Article 44
Principe général applicable aux transferts
Mots clés liés à l'article 44
(6) L'évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu'aux autorités publiques d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial. Les technologies ont transformé à la fois l'économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.
Il n'y pas de considérant de la Directive 95/46 lié à l'article 44.
Le GDPR
L’article 44 a pour objet d’énoncer le principe général régissant les transferts vers les pays ou organisations internationales tiers à l’UE. Ces transferts peuvent seulement avoir lieu si les responsables et sous-traitants qui tombent sous le champ du Règlement respectent les règles prévues par le Chapitre V.
La disposition donne cependant à la règle une extension inédite : non seulement les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale opérés dans le cadre d’un traitement en cours ou prévu sont visés , mais aussi les traitements ultérieurs du pays tiers destinataire vers un autre pays ou une autre organisation. Ils doivent donc aussi être conformes au chapitre V. du Règlement. Autrement dit encore, par cette disposition, le Règlement met en place une espèce de « droit de suite » spécifique à la protection des données : les données transférées hors Union restent soumises au droit de l’Union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.
La notion d’organisation internationale, définie à l’article 4, 26) du Règlement vise une organisation internationale et ses organismes de droit public qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux ou plusieurs pays, ou dont la création est fondée sur un tel accord.
Cette disposition a été réintroduite par la version finale du Règlement, après avoir été supprimée de la seconde proposition de Règlement. Le but, inscrit dans la disposition, est que le niveau de protection des personnes concernées garanti par le Règlement ne soit pas amoindri.
La Directive
La Directive ne comprenait pas de disposition similaire.
Difficultés probables ?
L’extension de l’application territoriale aux traitements poursuivis en dehors du territoire de l’Union, par des responsables et sous-traitants destinataires établis hors UE a des implications tant politiques que juridiques.
Politiquement, la disposition permet aux autorités européennes d’intervenir et de constater des violations du Règlement hors UE en arguant d’une base de légitimité nouvelle inscrite dans le Règlement. Elle peut donc utiliser plus facilement l’argument de la protection des données dans différents dossiers ou négociations afin d’obtenir un avantage.
Juridiquement, il va de soi que la disposition pourra être ressentie par les pays tiers comme une atteinte à leur souveraineté puisqu’elle impose une règle nouvelle sur leur territoire et une limitation de la liberté de traitement. Les pouvoirs de contrôle et de coercition des autorités UE et des États membres ne peuvent bien entendu pas être exercés en dehors du territoire de l’UE.
Il faut toutefois bien prendre la mesure de la différence avec les autres règles permettant une application du Règlement à des responsables établis en dehors du territoire de l’UE (cfr article 3). Il s’agit ici d’une soumission indirecte puisque seuls les responsables et sous-traitants, qui sont soumis aux autres dispositions du Règlement en vertu de l’article 3, doivent respecter l’article 44 et partant, le chapitre V. Pas le destinataire des données transférées. Ni d’ailleurs la personne concernée par les données qui serait à l’origine du transfert.
Sommaire
Union Européenne
-
Comité européen de la protection des données
- Foire aux questions sur l’arrêt C-311/18 - Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (23 juillet 2020)
- Lignes directrices sur l’interaction entre l’application de l’article 3 et des dispositions relatives aux transferts internationaux du chapitre V du RGPD - 05/2021 (14 février 2023)
Union Européenne
Comité européen pour la protection des données (EDPB)
Foire aux questions sur l’arrêt C-311/18 - Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (23 juillet 2020)
L'objectif de ce document consiste à fournir des réponses à plusieurs questions fréquemment posées aux autorités de contrôle; ces questions seront développées et complétées par des analyses plus approfondies, étant donné que le comité européen de la protection des données continue d'examiner et d'évaluer l'arrêt rendu par la Cour de justice de l'Union européenne (la «Cour»).
