Article 46
Transferts moyennant des garanties appropriées

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 46 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 46 keyboard_arrow_up

(105) Outre les engagements internationaux pris par le pays tiers ou l'organisation internationale, la Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de l'organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection des données à caractère personnel, ainsi que de la mise en oeuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Lorsqu’elle évalue le niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité.

(108) En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

(109) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient compléter les clauses types de protection.

(110) Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

(114) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat du niveau de protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent aux personnes concernées des droits opposables et effectifs en ce qui concerne le traitement de leurs données dans l'Union une fois que ces données ont été transférées, de façon à ce que lesdites personnes continuent de bénéficier des droits fondamentaux et des garanties.

Afficher les considérants de la Directive 95/46 liés à l'article 46 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 46 keyboard_arrow_up

(59) considérant que des mesures particulières peuvent être prises pour pallier l'insuffisance du niveau de protection dans un pays tiers lorsque le responsable du traitement présente des garanties appropriées; que, en outre, des procédures de négociation entre la Communauté et les pays tiers en cause doivent être prévues;

Le GDPR

L’article 46 du Règlement reprend et détaille l’exception prévue à l’article 26.2. de la Directive, en cas de garanties suffisantes prises par le responsable ou sous-traitant et en l’absence d’une décision de la Commission constatant un niveau de protection adéquat. On rappelle encore ici qu’il ne revient donc plus au responsable ou sous-traitant d’apprécier ce niveau. En cas d’absence d’une telle décision, il doit remplir les conditions d’une telle exception (ou d’une de celles reprises aux articles 47 et 49).

La version finale du Règlement complète le 1er paragraphe de l’article 46 en ajoutant que le transfert moyennant des garanties appropriées n’est autorisé qu’à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

La mise en place des mesures énumérées à l’article 46, § 2 s’opère sans autorisation de l’autorité de contrôle ; il peut s’agir :

- d’un instrument juridiquement contraignant et exécutoire entre autorités ou organismes publics (a) ; ou

- de règles d'entreprise contraignantes (b) conformes à l’article 47. Le considérant 110 ajoute que ces règles d'entreprise doivent inclure les principes essentiels et les droits opposables fournissant des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel ; ou

-de clauses contractuelles types de protection des données adoptées par la Commission (c)) ou conjointement par une autorité de contrôle et par la Commission (d) ; ou

- d’ un code de conduite approuvé conformément à l’article 40 qui comprend l’engagement contraignant et exécutoire du responsable ou de son sous-traitant d’appliquer dans le pays de destination les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée (e).

- d’un mécanisme de certification au sens de l’article 42 attestant de la conformité du traitement aux règles de l’Union (f)).

Le paragraphe 3 détaille d’autres mesures pour lesquelles l’autorisation préalable de l’autorité de contrôle compétente est indispensable. Dans ces cas, l’autorité de contrôle doit respecter le mécanisme de cohérence défini à l’article 64, qui implique de solliciter l’avis du Comité européen de la protection des données (cfr. 64 (1), e)).

On vise ici :

- des clauses contractuelles qui n’auraient pas fait l’objet d’une adoption préalable par la Commission ou une autorité de contrôle nationale, conclues entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données  dans le pays tiers ou l'organisation internationale (art. 46, § 3 a)) ; ou

- des dispositions particulières insérées dans des arrangements administratifs entre autorités et organismes publics (art. 46, § 3 b)). La version finale du Règlement précise que ces arrangements doivent garantir l’effectivité des droits reconnus aux personnes concernées.

Enfin, le paragraphe 5 indique que les autorisations délivrées par un État membre ou une autorité de contrôle sous l’empire de la Directive restent valables jusqu’à leur modification, révision ou abrogation par la même autorité de contrôle. Il en va de même des décisions de la commission prises en vertu de l’article 26, § 4 de la Directive.

La Directive

La Directive prévoyait diverses exceptions à l’interdiction de traitement qui résultait de l’absence d’un niveau de protection adéquat.

L’une d’elles est prévue à l’article 26.2. et s’applique lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants. Cette dérogation implique que le responsable ait pris des mesures particulières pour pallier l'insuffisance du niveau de protection du pays de destination des données à caractère personnel.

Selon l’article 26.2 de la Directive, ces garanties appropriées peuvent notamment résulter de clauses contractuelles appropriées. Des clauses contractuelles types ont donc été développées pour encadrer les transferts de données hors de l’UE en contractualisant les règles de protection contenues dans la Directive. Des modèles ont ensuite été adoptés par la Commission européenne conformément à l’article 26, § 4 de la Directive. En effet, cette disposition conférait à la Commission le pouvoir de constater, par voie de décision, que certaines clauses contractuelles types présentaient des garanties suffisantes, ce qui obligeait alors les États membres à autoriser les transferts fondés sur ces clauses contractuelles types. La décision de la Commission devait être adoptée conformément à la procédure prévue à l’article 31, paragraphe 2, prévoyant la saisine du Comité de l’article 31 (voir notamment les décisions 2001/497/CE ; 2002/16/CE ; 2004/915/CE ; 2010/87/UE).

