Article 44
Principe général applicable aux transferts
Mots clés liés à l'article 44
(6) L'évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu'aux autorités publiques d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial. Les technologies ont transformé à la fois l'économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
Il n'y pas de considérant de la Directive 95/46 lié à l'article 44.
Le GDPR
L’article 44 a pour objet d’énoncer le principe général régissant les transferts vers les pays ou organisations internationales tiers à l’UE. Ces transferts peuvent seulement avoir lieu si les responsables et sous-traitants qui tombent sous le champ du Règlement respectent les règles prévues par le Chapitre V.
La disposition donne cependant à la règle une extension inédite : non seulement les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale opérés dans le cadre d’un traitement en cours ou prévu sont visés , mais aussi les traitements ultérieurs du pays tiers destinataire vers un autre pays ou une autre organisation. Ils doivent donc aussi être conformes au chapitre V. du Règlement. Autrement dit encore, par cette disposition, le Règlement met en place une espèce de « droit de suite » spécifique à la protection des données : les données transférées hors Union restent soumises au droit de l’Union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.
La notion d’organisation internationale, définie à l’article 4, 26) du Règlement vise une organisation internationale et ses organismes de droit public qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux ou plusieurs pays, ou dont la création est fondée sur un tel accord.
Cette disposition a été réintroduite par la version finale du Règlement, après avoir été supprimée de la seconde proposition de Règlement. Le but, inscrit dans la disposition, est que le niveau de protection des personnes concernées garanti par le Règlement ne soit pas amoindri.
La Directive
La Directive ne comprenait pas de disposition similaire.
Difficultés probables ?
L’extension de l’application territoriale aux traitements poursuivis en dehors du territoire de l’Union, par des responsables et sous-traitants destinataires établis hors UE a des implications tant politiques que juridiques.
Politiquement, la disposition permet aux autorités européennes d’intervenir et de constater des violations du Règlement hors UE en arguant d’une base de légitimité nouvelle inscrite dans le Règlement. Elle peut donc utiliser plus facilement l’argument de la protection des données dans différents dossiers ou négociations afin d’obtenir un avantage.
Juridiquement, il va de soi que la disposition pourra être ressentie par les pays tiers comme une atteinte à leur souveraineté puisqu’elle impose une règle nouvelle sur leur territoire et une limitation de la liberté de traitement. Les pouvoirs de contrôle et de coercition des autorités UE et des États membres ne peuvent bien entendu pas être exercés en dehors du territoire de l’UE.
Il faut toutefois bien prendre la mesure de la différence avec les autres règles permettant une application du Règlement à des responsables établis en dehors du territoire de l’UE (cfr article 3). Il s’agit ici d’une soumission indirecte puisque seuls les responsables et sous-traitants, qui sont soumis aux autres dispositions du Règlement en vertu de l’article 3, doivent respecter l’article 44 et partant, le chapitre V. Pas le destinataire des données transférées. Ni d’ailleurs la personne concernée par les données qui serait à l’origine du transfert.
Sommaire
Union Européenne
-
Comité européen de la protection des données
- Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR - 05/2021 (18 novembre 2021) (anglais)
- Foire aux questions sur l’arrêt C-311/18 - Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (23 juillet 2020)
Union Européenne
Comité européen pour la protection des données (EDPB)
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR - 05/2021 (18 novembre 2021) (anglais)
According to Article 44 of the GDPR, the conditions laid down in its Chapter V shall apply to any “transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation”. The overarching purpose of Chapter V is to ensure that the level of protection guaranteed by the GDPR is not undermined when personal data are transferred “to third countries or to international organisations”.
2. The provisions of Chapter V aim at ensuring the continued protection of personal data after they have been transferred to a third country or to an international organisation. When personal data is processed on EU territory it is protected not only by the rules in the GDPR but also by other rules, both on EU and Member State level, that must be in line with the GDPR (including possible derogations therein) and ultimately with the EU Charter on fundamental rights and freedoms. When personal data is transferred and made accessible to entities outside the EU territory, the overarching legal framework provided within the Union no longer applies.
3. Therefore, it must be ensured that the transferred personal data is protected in other ways, such as by being transferred in the context of an adequacy decision from the European Commission or by provision of appropriate safeguards in accordance with Chapter V of the GDPR. When relying on one of the transfer tools listed in Article 46 GDPR, it must be assessed whether supplementary measures need to be implemented in order to bring the level of protection of the transferred data up to the EU standard of essential equivalence. This applies also in situations where the processing falls under Article 3(2) of the GDPR, in order to avoid that the protection provided by the GDPR is undermined by other legislation that the importer falls under. This may for example be the case where the third country has rules on government access to personal data that go beyond what is necessary and proportionate in a democratic society (to safeguard one of the important objectives as also recognised in Union or Member States’ law, such as those listed in Article 23(1) GDPR). The provisions in Chapter V are there to compensate for this risk and to complement the territorial scope of the GDPR as defined by Article 3 when personal data is transferred to countries outside the EU.
4. The following sections aim at clarifying this interplay between Article 3 and the provisions of the GDPR on international transfers in Chapter V in order to assist controllers and processors in the EU in identifying whether a processing constitutes a transfer to a third country or to an international organisation and, as a result, whether they have to comply with the provisions of Chapter V of the GDPR.
5. It is however important to keep in mind that although a certain data flow may not constitute a transfer under Chapter V, such processing can still be associated with risks for which safeguards must be envisaged. Regardless of whether the processing takes place in the EU or not, controllers and processors always have to comply with all relevant provisions of the GDPR, such as the Article 32 obligation to implement technical and organizational measures taking into account, inter alia, the risks with respect to the processing.
Foire aux questions sur l’arrêt C-311/18 - Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (23 juillet 2020)
L'objectif de ce document consiste à fournir des réponses à plusieurs questions fréquemment posées aux autorités de contrôle; ces questions seront développées et complétées par des analyses plus approfondies, étant donné que le comité européen de la protection des données continue d'examiner et d'évaluer l'arrêt rendu par la Cour de justice de l'Union européenne (la «Cour»).
Sommaire
Union Européenne
Union Européenne
Jurisprudence de la CJUE
C-101/01 (6 novembre 2003) - Lindqvist
1) L'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
2) Un tel traitement de données à caractère personnel ne relève d'aucune des exceptions figurant à l'article 3, paragraphe 2, de la directive 95/46.
3) L'indication du fait qu'une personne s'est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l'article 8, paragraphe 1, de la directive 95/46.
4) Il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d'une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.
5) Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d'ex
6) Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s'oppose à ce qu'un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d'application de cette dernière, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.
Conclusions de l'avocat général
C-311/18 (16 juillet 2020) - Facebook Ireland et Schrems
1) L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.
2) L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.
3) L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.
4) L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.
5) La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.
Conclusions de l'avocat général
Retour au sommaire Retour au sommaire Retour au sommaire
Art. 44 Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis. |
Proposition 1
close
Un transfert de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale. |
Proposition 2
close
Supprimé dans la deuxième proposition |
Directive close
Pas de disposition correspondante |
Belgique
Aucune disposition spécifique |
Ancienne loi
close
Pas de disposition correspondante |