Article 46
Transferts moyennant des garanties appropriées

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 46 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 46 keyboard_arrow_up

(105) Outre les engagements internationaux pris par le pays tiers ou l'organisation internationale, la Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de l'organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection des données à caractère personnel, ainsi que de la mise en oeuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Lorsqu’elle évalue le niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité.

(108) En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

(109) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient compléter les clauses types de protection.

(110) Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

(114) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat du niveau de protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent aux personnes concernées des droits opposables et effectifs en ce qui concerne le traitement de leurs données dans l'Union une fois que ces données ont été transférées, de façon à ce que lesdites personnes continuent de bénéficier des droits fondamentaux et des garanties.

Afficher les considérants de la Directive 95/46 liés à l'article 46 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 46 keyboard_arrow_up

(59) considérant que des mesures particulières peuvent être prises pour pallier l'insuffisance du niveau de protection dans un pays tiers lorsque le responsable du traitement présente des garanties appropriées; que, en outre, des procédures de négociation entre la Communauté et les pays tiers en cause doivent être prévues;

Le GDPR

L’article 46 du Règlement reprend et détaille l’exception prévue à l’article 26.2. de la Directive, en cas de garanties suffisantes prises par le responsable ou sous-traitant et en l’absence d’une décision de la Commission constatant un niveau de protection adéquat. On rappelle encore ici qu’il ne revient donc plus au responsable ou sous-traitant d’apprécier ce niveau. En cas d’absence d’une telle décision, il doit remplir les conditions d’une telle exception (ou d’une de celles reprises aux articles 47 et 49).

La version finale du Règlement complète le 1er paragraphe de l’article 46 en ajoutant que le transfert moyennant des garanties appropriées n’est autorisé qu’à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

La mise en place des mesures énumérées à l’article 46, § 2 s’opère sans autorisation de l’autorité de contrôle ; il peut s’agir :

- d’un instrument juridiquement contraignant et exécutoire entre autorités ou organismes publics (a) ; ou

- de règles d'entreprise contraignantes (b) conformes à l’article 47. Le considérant 110 ajoute que ces règles d'entreprise doivent inclure les principes essentiels et les droits opposables fournissant des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel ; ou

-de clauses contractuelles types de protection des données adoptées par la Commission (c)) ou conjointement par une autorité de contrôle et par la Commission (d) ; ou

- d’ un code de conduite approuvé conformément à l’article 40 qui comprend l’engagement contraignant et exécutoire du responsable ou de son sous-traitant d’appliquer dans le pays de destination les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée (e).

- d’un mécanisme de certification au sens de l’article 42 attestant de la conformité du traitement aux règles de l’Union (f)).

Le paragraphe 3 détaille d’autres mesures pour lesquelles l’autorisation préalable de l’autorité de contrôle compétente est indispensable. Dans ces cas, l’autorité de contrôle doit respecter le mécanisme de cohérence défini à l’article 64, qui implique de solliciter l’avis du Comité européen de la protection des données (cfr. 64 (1), e)).

On vise ici :

- des clauses contractuelles qui n’auraient pas fait l’objet d’une adoption préalable par la Commission ou une autorité de contrôle nationale, conclues entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données  dans le pays tiers ou l'organisation internationale (art. 46, § 3 a)) ; ou

- des dispositions particulières insérées dans des arrangements administratifs entre autorités et organismes publics (art. 46, § 3 b)). La version finale du Règlement précise que ces arrangements doivent garantir l’effectivité des droits reconnus aux personnes concernées.

Enfin, le paragraphe 5 indique que les autorisations délivrées par un État membre ou une autorité de contrôle sous l’empire de la Directive restent valables jusqu’à leur modification, révision ou abrogation par la même autorité de contrôle. Il en va de même des décisions de la commission prises en vertu de l’article 26, § 4 de la Directive.

La Directive

La Directive prévoyait diverses exceptions à l’interdiction de traitement qui résultait de l’absence d’un niveau de protection adéquat.

L’une d’elles est prévue à l’article 26.2. et s’applique lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants. Cette dérogation implique que le responsable ait pris des mesures particulières pour pallier l'insuffisance du niveau de protection du pays de destination des données à caractère personnel.

