📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 50 du RGPD : Coopération internationale dans le domaine de la protection des données à caractère personnel

Sommaire

Introduction 

L’article 50 du RGPD encourage la coopération entre autorités de contrôle de l’UE et celles de pays tiers. 

Explication de l’article 

L’article 50 du RGPD introduit un principe de coopération internationale. Il encourage les autorités de contrôle, ainsi que la Commission européenne, à collaborer et s’entraider pour garantir une application cohérente et efficace du règlement au-delà des frontières de l’Union.Cela peut passer par des échanges d’informations, l’entraide administrative, l’élaboration de bonnes pratiques ou la promotion de normes internationales en matière de confidentialité et de sécurité.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

La Commission et les autorités de contrôle prennent, à l’égard des pays tiers et des organisations internationales, les mesures appropriées pour:

a) élaborer des mécanismes de coopération internationale destinés à faciliter l’application effective de la législation relative à la protection des données à caractère personnel;

b) se prêter mutuellement assistance sur le plan international dans l’application de la législation relative à la protection des données à caractère personnel, y compris par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’informations, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d’autres libertés et droits fondamentaux;

c) associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans le domaine de l’application de la législation relative à la protection des données à caractère personnel;

d) favoriser l’échange et la documentation de la législation et des pratiques en matière de protection des données à caractère personnel, y compris en ce qui concerne les conflits de compétence avec des pays tiers.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

Article 28

(….).

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 29

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

La Commission nationale de l’informatique et des libertés peut, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un Etat non membre de l’Union européenne, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d’autres libertés et droits fondamentaux, procéder à des vérifications dans les mêmes conditions que celles prévues à l’article 19, sauf s’il s’agit d’un traitement mentionné aux I ou II de l’article 31. Sous les mêmes réserves, elle peut présenter des demandes aux mêmes fins à une autorité exerçant des compétences analogues aux siennes.

La commission est habilitée à communiquer les informations qu’elle recueille ou qu’elle détient, à leur demande, aux autorités exerçant des compétences analogues aux siennes dans des Etats non membres de l’Union européenne, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d’autres libertés et droits fondamentaux, sauf s’il s’agit d’un traitement mentionné aux I ou II de l’article 31.

Pour la mise en œuvre du présent article, la commission conclut préalablement une convention organisant ses relations avec l’autorité exerçant des compétences analogues aux siennes. Cette convention est publiée au Journal officiel

Analyse des 3 textes qui précèdent 

L’article 50 du RGPD instaure un cadre de coopération renforcée entre les autorités de contrôle des États membres ainsi qu’avec les autorités de pays tiers, afin de garantir une application cohérente et efficace des règles de protection des données à caractère personnel au niveau international. Ce mécanisme vise à promouvoir la coopération transfrontalière en facilitant l’échange d’informations, l’entraide lors des enquêtes et la transmission des réclamations, tout en assurant la protection des données et des droits fondamentaux.

En relation avec la directive 95/46/CE, son article 28 instaurait déjà la coopération entre autorités de contrôle au sein de l’Union européenne, avec la possibilité d’exercer des compétences sur demande mutuelle et d’échanger des informations utiles. L’article 50 développe largement ce principe en y ajoutant la coopération avec des autorités analogues dans des pays tiers sous réserve de garanties appropriées, ainsi que la conclusion de conventions définissant les modalités de cette coopération.

La loi Informatique et Libertés, à son article 29, transpose ce principe en autorisant notamment la CNIL à procéder à des vérifications sur demande d’autorités étrangères similaires, à transmettre des informations, et à conclure des conventions visant à organiser ces relations, assurant ainsi un lien entre le cadre européen et les autorités hors UE.

En résumé, l’article 50 RGPD formalise un dispositif clé de coopération internationale, essentiel à la protection des données personnelles dans un contexte mondialisé, et s’inscrit dans la continuité des mécanismes communautaires existants, tout en les étendant aux partenaires extérieurs à l’Union.

Jurisprudences 

Européennes 

C-230/14 (1 octobre 2015) – Weltimmo

La Cour a confirmé que l’autorité territoriale compétente est celle de l’État membre où le responsable du traitement exerce effectivement son activité, même minime, notamment via un établissement stable. Cela garantit ainsi la cohérence dans l’exercice des compétences entre autorités de contrôle, principal objectif de l’article 50.

Cette décision facilite la mise en œuvre du mécanisme de coopération entre autorités de contrôle prévu à l’article 50, notamment par une définition claire des juridictions compétentes pour traiter les plaintes et appliquer les sanctions.

L’affaire Weltimmo illustre concrètement la portée pratique de l’article 50 du RGPD en clarifiant les règles de compétence juridique entre États membres, condition essentielle à une coopération efficace. Elle établit que l’application territoriale de la protection des données est déterminée par le lieu d’exercice réel d’activités du responsable du traitement, permettant ainsi aux autorités de mieux collaborer dans l’application du RGPD.

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cet article 50 du RGPD.

Ne restez pas seul face à vos obligations RGPD. Trouvez un DPO externe de confiance avec Mon Expert RGPD.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.