Une alternative aux clauses contractuelles types a vu le jour à partir de 2003 : les règles internes d’entreprises (dites Binding Corporate Rules). Bien que sceptique dans un premier temps, c’est le Groupe Article 29 qui a développé ce système dans son document de travail WP 74 du 3 juin 2003 (par le Groupe article 29, dans son document de travail WP 74 du 3 juin 2003 (Document de travail WP 74: Transferts de données personnelles vers des pays tiers Application de l’article 26 (2) de la Directive). Il s’agit d’une alternative globale et unique qui permet d’encadrer l’ensemble des transferts des données au sein d’un groupe de sociétés, sans vérifier systématiquement le fondement légal du transfert (cfr. le commentaire de l’article 43 relatif aux règles d’entreprise contraignantes).

Belgique

En droit belge, l’article 22, § 2 de la loi du 8 décembre 1992 instaure la possibilité pour le Roi, d'autoriser un transfert ou ensemble de transferts de données à caractère personnel vers un pays, non membre de la l'Union européenne, et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes, en particulier par l'utilisation de clauses contractuelles appropriées.

Cette disposition a été exécutée par les articles 56 et 57 de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

L'article 56 fixe le contenu minimal de ces clauses contractuelles :

- définition précise des finalités du traitement effectué par le destinataire;

- interdire la communication à des tiers, sauf exception légale mentionnée dans le contrat;

- obliger le destinataire à rectifier, éliminer ou ajouter des données à caractère personnel à la demande du responsable;

- mettre en oeuvre le droit d'accès et les modalités de celui-ci;

- adresser une copie du contrat à la Commission.

Le respect de ce contenu minimal conduit automatiquement à l'autorisation du flux de données (cfr. Rapport au Roi de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel).

Difficultés probables ?

Le nouveau système est sans conteste plus clair que le précédent : des garanties devront être prises en l’absence d’une décision d’adéquation de la Commission. Le choix des garanties s’étoffe et les autorités de contrôle nationales pourront intervenir dans une procédure encadrée si les garanties classiques ne peuvent être mises en œuvre pour des raisons propres au responsable ou au sous-traitant.

Bien entendu, une difficulté spécifique se poserait si le responsable ou le sous-traitant avait considéré en l’absence de prise de position officielle de la Commission que le destinataire se situait sur un territoire offrant un niveau de protection adéquat. Ils devront alors prendre une des mesures proposées pour être conformes au Règlement. 

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Foire aux questions sur l’arrêt rendu dans l’affaire C-311/18 - Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (23 juillet 2020)

L'objectif de ce document consiste à fournir des réponses à plusieurs questions fréquemment posées aux autorités de contrôle; ces questions seront développées et complétées par des analyses plus approfondies, étant donné que le comité européen de la protection des données continue d'examiner et d'évaluer l'arrêt rendu par la Cour de justice de l'Union européenne (la «Cour»).

Lien

Recommandations sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE - 1/2020 (18 juin 2021) (anglais)

The EU General Data Protection Regulation (GDPR) was adopted to serve a dual-purpose: facilitating the free flow of personal data within the European Union, while preserving the fundamental rights and freedoms of individuals, in particular their right to the protection of personal data.

In its recent judgment C-311/18 (Schrems II) the Court of Justice of the European Union (CJEU) reminds us that the protection granted to personal data in the European Economic Area (EEA) must travel with the data wherever it goes. Transferring personal data to third countries cannot be a means to undermine or water down the protection it is afforded in the EEA. The Court also asserts this by clarifying that the level of protection in third countries does not need to be identical to that guaranteed within the EEA but essentially equivalent. The Court also upholds the validity of standard contractual clauses, as a transfer tool that may serve to ensure contractually an essentially equivalent level of protection for data transferred to third countries.

Standard contractual clauses and other transfer tools mentioned under Article 46 GDPR do not operate in a vacuum. The Court states that controllers or processors, acting as exporters, are responsible for verifying, on a case-by-case basis and, where appropriate, in collaboration with the importer in the third country, if the law or practice of the third country impinges on the effectiveness of the appropriate safeguards contained in the Article 46 GDPR transfer tools. In those cases, the Court still leaves open the possibility for exporters to implement supplementary measures that fill these gaps in the protection and bring it up to the level required by EU law. The Court does not specify which measures these could be. However, the Court underlines that exporters will need to identify them on a case-by-case basis. This is in line with the principle of accountability of Article 5.2 GDPR, which requires controllers to be responsible for, and be able to demonstrate compliance with the GDPR principles relating to processing of personal data.

To help exporters (be they controllers or processors, private entities or public bodies, processing personal data within the scope of application of the GDPR) with the complex task of assessing third countries and identifying appropriate supplementary measures where needed, the European Data Protection Board (EDPB) has adopted these recommendations. These recommendations provide exporters with a series of steps to follow, potential sources of information, and some examples of supplementary measures that could be put in place.

As a first step, the EDPB advises you, exporters, to know your transfers. Mapping all transfers of personal data to third countries can be a difficult exercise. Being aware of where the personal data goes is however necessary to ensure that it is afforded an essentially equivalent level of protection wherever it is processed. You must also verify that the data you transfer is adequate, relevant and limited to what is necessary in relation to the purposes for which it is processed.