Selon l’article 26.2 de la Directive, ces garanties appropriées peuvent notamment résulter de clauses contractuelles appropriées. Des clauses contractuelles types ont donc été développées pour encadrer les transferts de données hors de l’UE en contractualisant les règles de protection contenues dans la Directive. Des modèles ont ensuite été adoptés par la Commission européenne conformément à l’article 26, § 4 de la Directive. En effet, cette disposition conférait à la Commission le pouvoir de constater, par voie de décision, que certaines clauses contractuelles types présentaient des garanties suffisantes, ce qui obligeait alors les États membres à autoriser les transferts fondés sur ces clauses contractuelles types. La décision de la Commission devait être adoptée conformément à la procédure prévue à l’article 31, paragraphe 2, prévoyant la saisine du Comité de l’article 31 (voir notamment les décisions 2001/497/CE ; 2002/16/CE ; 2004/915/CE ; 2010/87/UE).

Une alternative aux clauses contractuelles types a vu le jour à partir de 2003 : les règles internes d’entreprises (dites Binding Corporate Rules). Bien que sceptique dans un premier temps, c’est le Groupe Article 29 qui a développé ce système dans son document de travail WP 74 du 3 juin 2003 (par le Groupe article 29, dans son document de travail WP 74 du 3 juin 2003 (Document de travail WP 74: Transferts de données personnelles vers des pays tiers Application de l’article 26 (2) de la Directive). Il s’agit d’une alternative globale et unique qui permet d’encadrer l’ensemble des transferts des données au sein d’un groupe de sociétés, sans vérifier systématiquement le fondement légal du transfert (cfr. le commentaire de l’article 43 relatif aux règles d’entreprise contraignantes).

France

L’exception reposant sur l’adoption de garanties suffisantes a été introduite en droit français par l’article 69 de la Loi Informatique et Libertés. Cette disposition ne fournit toutefois que peu d’informations sur les mesures concrètes à prendre par le responsable pour fournir des garanties suffisantes. Aux termes de l’article 69 de la loi française, la CNIL peut autoriser le transfert, après avoir constaté l’existence de garanties suffisantes encadrant le transfert, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet.

La CNIL met d’ailleurs à disposition des modèles officiels de contrat de transfert adoptés par la Commission européenne sous la forme de clauses contractuelles types qui encadrent tantôt les transferts de données personnelles entre deux responsables de traitement, tantôt les transferts de données personnelles entre un responsable de traitement et un sous-traitant.

Difficultés probables ?

Le nouveau système est sans conteste plus clair que le précédent : des garanties devront être prises en l’absence d’une décision d’adéquation de la Commission. Le choix des garanties s’étoffe et les autorités de contrôle nationales pourront intervenir dans une procédure encadrée si les garanties classiques ne peuvent être mises en œuvre pour des raisons propres au responsable ou au sous-traitant.

Bien entendu, une difficulté spécifique se poserait si le responsable ou le sous-traitant avait considéré en l’absence de prise de position officielle de la Commission que le destinataire se situait sur un territoire offrant un niveau de protection adéquat. Ils devront alors prendre une des mesures proposées pour être conformes au Règlement. 

Groupe 29

Comité européen de la protection des données (EDPB)

Guidelines 2/2020 on articles 46 (2) (a) and 46 (3) (b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (15 décembre 2020)

This document seeks to provide guidance as to the application of Articles 46 (2) (a) and 46 (3) (b) of the General Data Protection Regulation (GDPR) on transfers of personal data from EEA public authorities or bodies (hereafter “public bodies”) to public bodies in third countries or to international organisations, to the extent that these are not covered by an adequacy finding adopted by the European Commission . Public bodies may choose to use these mechanisms, which the GDPR considers more appropriate to their situation, but are also free to rely on other relevant tools providing for appropriate safeguards in accordance with Article 46 GDPR.

The guidelines are intended to give an indication as to the expectations of the European Data Protection Board (EDPB) on the safeguards required to be put in place by a legally binding and enforceable instrument between public bodies pursuant to Article 46 (2) (a) GDPR or, subject to authorisation from the competent supervisory authority (SA), by provisions to be inserted into administrative arrangements between public bodies pursuant to Article 46 (3) (b) GDPR. The EDPB strongly recommends parties to use the guidelines as a reference at an early stage when envisaging concluding or amending such instruments or arrangements.

