guide pratique analyse d’impact des transferts de données (janvier 2025)

G29 

Working document on Adequacy Referential – wp254rev.01 (6 February 2018)

 

Comme de nombreuses entreprises, choisissez la sérénité. Faites appel à un DPO externe de Mon Expert RGPD.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.