📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 48 du RGPD : Transferts ou divulgations non autorisés par le droit de l’Union

Sommaire

Introduction 

L’article 48 du RGPD précise que toute demande d’une juridiction ou d’une autorité administrative d’un pays tiers visant la communication de données personnelles ne peut être reconnue ou exécutable que si elle repose sur un traité international (comme un accord d’entraide judiciaire). L’objectif est de protéger les données contre les accès extraterritoriaux non encadrés.

Explication de l’article 

L’article 48 du RGPD précise qu’un responsable de traitement établi dans l’Union européenne ne peut être contraint de transférer des données personnelles à une autorité d’un pays tiers, sauf dans un cadre légal reconnu par l’Union.

Autrement dit, une décision de justice ou une demande d’une autorité administrative étrangère n’a pas de valeur exécutoire en matière de transfert de données, sauf si elle repose sur un accord international en vigueur entre l’Union européenne (ou un État membre) et le pays tiers demandeur.

Ce principe vise à éviter toute transmission non encadrée de données en dehors de l’UE, et à préserver la souveraineté juridique européenne en matière de protection des données.

Un DPO peut vous aider à encadrer juridiquement vos transferts de données et à anticiper les risques liés à des demandes d’accès émanant de pays tiers. Choisissez un DPO externe.
Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données,
sans contrainte pour vous.
Échanger avec un expert RGPD

Texte original du RGPD

Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

Pas de disposition transposable

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Aucune disposition correspondante.

Analyse des 3 textes qui précèdent 

La version finale du Règlement introduit un nouvel article 48 aux termes duquel un jugement judiciaire ou une décision d’une autorité administrative émanant d’un pays non membre de l’Union et imposant un transfert de données à caractère personnel ne peut être reconnu ou exécuté de quelque manière que ce soit, sauf si il se fonde sur une convention internationale, telle qu’un traité d’assistance judiciaire mutuelle, en vigueur entre ledit État tiers et l’Union et/ou l’État membre concerné.

A défaut de convention internationale en vigueur, aucun jugement ou décision étrangère à l’UE ne peut imposer un transfert de données à caractère personnel.

Cette disposition ne porte évidemment pas atteinte aux transferts de données qui seraient opérés sur un autre fondement prévu par le Chapitre V du Règlement.

Jurisprudences 

Européennes 

Affaire ADSL HOUSE, S.L. (Espagne, 24 octobre 2022)

Sanction de 8,000 euros d’amende 

L’affaire concernant ADSL HOUSE, S.L. (24 octobre 2022, Espagne) met en lumière un manquement relatif à l’article 48(1)(b) du RGPD, qui concerne les mesures de coopération avec les autorités de contrôle lorsqu’une demande de communication ou d’accès aux données, formulée par une autorité de contrôle, doit être respectée.

Dans cette affaire, la surveillance ou la demande de communication effectuée par l’autorité espagnole n’a pas été conforme aux exigences de l’article 48(1)(b), notamment en termes de motivation, de proportionnalité ou de respect des procédures légales.

La décision précise que l’entreprise n’a pas correctement accompagné la demande d’une justification légitime pour l’accès aux données, ni assuré la limitation du sujet de la demande conformément aux principes de l’article 48 et à la réglementation nationale espagnole (LOPDGDD), qui transpose notamment le RGPD.

Conséquence : La non-conformité à ces règles a conduit à un manquement au respect des droits de la personne concernée, notamment le droit à une procédure régulière et à une opposition dans le cadre d’une demande d’accès ou de transfert de données.

Cette affaire montre que l’article 48(1)(b) du RGPD exige que les autorités de contrôle respectent une procédure rigoureuse, motivée, proportionnée et limitée, lorsqu’elles sollicitent ou exercent des pouvoirs d’accès ou de demande de données personnelles. Le manquement à cette règle peut entraîner des sanctions et un non-respect des droits fondamentaux, tels que la protection de la vie privée.

Recommandations 

CEPD 

Guidelines 02/2024 on Article 48 GDPR

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.