Article 44
Principe général applicable aux transferts

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 44 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 44 keyboard_arrow_up

(6) L'évolution rapide des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. L’ampleur de la collecte et du partage de données à caractère personnel a augmenté de manière importante. Les technologies permettent tant aux entreprises privées qu'aux autorités publiques d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus, les personnes physiques rendent des informations les concernant accessibles publiquement et à un niveau mondial. Les technologies ont transformé à la fois l'économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 44.

Le GDPR

L’article 44 a pour objet d’énoncer le principe général régissant les transferts vers les pays ou organisations internationales tiers à l’UE. Ces transferts peuvent seulement avoir lieu si les responsables et sous-traitants qui tombent sous le champ du Règlement respectent les règles prévues par le Chapitre V.

La disposition donne cependant à la règle une extension inédite : non seulement les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale opérés dans le cadre d’un traitement en cours ou prévu sont visés , mais aussi les traitements ultérieurs du pays tiers destinataire vers un autre pays ou une autre organisation. Ils doivent donc aussi être conformes au chapitre V. du Règlement. Autrement dit encore, par cette disposition, le Règlement met en place une espèce de « droit de suite » spécifique à la protection des données : les données transférées hors Union restent soumises au droit de l’Union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.

La notion d’organisation internationale, définie à l’article 4, 26) du Règlement vise une organisation internationale et ses organismes de droit public qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux ou plusieurs pays, ou dont la création est fondée sur un tel accord.

Cette disposition a été réintroduite par la version finale du Règlement, après avoir été supprimée de la seconde proposition de Règlement. Le but, inscrit dans la disposition, est que le niveau de protection des personnes concernées garanti par le Règlement ne soit pas amoindri.

La Directive

La Directive ne comprenait pas de disposition similaire.

Difficultés probables ?

L’extension de l’application territoriale aux traitements poursuivis en dehors du territoire de l’Union, par des responsables et sous-traitants destinataires établis hors UE a des implications tant politiques que juridiques.

Politiquement, la disposition permet aux autorités européennes d’intervenir et de constater des violations du Règlement hors UE en arguant d’une base de légitimité nouvelle inscrite dans le Règlement. Elle peut donc utiliser plus facilement l’argument de la protection des données dans différents dossiers ou négociations afin d’obtenir un avantage.

Juridiquement, il va de soi que la disposition pourra être ressentie par les pays tiers comme une atteinte à leur souveraineté puisqu’elle impose une règle nouvelle sur leur territoire et une limitation de la liberté de traitement. Les pouvoirs de contrôle et de coercition des autorités UE et des États membres ne peuvent bien entendu pas être exercés en dehors du territoire de l’UE.

Il faut toutefois bien prendre la mesure de la différence avec les autres règles permettant une application du Règlement à des responsables établis en dehors du territoire de l’UE (cfr article 3). Il s’agit ici d’une soumission indirecte puisque seuls les responsables et sous-traitants, qui sont soumis aux autres dispositions du Règlement en vertu de l’article 3, doivent respecter l’article 44 et partant, le chapitre V. Pas le destinataire des données transférées. Ni d’ailleurs la personne concernée par les données qui serait à l’origine du transfert.

Jurisprudence de la CJUE

C-311/18 (16 juillet 2020)

1)   L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

2)   L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.

3)   L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.

4)   L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.

5)   La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.

Conclusions de l'avocat général

Arrêt rendu

Règlement
1e 2e

Art. 44

Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.

Proposition 1 close

Un transfert de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions énoncées dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale.

Proposition 2 close

 Supprimé dans la deuxième proposition

Directive close

Pas de disposition correspondante

Décret d'application. 

Voir TITRE VIII du Décret pris pour l'application de la loi n°78-17 du 6 janvier 1978. 

Ancienne loi close

Pas de disposition correspondante

close