A second step is to verify the transfer tool your transfer relies on, amongst those listed under Chapter V GDPR. If the European Commission has already declared the country, region or sector to which you are transferring the data as adequate, through one of its adequacy decisions under Article 45 GDPR or under the previous Directive 95/46 as long as the decision is still in force, you will not need to take any further steps, other than monitoring that the adequacy decision remains valid. In the absence of an adequacy decision, you need to rely on one of the transfer tools listed under Articles 46 GDPR. Only in some cases you may be able to rely on one of the derogations provided for in Article 49 GDPR if you meet the conditions. Derogations cannot become “the rule” in practice, but need to be restricted to specific situations.

A third step is to assess if there is anything in the law and/or practices in force of the third country that may impinge on the effectiveness of the appropriate safeguards of the transfer tools you are relying on, in the context of your specific transfer. Your assessment should be focused first and foremost on third country legislation that is relevant to your transfer and the Article 46 GDPR transfer tool you are relying on. Examining also the practices of the third country’s public authorities will allow you to verify if the safeguards contained in the transfer tool can ensure, in practice, the effective protection of the personal data transferred. Examining these practices will be especially relevant for your assessment where:

(i) legislation in the third country formally meeting EU standards is manifestly not applied/complied with in practice;

(ii) there are practices incompatible with the commitments of the transfer tool where relevant legislation in the third country is lacking;

(iii) your transferred data and/or importer fall or might fall within the scope of problematic legislation (i.e. impinging on the transfer tool’s contractual guarantee of an essentially equivalent level of protection and not meeting EU standards on fundamental rights, necessity and proportionality).

In the first two situations, you will have to suspend the transfer or implement adequate supplementary measures if you wish to proceed with it.

In the third situation, in light of uncertainties surrounding the potential application of problematic legislation to your transfer, you may decide to: suspend the transfer; implement supplementary measures to proceed with it; or alternatively, you may decide to proceed with the transfer without implementing supplementary measures if you consider and are able to demonstrate and document that you have no reason to believe that relevant and problematic legislation will be interpreted and/or applied in practice so as to cover your transferred data and importer. For evaluating the elements to be taken into account when assessing the law of a third country dealing with access to data by public authorities for the purpose of surveillance, please refer to the EDPB European Essential Guarantees recommendations. You should conduct this assessment with due diligence and document it thoroughly. Your competent supervisory and/or judicial authorities may request it and hold you accountable for any decision you take on that basis.

A fourth step is to identify and adopt supplementary measures that are necessary to bring the level of protection of the data transferred up to the EU standard of essential equivalence. This step is only necessary if your assessment reveals that the third country legislation and/or practices impinge on the effectiveness of the Article 46 GDPR transfer tool you are relying on or you intend to rely on in the context of your transfer. These recommendations contain (in Annex 2) a non-exhaustive list of examples of supplementary measures with some of the conditions they would require to be effective. As is the case for the appropriate safeguards contained in the Article 46 transfer tools, some supplementary measures may be effective in some countries, but not necessarily in others. You will be responsible for assessing their effectiveness in the context of the transfer, and in light of the third country law and practices and the transfer tool you are relying on, as you will be held accountable for any decision you take on that basis. This might also require you to combine several supplementary measures. You may ultimately find that no supplementary measure can ensure an essentially equivalent level of protection for your specific transfer. In those cases where no supplementary measure is suitable, you must avoid, suspend or terminate the transfer to avoid compromising the level of protection of the personal data. You should also conduct this assessment of supplementary measures with due diligence and document it.

A fifth step is to take any formal procedural steps the adoption of your supplementary measure may require, depending on the Article 46 GDPR transfer tool you are relying on. These recommendations specify some of these formalities. You may need to consult your competent supervisory authorities on some of them.

The sixth and final step is to re-evaluate at appropriate intervals the level of protection afforded to the personal data you transfer to third countries and to monitor if there have been or there will be any developments that may affect it. The principle of accountability requires continuous vigilance of the level of protection of personal data.

Supervisory authorities will continue exercising their mandate to monitor the application of the GDPR and enforce it. Supervisory authorities will pay due consideration to the actions exporters take to ensure that the data they transfer is afforded an essentially equivalent level of protection. As the Court recalls, supervisory authorities will suspend or prohibit data transfers in those cases where they find that an essentially equivalent level of protection cannot be ensured, following an investigation or a complaint. Supervisory authorities will continue developing guidance for exporters and coordinating their actions in the EDPB to ensure consistency in the application of EU data protection law.

Lien

Recommandations sur les garanties essentielles européennes pour les mesures de surveillance - 2/2020 (10 novembre 2020)

1. À la suite de l’arrêt Schrems I, les autorités de l’UE chargées de la protection des données réunies au sein du groupe de travail «Article 29» se sont appuyées sur la jurisprudence pour recenser les garanties essentielles européennes à respecter afin que les ingérences dans les droits fondamentaux au respect de la vie privée et à la protection des données par le biais de mesures de surveillance lors du transfert de données à caractère personnel n’aillent pas au-delà de ce qui est nécessaire et proportionné dans une société démocratique.

2. Le comité européen de la protection des données tient à souligner que les garanties essentielles européennes reposent sur la jurisprudence de la Cour de justice de l’Union européenne (ci-après la «CJUE») concernant les articles 7, 8, 47 et 52 de la Charte des droits fondamentaux de l’Union européenne (ci-après la «Charte») et, le cas échéant, sur la jurisprudence de la Cour européenne des droits de l’homme (ci-après la «CouEDH») relative à l’article 8 de la Convention européenne des droits de l’homme (ci-après la «CEDH») concernant les questions de surveillance dans les États parties à la CEDH 

3. La mise à jour du présent document vise à préciser davantage les garanties essentielles européennes élaborées à l’origine en réponse à l’arrêt Schrems I, en tenant compte des clarifications apportées par la CJUE (et par la CouEDH) depuis sa publication, notamment dans son arrêt phare Schrems II.