The guidelines are to be read in conjunction with other previous work done by the EDPB (including endorsed documents by its predecessor, the Article 29 Working Party (“WP29”)) on the central questions of territorial scope and transfers of personal data to third countries . The guidelines will be reviewed and if necessary updated, based on the practical experience gained from the application of the GDPR.

The present guidelines cover international data transfers between public bodies occurring for various administrative cooperation purposes falling within the scope of the GDPR. As a consequence and in accordance with Article 2 (2) of the GDPR, they do not cover transfers in the area of public security, defence or state security. In addition, they do not deal with data processing and transfers by competent authorities for criminal law enforcement purposes, since this is governed by a separate specific instrument, the law enforcement Directive . Finally, the guidelines only focus on transfers between public bodies and do not cover transfers of personal data from a public body to a private entity or from a private entity to a public body.

Lien (anglais)

Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE (18 juin 2021), (anglais)

The EU General Data Protection Regulation (GDPR) was adopted to serve a dual-purpose: facilitating the free flow of personal data within the European Union, while preserving the fundamental rights and freedoms of individuals, in particular their right to the protection of personal data.

In its recent judgment C-311/18 (Schrems II) the Court of Justice of the European Union (CJEU) reminds us that the protection granted to personal data in the European Economic Area (EEA) must travel with the data wherever it goes. Transferring personal data to third countries cannot be a means to undermine or water down the protection it is afforded in the EEA. The Court also asserts this by clarifying that the level of protection in third countries does not need to be identical to that guaranteed within the EEA but essentially equivalent. The Court also upholds the validity of standard contractual clauses, as a transfer tool that may serve to ensure contractually an essentially equivalent level of protection for data transferred to third countries.

Standard contractual clauses and other transfer tools mentioned under Article 46 GDPR do not operate in a vacuum. The Court states that controllers or processors, acting as exporters, are responsible for verifying, on a case-by-case basis and, where appropriate, in collaboration with the importer in the third country, if the law or practice of the third country impinges on the effectiveness of the appropriate safeguards contained in the Article 46 GDPR transfer tools. In those cases, the Court still leaves open the possibility for exporters to implement supplementary measures that fill these gaps in the protection and bring it up to the level required by EU law. The Court does not specify which measures these could be. However, the Court underlines that exporters will need to identify them on a case-by-case basis. This is in line with the principle of accountability of Article 5.2 GDPR, which requires controllers to be responsible for, and be able to demonstrate compliance with the GDPR principles relating to processing of personal data.

To help exporters (be they controllers or processors, private entities or public bodies, processing personal data within the scope of application of the GDPR) with the complex task of assessing third countries and identifying appropriate supplementary measures where needed, the European Data Protection Board (EDPB) has adopted these recommendations. These recommendations provide exporters with a series of steps to follow, potential sources of information, and some examples of supplementary measures that could be put in place.

As a first step, the EDPB advises you, exporters, to know your transfers. Mapping all transfers of personal data to third countries can be a difficult exercise. Being aware of where the personal data goes is however necessary to ensure that it is afforded an essentially equivalent level of protection wherever it is processed. You must also verify that the data you transfer is adequate, relevant and limited to what is necessary in relation to the purposes for which it is processed.

A second step is to verify the transfer tool your transfer relies on, amongst those listed under Chapter V GDPR. If the European Commission has already declared the country, region or sector to which you are transferring the data as adequate, through one of its adequacy decisions under Article 45 GDPR or under the previous Directive 95/46 as long as the decision is still in force, you will not need to take any further steps, other than monitoring that the adequacy decision remains valid. In the absence of an adequacy decision, you need to rely on one of the transfer tools listed under Articles 46 GDPR. Only in some cases you may be able to rely on one of the derogations provided for in Article 49 GDPR if you meet the conditions. Derogations cannot become “the rule” in practice, but need to be restricted to specific situations.