Lignes directrices sur l’interaction entre l’application de l’article 3 et des dispositions relatives aux transferts internationaux du chapitre V du RGPD - 05/2021 (14 février 2023)
Le RGPD ne contient pas de définition juridique de la notion de «transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale». Par conséquent, le comité européen de la protection des données établit les présentes lignes directrices afin de préciser les cas de figure dans lesquels il considère que les exigences du chapitre V devraient s’appliquer et, à cette fin, il a défini trois critères cumulatifs pour qu’une opération de traitement puisse être qualifiée de transfert:
1) un responsable du traitement ou un sous-traitant (l’«exportateur») est soumis au RGPD pour le traitement en cause;
2) l’exportateur communique par transmission ou rend accessible par un autre moyen des données à caractère personnel, qui font l’objet de ce traitement, à un autre responsable du traitement, responsable conjoint du traitement ou sous-traitant (l’«importateur»);
3) l’importateur se trouve dans un pays tiers — que cet importateur soit ou non soumis au RGPD pour le traitement en cause conformément à l’article 3 —, ou est une organisation internationale.
Si les trois critères définis par le comité européen de la protection des données sont remplis, il y a transfert et le chapitre V du RGPD est applicable. Cela signifie que le transfert ne peut avoir lieu que sous certaines conditions, par exemple dans le cadre d’une décision d’adéquation de la Commission européenne (article 45) ou en fournissant des garanties appropriées (article 46). Les dispositions du chapitre V visent à garantir le maintien de la protection des données à caractère personnel après leur transfert vers un pays tiers ou à une organisation internationale.
À l’inverse, si les trois critères ne sont pas remplis, il n’y a pas de transfert et le chapitre V du RGPD ne s’applique pas. Dans ce contexte, il importe toutefois de rappeler que le responsable du traitement doit néanmoins respecter les autres dispositions du RGPD et demeure pleinement responsable de ses activités de traitement, quel que soit l’endroit où elles ont lieu. En effet, bien que certaines transmissions de données puissent ne pas être considérées comme un transfert au sens du chapitre V, ces traitements peuvent néanmoins être associés à des risques accrus puisqu’ils ont lieu en dehors de l’UE, par exemple en raison de législations nationales contraires ou d’un accès disproportionné des autorités dans le pays tiers. Ces risques doivent être pris en considération lors de l’adoption de mesures au titre, entre autres, de l’article 5 («Principes relatifs au traitement des données à caractère personnel»), de l’article 24 («Responsabilité du responsable du traitement») et de l’article 32 («Sécurité du traitement») — pour que cette opération de traitement soit licite au regard du RGPD.
Les présentes lignes directrices comprennent divers exemples de flux de données vers des pays tiers, qui sont également illustrés dans une annexe afin de fournir des indications pratiques supplémentaires.
Sommaire
Union Européenne
Union Européenne
Jurisprudence de la CJUE
C-101/01 (6 novembre 2003) - Lindqvist
1) L'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
2) Un tel traitement de données à caractère personnel ne relève d'aucune des exceptions figurant à l'article 3, paragraphe 2, de la directive 95/46.
3) L'indication du fait qu'une personne s'est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l'article 8, paragraphe 1, de la directive 95/46.
4) Il n'existe pas de «transfert vers un pays tiers de données» au sens de l'article 25 de la directive 95/46 lorsqu'une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d'une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.
5) Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d'ex
6) Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s'oppose à ce qu'un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d'application de cette dernière, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.
Conclusions de l'avocat général
C-311/18 (16 juillet 2020) - Facebook Ireland et Schrems
1) L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.
2) L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.
3) L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.
4) L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.
5) La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.
Conclusions de l'avocat général
Retour au sommaire Retour au sommaire Retour au sommaire|
Art. 44 Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis. |
Proposition 1
close
Un transfert de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale. |
Proposition 2
close
Supprimé dans la deuxième proposition |
Directive close
Pas de disposition correspondante |
Belgique
Aucune disposition spécifique |
Ancienne loi
close
Pas de disposition correspondante |