4. Dans son arrêt Schrems II, la CJUE a déclaré que l’examen de la décision 2010/87/UE de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, à la lumière des articles 7, 8 et 47 de la Charte, n’avait révélé aucun élément de nature à affecter la validité de cette décision, mais elle a invalidé la décision relative au « bouclier de protection des données» (ci-après la «décision BPD»). La CJUE a déclaré que la décision BPD était incompatible avec l’article 45, paragraphe 1, du RGPD, lu à la lumière des articles 7, 8 et 47 de la Charte. L’arrêt peut donc servir d’exemple lorsque des mesures de surveillance prises dans un pays tiers (en l’occurrence, les États-Unis, avec l’article 702 du FISA et le décret présidentiel nº 12 333) ne sont pas suffisamment limitées et ne sont pas susceptibles d’un recours effectif permettant aux personnes concernées de faire valoir leurs droits, comme l’exige le droit de l’Union pour considérer que le niveau de protection dans le pays tiers est «essentiellement équivalent» à celui qui est garanti dans l’Union, au sens de l’article 45, paragraphe 1, du RGPD.

5. Les raisons de l’invalidation du bouclier de protection des données ont également eu des conséquences sur d’autres outils de transfert. Bien que la Cour ait interprété l’article 46, paragraphe 1, du RGPD dans le contexte de la validité des clauses contractuelles types (ci-après les «CCT»), son interprétation s’applique à tout transfert vers des pays tiers au moyen de l’un des outils visés à l’article 46 du RGPD.

6. En dernier ressort, il appartient à la CJUE de juger si des ingérences dans un droit fondamental peuvent être justifiées. Toutefois, en l’absence d’un tel jugement et conformément à la jurisprudence actuelle, les autorités chargées de la protection des données sont tenues d’évaluer les cas individuels, soit d’office, soit à la suite d’une plainte, et de renvoyer l’affaire devant une juridiction nationale si elles soupçonnent que le transfert n’est pas conforme à l’article 45 dans le cas d’une décision d’adéquation, ou de suspendre ou interdire le transfert si elles estiment qu’il n’est pas possible de respecter l’article 46 du RGPD et que la protection des données transférées que requiert le droit de l’Union ne peut pas être assurée par d’autres moyens.

7. Les garanties essentielles européennes mises à jour ont pour but de fournir des éléments permettant de déterminer si des mesures de surveillance autorisant l’accès d’autorités publiques d’un pays tiers à des données à caractère personnel, qu’il s’agisse d’agences de sécurité nationale ou d’autorités répressives, peuvent être considérées comme une ingérence justifiable ou non.

8. En effet, les garanties essentielles européennes font partie de l’évaluation à réaliser afin de déterminer si un pays tiers offre un niveau de protection essentiellement équivalent à celui qui est garanti au sein de l’Union, mais elles n’ont pas en soi pour objectif de définir tous les éléments. nécessaires pour considérer qu’un pays tiers offre ce niveau de protection conformément à l’article 45 du RGPD. De même, elles ne visent pas, en soi, à définir tous les éléments qu’il conviendrait de prendre en considération pour apprécier si le régime juridique d’un pays tiers empêche l’exportateur et l’importateur des données de fournir des garanties appropriées conformément à l’article 46 du RGPD.

9. Par conséquent, les éléments décrits dans le présent document devraient être considérés comme étant les garanties essentielles qui doivent être trouvées dans le pays tiers lors de l’évaluation de l’ingérence, découlant des mesures de surveillance dudit pays, dans les droits au respect de la vie privée et à la protection des données, plutôt que comme une liste d’éléments visant à démontrer que le régime juridique d’un pays tiers dans son ensemble assure un niveau de protection essentiellement équivalent.

10. L’article 6, paragraphe 3, du traité sur l’Union européenne dispose que les droits fondamentaux énoncés dans la CEDH constituent des principes généraux du droit de l’Union. Toutefois, comme le rappelle la CJUE dans sa jurisprudence, la CEDH ne constitue pas, tant que l’Union n’y a pas adhéré, un instrument juridique formellement intégré à l’ordre juridique de l’Union. Dès lors, le niveau de protection des droits fondamentaux exigé par l’article 46, paragraphe 1, du RGPD doit être déterminé sur la base des dispositions dudit règlement, lues à la lumière des droits fondamentaux consacrés par la Charte. Cela étant, conformément à l’article 52, paragraphe 3, de la Charte, les droits contenus dans cette dernière et les droits correspondants garantis par la CEDH doivent avoir la même signification et la même portée que ceux énoncés dans ladite convention et, partant, comme l’a rappelé la CJUE, il convient de tenir compte de la jurisprudence de la CouEDH relative aux droits déjà prévus dans la Charte des droits fondamentaux de l’Union européenne en tant que seuil de protection minimale en vue de l’interprétation des droits correspondants de la Charte . Toutefois, conformément à l’article 52, paragraphe 3, dernière phrase, de la Charte, «[c]ette disposition ne fait pas obstacle à ce que le droit de l’Union accorde une protection plus étendue».