A third step is to assess if there is anything in the law and/or practices in force of the third country that may impinge on the effectiveness of the appropriate safeguards of the transfer tools you are relying on, in the context of your specific transfer. Your assessment should be focused first and foremost on third country legislation that is relevant to your transfer and the Article 46 GDPR transfer tool you are relying on. Examining also the practices of the third country’s public authorities will allow you to verify if the safeguards contained in the transfer tool can ensure, in practice, the effective protection of the personal data transferred. Examining these practices will be especially relevant for your assessment where:

(i) legislation in the third country formally meeting EU standards is manifestly not applied/complied with in practice;

(ii) there are practices incompatible with the commitments of the transfer tool where relevant legislation in the third country is lacking;

(iii) your transferred data and/or importer fall or might fall within the scope of problematic legislation (i.e. impinging on the transfer tool’s contractual guarantee of an essentially equivalent level of protection and not meeting EU standards on fundamental rights, necessity and proportionality).

In the first two situations, you will have to suspend the transfer or implement adequate supplementary measures if you wish to proceed with it.

In the third situation, in light of uncertainties surrounding the potential application of problematic legislation to your transfer, you may decide to: suspend the transfer; implement supplementary measures to proceed with it; or alternatively, you may decide to proceed with the transfer without implementing supplementary measures if you consider and are able to demonstrate and document that you have no reason to believe that relevant and problematic legislation will be interpreted and/or applied in practice so as to cover your transferred data and importer. For evaluating the elements to be taken into account when assessing the law of a third country dealing with access to data by public authorities for the purpose of surveillance, please refer to the EDPB European Essential Guarantees recommendations. You should conduct this assessment with due diligence and document it thoroughly. Your competent supervisory and/or judicial authorities may request it and hold you accountable for any decision you take on that basis.

A fourth step is to identify and adopt supplementary measures that are necessary to bring the level of protection of the data transferred up to the EU standard of essential equivalence. This step is only necessary if your assessment reveals that the third country legislation and/or practices impinge on the effectiveness of the Article 46 GDPR transfer tool you are relying on or you intend to rely on in the context of your transfer. These recommendations contain (in Annex 2) a non-exhaustive list of examples of supplementary measures with some of the conditions they would require to be effective. As is the case for the appropriate safeguards contained in the Article 46 transfer tools, some supplementary measures may be effective in some countries, but not necessarily in others. You will be responsible for assessing their effectiveness in the context of the transfer, and in light of the third country law and practices and the transfer tool you are relying on, as you will be held accountable for any decision you take on that basis. This might also require you to combine several supplementary measures. You may ultimately find that no supplementary measure can ensure an essentially equivalent level of protection for your specific transfer. In those cases where no supplementary measure is suitable, you must avoid, suspend or terminate the transfer to avoid compromising the level of protection of the personal data. You should also conduct this assessment of supplementary measures with due diligence and document it.

A fifth step is to take any formal procedural steps the adoption of your supplementary measure may require, depending on the Article 46 GDPR transfer tool you are relying on. These recommendations specify some of these formalities. You may need to consult your competent supervisory authorities on some of them.

The sixth and final step is to re-evaluate at appropriate intervals the level of protection afforded to the personal data you transfer to third countries and to monitor if there have been or there will be any developments that may affect it. The principle of accountability requires continuous vigilance of the level of protection of personal data.

Supervisory authorities will continue exercising their mandate to monitor the application of the GDPR and enforce it. Supervisory authorities will pay due consideration to the actions exporters take to ensure that the data they transfer is afforded an essentially equivalent level of protection. As the Court recalls, supervisory authorities will suspend or prohibit data transfers in those cases where they find that an essentially equivalent level of protection cannot be ensured, following an investigation or a complaint. Supervisory authorities will continue developing guidance for exporters and coordinating their actions in the EDPB to ensure consistency in the application of EU data protection law.

Lien

Commission européenne

Décision d’exécution (UE) 2021/914 de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil (4 juin 2021)

Les modèles de clauses contractuelles types sont toujours d’actualité et ont été mis à jour par la Commission européenne le 4 juin 2021.

Lien

Jurisprudence de la CJUE

C-311/18 (16 juillet 2020)

1)   L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

2)   L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.

3)   L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.

4)   L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.

5)   La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.

Conclusions de l'avocat général

Arrêt rendu

Règlement
1e 2e

Art. 46

1. En l'absence de décision en vertu de l'article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d'une autorité de contrôle, par:

a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

b) des règles d'entreprise contraignantes conformément à l'article 47;

c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;

d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;

e) un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou

f) un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale; ou

b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

4. L'autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l'article 63 dans les cas visés au paragraphe 3 du présent article.