11. Dès lors, la teneur des garanties essentielles continuera de s’appuyer en partie sur la jurisprudence de la CouEDH, dans la mesure où la Charte telle qu’interprétée par la CJUE n’offre pas un niveau de protection supérieur imposant d’autres exigences que la jurisprudence de la CouEDH.

12. Le présent document situe le contexte et précise les quatre garanties essentielles européennes

Lien

Guidelines on articles 46.2.a and 46.3.b of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies - 2/2020 (15 décembre 2020)

This document seeks to provide guidance as to the application of Articles 46 (2) (a) and 46 (3) (b) of the General Data Protection Regulation (GDPR) on transfers of personal data from EEA public authorities or bodies (hereafter “public bodies”) to public bodies in third countries or to international organisations, to the extent that these are not covered by an adequacy finding adopted by the European Commission . Public bodies may choose to use these mechanisms, which the GDPR considers more appropriate to their situation, but are also free to rely on other relevant tools providing for appropriate safeguards in accordance with Article 46 GDPR.

The guidelines are intended to give an indication as to the expectations of the European Data Protection Board (EDPB) on the safeguards required to be put in place by a legally binding and enforceable instrument between public bodies pursuant to Article 46 (2) (a) GDPR or, subject to authorisation from the competent supervisory authority (SA), by provisions to be inserted into administrative arrangements between public bodies pursuant to Article 46 (3) (b) GDPR. The EDPB strongly recommends parties to use the guidelines as a reference at an early stage when envisaging concluding or amending such instruments or arrangements.

The guidelines are to be read in conjunction with other previous work done by the EDPB (including endorsed documents by its predecessor, the Article 29 Working Party (“WP29”)) on the central questions of territorial scope and transfers of personal data to third countries . The guidelines will be reviewed and if necessary updated, based on the practical experience gained from the application of the GDPR.

The present guidelines cover international data transfers between public bodies occurring for various administrative cooperation purposes falling within the scope of the GDPR. As a consequence and in accordance with Article 2 (2) of the GDPR, they do not cover transfers in the area of public security, defence or state security. In addition, they do not deal with data processing and transfers by competent authorities for criminal law enforcement purposes, since this is governed by a separate specific instrument, the law enforcement Directive . Finally, the guidelines only focus on transfers between public bodies and do not cover transfers of personal data from a public body to a private entity or from a private entity to a public body.

Lien (anglais)

The New standard contractual clauses - Questions ans answers

On 4 June 2021, the European Commission adopted two sets of standard contractual clauses, one for the use between controllers and processors within the European Economic Area1 (EEA) and one for the transfer of personal data to countries outside of the EEA. The purpose of these Q&As is to provide practical guidance on the use of the SCCs to assist stakeholders with their compliance efforts. The information in this document does not constitute legal advice. Instead, it is provided for general informational purposes only. The monitoring and enforcement of compliance with EU data protection law by controllers and processors falls within the competence of the national supervisory authorities and courts. The list and contact details of national data protection authorities in the EEA is available here: https://edpb.europa.eu/about-edpb/about-edpb/members_en.

These Q&As are based on feedback received from various stakeholders on their experience with using the new SCCs in the first months after their adoption. This page is intended to be a ‘dynamic’ source of information and its content will be updated as new questions arise.

Link

Guidelines 07/2022 on certification as a tool for transfers (14 Février 2023) (Anglais)

The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR).

These guidelines provide guidance as to the application of Article 46 (2) (f) of the GDPR on transfers of personal data to third countries or to international organisations on the basis of certification. The document is structured in four sections with an Annex.

Part one of this document ("GENERAL") clarifies that the guidelines supplement the already existing general Guidelines 1/2018 on certification and addresses specific requirements from Chapter V of the GDPR when certification is used as a transfer tool. According to Article 44 of the GDPR, any transfer of personal data to third countries or international organisations, must meet the conditions of the other provisions of the GDPR in addition to complying with Chapter V of the GDPR. Therefore, as a first step, compliance with the general provisions of the GDPR must be ensured and, as a second step, the provisions of Chapter V of the GDPR must be complied with. The actors who are involved and their core roles in this context are described, with a special focus on the role of the data importer who will be granted a certification and of the data exporter who will use it as a tool to frame its transfers (considering that the responsibility for data processing compliance remains with the data exporter). In this context the certification can also include measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Part one of the guidelines also contains information on the process for obtaining a certification to be used as tool for transfers.

The second part of these guidelines (“IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS”) recalls that the requirements for accreditation of a certification body are to be found in ISO 17065 and by interpreting the Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the GDPR and its Annex against the background of Chapter V. However, in the context of a transfer, these guidelines further explain some of the accreditation requirements applicable to the certification body.

The third part of these guidelines ("SPECIFIC CERTIFICATION CRITERIA") provides for guidance on the certification criteria already listed in Guidelines 1/2018 and establishes additional specific criteria that should be included in a certification mechanism to be used as a tool for transfers to third countries. These criteria cover the assessment of the third country legislation, the general obligations of exporters and importers, rules on onward transfers, redress and enforcement, process and actions for situations in which national legislation and practices prevents compliance with commitments taken as part of certification and requests for data access by third country authorities.

Part four of these guidelines (“BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED“) provides elements that should be addressed in the binding and enforceable commitments that controllers or processors not subject to the GDPR should take for the purpose of providing appropriate safeguards to data transferred to third countries. These commitments, which may be set out in different instruments including contracts, shall in particular include a warranty that the importer has no reason to believe that the laws and practices in the third country applicable to the processing at stake, including any requirements to disclose personal data or measures authorising access by public authorities, prevent it from fulfilling its commitments under the certification.

The ANNEX of these guidelines contains some examples of supplementary measures in line with those listed in Annex II Recommendations 01/2020 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) in the context of the use of a certification as a tool for transfers. Examples are constructed with a view to raise attention to critical situations.

Link

Commission européenne

Décision d’exécution (UE) de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil - 2021/914 (4 juin 2021)

Les modèles de clauses contractuelles types sont toujours d’actualité et ont été mis à jour par la Commission européenne le 4 juin 2021.

Lien

Statement on the announcement of an agreement in principle on a new Trans-Atlantic Data Privacy Framework - 1/2022 (6 April 2022)

The EDPB welcomes the announcement of a political agreement in principle between the European Commission and the United States on 25 March on a new Trans-Atlantic Data Privacy Framework. This announcement is made at a time where transfers from the European Economic Area to the U.S. face significant challenges. The commitment of the U.S. highest authorities to establish ‘unprecedented’ measures to protect the privacy and personal data of individuals in the European Economic Area (EEA individuals) when their data are transferred to the U.S. is a positive first step in the right direction. The EDPB will examine how this political agreement translates into concrete legal proposals to address the concerns raised by the Court of Justice of the European Union (CJEU) in order to provide legal certainty to EEA individuals and exporters of data. At this stage, this announcement does not constitute a legal framework on which data exporters can base their data transfers to the United States. Data exporters must therefore continue taking the actions required to comply with the case law of the CJEU, and in particular its Schrems II decision of 16 July 2020. The GDPR requires that the Commission seeks an opinion of the EDPB before adopting a possible new adequacy decision recognising as satisfactory the level of data protection guaranteed by the U.S. authorities. The EDPB looks forward to assessing carefully the improvements that a new Trans-Atlantic Data Privacy Framework may bring in the light of EU law, the case-law of the CJEU and the recommendations the EDPB made on that basis. The EDPB will prepare its opinion when it receives from the European Commission all supporting documents. In particular, the EDPB will analyse in detail how these reforms ensure that the collection of personal data for national security purposes is limited to what is strictly necessary and proportionate. The EDPB will also examine to what extent the announced independent redress mechanism respects the EEA individuals’ right to an effective remedy and to a fair trial. In particular, the EDPB will look at whether any new authority part of this mechanism has access to relevant information, including personal data, when exercising its mission and can adopt decisions binding on the intelligence services. The EDPB will also consider whether there is a judicial remedy against this authority’s decisions or inaction. The EDPB remains committed to playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA individuals and organisations. The EDPB stands ready to provide the European Commission with support to help it build, together with the U.S., a new framework that fully complies with EU data protection law.

Link

Retour au sommaire

Groupe 29

Working document on Adequacy Referential - wp254rev.01 (6 February 2018)

The Working Party of EU Data Protection Authorities (the WP29) has previously published a Working Document on transfers of personal data to third countries (WP12). With the replacement of the Directive by the EU General Data Protection Regulation (GDPR), WP29 is revisiting WP12, its earlier guidance, to update it in the context of the new legislation and recent case law of the European Court of Justice (CJEU).

This working document seeks to update Chapter One of WP12 relating to the central question of adequate level of data protection in a third country, a territory or one or more specified sectors within that third country or in an international organization (hereafter: "third countries or international organizations"). This document will be continuously reviewed and if necessary updated in the coming years, based on the practical experience gained through the application of the GDPR. Chapters 2 (Applying the approach to countries that have ratified Convention 108) and 3 (Applying the approach to industry self-regulation) of the WP12 document should be updated at a later stage.

This working paper is focused solely on adequacy decisions, which are implementing acts of the European Commission, according to article 45 of the GDPR. Other aspects of transfers of personal data to third countries and international organizations will be examined in following working papers that will be published separately (BCRs, derogations).

This document aims to provide guidance to the European Commission and the WP29 under the GDPR for the assessment of the level of data protection in third countries and international organizations by establishing the core data protection principles that have to be present in a third country legal framework or an international organization in order to ensure essential equivalence with the EU framework. In addition, it may guide third countries and international organizations interested in obtaining adequacy.

However, the principles set out in this working document are not addressed directly to data controllers or data processors.

The present document consists of 4 Chapters:
Chapter 1: Some broad information in relation to the concept on adequacy
Chapter 2: Procedural aspects for adequacy findings under the GDPR
Chapter 3: General Data Protection Principles. This chapter includes the core general data protection principles to ensure that the level of data protection in a third country or international organization is essentially equivalent to the one established by the EU legislation.
Chapter 4: Essential guarantees for law enforcement and national security access to limit the interferences to fundamental rights. This Chapter includes the essential guarantees for law enforcement and national security access following the CJEU Schrems judgment in 2015 and based on the Essential Guarantees WP29 working document adopted in 2016.

Link

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-101/01 (6 novembre 2003) - Procédure pénale contre Bodil Lindqvist

1) L’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe‑temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l’article 3, paragraphe 1, de la directive 95/46 /CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

2) Un tel traitement de données à caractère personnel ne relève d’aucune des exceptions figurant à l’article 3, paragraphe 2, de la directive 95/46.

3) L’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, paragraphe 1, de la directive 95/46.

4) Il n’existe pas de «transfert vers un pays tiers de données» au sens de l’article 25 de la directive 95/46 lorsqu’une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d’une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.

5) Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d’expression ou à d’autres droits et libertés applicables dans l’Union européenne et correspondant notamment à l’article 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950. Il appartient aux autorités et aux juridictions nationales chargées d’appliquer la réglementation nationale transposant la directive 95/46 d’assurer un juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par l’ordre juridique communautaire.

6) Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu’à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s’oppose à ce qu’un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle.

Conclusions de l'Avocat général

Arrêt rendu

C-311/18 (16 juillet 2020) - Facebook Ireland et Schrems

1)   L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

2)   L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.

3)   L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.

4)   L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.

5)   La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.

Conclusions de l'avocat général

Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

CE  Be., n°251378 (19 aout 2021)

Le Conseil d'État a conclu que le dossier révèle l’existence d’un ensemble de garanties dont le détail n’est pas fourni mais qui comprend au minimum un cryptage complet avant que les données soient confiées au prestataire de services, avec conservation en interne des clés de cryptage.

Arret rendu (néérlandias)

Retour au sommaire

France

Jurisprudence française

CE Fr., n°424216 (19 juillet 2019)

1. Il résulte clairement de l'article 96 RGPD que les auteurs du règlement ont entièrement déterminé les conditions de la relation entre le droit de l'Union européenne et les accords conclus antérieurement à sa signature qui impliquent le transfert de données personnelles vers des Etats tiers. Il y a lieu, pour l'application de cet article, de rechercher, dans un premier temps, si l'accord bilatéral du 14 novembre 2013 respecte les dispositions du RGPD, qui sont d'effet direct, et seulement dans l'hypothèse où tel ne serait pas le cas, de vérifier, dans un second temps, si cet accord respecte le droit de l'Union européenne tel qu'il était applicable avant la signature du règlement.

2. Il s'ensuit qu'au regard des garanties spécifiques dont l'accord du 14 novembre 2013 entoure le traitement litigieux et du niveau de protection garanti par la législation applicable aux Etats-Unis en matière de protection des données personnelles permettant d'établir la situation fiscale des contribuables, le moyen tiré de la méconnaissance de l'article 46 du règlement du 27 avril 2016 doit être écarté.

A la différence de l'affaire Maximillian Schrems dans laquelle la CJUE a, par un arrêt du 6 octobre 2015 (C-362/14), statué sur une contestation d'une décision d'adéquation de la Commission, l'objet du présent litige porte, à titre principal, sur l'interprétation du contenu de l'accord bilatéral du 14 novembre 2013 et sur sa compatibilité avec le RGPD. En l'état des moyens invoqués par l'association requérante, l'interprétation des dispositions invoquées du règlement de l'Union européenne s'impose avec une évidence telle qu'elle ne laisse place à aucun doute raisonnable, conformément aux principes dégagés par la Cour de justice des Communautés européenne dans son arrêt Srl Cilfit et Lanificio di Gavardo SpA en date du 6 octobre 1982 (C-283/81, point 16). Enfin, en tant que le litige implique une interprétation du contenu de certaines stipulations de l'accord du 14 novembre 2013 par le Conseil d'Etat, cette interprétation ne pose pas en elle-même une question ayant trait au droit de l'Union européenne et ne justifie pas le renvoi d'une question préjudicielle à la CJUE.

Arrêt rendu

CE Fr., n°450163 (12 mars 2021)

1. Pour les besoins de l'hébergement de ses données, la société Doctolib a recours aux prestations de la société de droit luxembourgeois AWS Sarl, filiale de la société américaine Amazon Web Services Inc. L'association InterHop et les autres requérants font valoir les risques que cette situation comporte au regard du droit au respect de la vie privée, compte tenu de possibles transferts de données vers les Etats-Unis. Si la société AWS est certifiée " hébergeur de données de santé " en application de l'article L. 1111-8 du code de la santé publique, que les données traitées par la société AWS sont hébergées dans des centres de données situés en France et en Allemagne et que le contrat conclu entre la société Doctolib et AWS ne prévoit pas le transfert de données pour des raisons techniques aux Etats-Unis, l'association InterHop et les autres requérants font valoir que, du fait de sa qualité de filiale d'une société de droit américain, la société AWS peut faire l'objet de demandes d'accès à certaines données de santé par les autorités américaines, dans le cadre de programmes de surveillance fondés sur l'article 702 du FISA ou sur l'EO 12333. En faisant application aux relations entre responsable du traitement et sous-traitant des critères appliqués par la Cour de justice dans son arrêt du 16 juillet 2020, il convient de vérifier le niveau de protection assuré lors du traitement des données en prenant en considération non seulement les stipulations contractuelles convenues entre le responsable du traitement et son sous-traitant, mais aussi, en cas de soumission de ce sous-traitant au droit d'un Etat tiers, les éléments pertinents du système juridique de celui-ci.

2. Il résulte de l'instruction que, pour accélérer la campagne de vaccination contre la Covid-19, la gestion de prise de rendez-vous de vaccination est assurée par trois sociétés différentes, dont la société Doctolib. Les données litigieuses comprennent les données d'identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d'éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l'honneur qu'elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier. Ces données sont supprimées au plus tard à l'issue d'un délai de trois mois à compter de la date de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne. La société Doctolib et la société AWS ont conclu un addendum complémentaire sur le traitement des données instaurant une procédure précise en cas de demandes d'accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne. La société Doctolib a également mis en place un dispositif de sécurisation des données hébergées par la société AWS par le biais d'une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d'empêcher la lecture des données par des tiers. Eu égard à ces garanties et aux données concernées, le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants. Si l'association requérante a également invoqué des risques liés au recours à d'autres prestataires qu'AWS, il ne résulte pas de l'instruction que ces prestataires interviendraient dans l'hébergement des données en litige. Ainsi, et sans qu'il soit besoin de saisir la Commission nationale de l'informatique et des libertés d'une demande d'avis, il n'apparaît pas, en l'état de l'instruction, que la décision du ministre des solidarités et de la santé de confier à la société Doctolib, parmi d'autres voies possibles de réservation de rendez-vous, la gestion de rendez-vous de vaccination contre la Covid-19 porte une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 46

1. En l'absence de décision en vertu de l'article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d'une autorité de contrôle, par:

a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

b) des règles d'entreprise contraignantes conformément à l'article 47;

c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;

d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;

e) un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou

f) un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale; ou

b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

4. L'autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l'article 63 dans les cas visés au paragraphe 3 du présent article.

5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.

Proposition 1 close

1. Lorsque la Commission n'a pas adopté de décision en vertu l’article 41, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.

2. Les garanties appropriées visées au paragraphe 1 sont notamment fournies par:

a) des règles d'entreprise contraignantes conformes à l'article 43;

ou b) des clauses types de protection des données adoptées par la Commission. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2;

ou c) des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 57, lorsque la Commission a constaté leur applicabilité générale conformément à l'article 62, paragraphe 1, point b);

ou d) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4.

3. Un transfert effectué en vertu de clauses types de protection des données ou de règles d'entreprise contraignantes telles que celles visés au paragraphe 2, points a), b) ou c), ne nécessite pas d'autre autorisation.

4. Lorsqu'un transfert est effectué en vertu de clauses contractuelles telles que celles visées au paragraphe 2, point d), le responsable du traitement ou le sous-traitant doit avoir obtenu l'autorisation préalable des clauses contractuelles par l’autorité de contrôle conformément à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57.

5. Lorsque les garanties appropriées quant à la protection de données à caractère personnel ne sont pas prévues dans un instrument juridiquement contraignant, le responsable du traitement ou le sous-traitant doit obtenir l'autorisation préalable du transfert ou d'un ensemble de transferts, ou de dispositions à insérer dans un régime administratif constituant le fondement du transfert. Une autorisation de cette nature accordée par l'autorité de contrôle doit être conforme à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57. Les autorisations accordées par une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation par la même autorité de contrôle.

Proposition 2 close

1. Faute de décision au titre de l'article 41, paragraphe 3, le transfert de données à caractère personnel à (...) un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées, couvrant également les transferts ultérieurs (…).

2. Les garanties appropriées visées au paragraphe 1 peuvent notamment être fournies (...), sans que cela n'exige une autorisation particulière d'une autorité de contrôle, par:

a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

a) les règles d'entreprise contraignantes visées à l'article 43;

ou b) des clauses types de protection des données adoptées par la Commission (…) conformément à la procédure d'examen prévue à l'article 87, paragraphe 2;

ou c) des clauses types de protection des données adoptées par une autorité de contrôle (...) et adoptées par la Commission conformément à la procédure d'examen prévue à l'article 87, paragraphe 2;

d) un code de conduite approuvé conformément à l'article 38, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant (…) dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée;

ou e) un mécanisme de certification approuvé conformément à l'article 39, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant (…) dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée.

2 bis. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi notamment être fournies par:

a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données (...) dans le pays tiers ou l'organisation internationale;

ou b) (…)

c) (…)

d) des dispositions à intégrer dans des arrangements administratifs entre autorités ou organismes publics (...).

3. (…)

4. (…)

5. (…)

5 bis. L'autorité de contrôle applique le mécanisme de contrôle de la cohérence dans les cas visés à l'article 57, paragraphe 2, points c bis), d), e) et f).

5 ter. Les autorisations accordées par un État membre ou une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation par la même autorité de contrôle. Les décisions adoptées par la Commission en vertu de l'article 26, paragraphe 4, (...) de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément aux dispositions du paragraphe 2.

Directive close

Art. 26

2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

3. L'État membre informe la Commission et les autres États membres des autorisations qu'il accorde en application du paragraphe 2.

En cas d'opposition exprimée par un autre État membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l'article 31 paragraphe 2.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

4. Lorsque la Commission décide, conformément à la procédure prévue à l'article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

Aucune disposition spécifique

Ancienne loi close

Art. 22.

(…)

Sans préjudice des dispositions de l'alinéa précédent, le Roi peut, après avis de la Commission de la protection de la vie privée, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

close