5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.

Proposition 1 close

1. Lorsque la Commission n'a pas adopté de décision en vertu l’article 41, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.

2. Les garanties appropriées visées au paragraphe 1 sont notamment fournies par:

a) des règles d'entreprise contraignantes conformes à l'article 43;

ou b) des clauses types de protection des données adoptées par la Commission. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2;

ou c) des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 57, lorsque la Commission a constaté leur applicabilité générale conformément à l'article 62, paragraphe 1, point b);

ou d) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4.

3. Un transfert effectué en vertu de clauses types de protection des données ou de règles d'entreprise contraignantes telles que celles visés au paragraphe 2, points a), b) ou c), ne nécessite pas d'autre autorisation.

4. Lorsqu'un transfert est effectué en vertu de clauses contractuelles telles que celles visées au paragraphe 2, point d), le responsable du traitement ou le sous-traitant doit avoir obtenu l'autorisation préalable des clauses contractuelles par l’autorité de contrôle conformément à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57.

5. Lorsque les garanties appropriées quant à la protection de données à caractère personnel ne sont pas prévues dans un instrument juridiquement contraignant, le responsable du traitement ou le sous-traitant doit obtenir l'autorisation préalable du transfert ou d'un ensemble de transferts, ou de dispositions à insérer dans un régime administratif constituant le fondement du transfert. Une autorisation de cette nature accordée par l'autorité de contrôle doit être conforme à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57. Les autorisations accordées par une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation par la même autorité de contrôle.

Proposition 2 close

1. Faute de décision au titre de l'article 41, paragraphe 3, le transfert de données à caractère personnel à (...) un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées, couvrant également les transferts ultérieurs (…).

2. Les garanties appropriées visées au paragraphe 1 peuvent notamment être fournies (...), sans que cela n'exige une autorisation particulière d'une autorité de contrôle, par:

a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

a) les règles d'entreprise contraignantes visées à l'article 43;

ou b) des clauses types de protection des données adoptées par la Commission (…) conformément à la procédure d'examen prévue à l'article 87, paragraphe 2;

ou c) des clauses types de protection des données adoptées par une autorité de contrôle (...) et adoptées par la Commission conformément à la procédure d'examen prévue à l'article 87, paragraphe 2;

d) un code de conduite approuvé conformément à l'article 38, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant (…) dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée;

ou e) un mécanisme de certification approuvé conformément à l'article 39, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant (…) dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée.

2 bis. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi notamment être fournies par:

a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données (...) dans le pays tiers ou l'organisation internationale;

ou b) (…)

c) (…)

d) des dispositions à intégrer dans des arrangements administratifs entre autorités ou organismes publics (...).

3. (…)

4. (…)

5. (…)

5 bis. L'autorité de contrôle applique le mécanisme de contrôle de la cohérence dans les cas visés à l'article 57, paragraphe 2, points c bis), d), e) et f).

5 ter. Les autorisations accordées par un État membre ou une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation par la même autorité de contrôle. Les décisions adoptées par la Commission en vertu de l'article 26, paragraphe 4, (...) de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément aux dispositions du paragraphe 2.

Directive close

Art. 26

2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

3. L'État membre informe la Commission et les autres États membres des autorisations qu'il accorde en application du paragraphe 2.

En cas d'opposition exprimée par un autre État membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l'article 31 paragraphe 2.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

4. Lorsque la Commission décide, conformément à la procédure prévue à l'article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 39

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Dans le cas où, saisie d'une réclamation dirigée contre un responsable de traitement ou son sous-traitant, la Commission nationale de l'informatique et des libertés estime fondés les griefs avancés relatifs à la protection des droits et libertés d'une personne à l'égard du traitement de ses données à caractère personnel, ou de manière générale afin d'assurer la protection de ces droits et libertés dans le cadre de sa mission, elle peut demander au Conseil d'Etat d'ordonner, le cas échéant sous astreinte, soit la suspension d'un transfert de données, soit la prolongation de la suspension d'un tel transfert qu'elle aurait elle-même préalablement ordonnée, et elle assortit alors ses conclusions d'une demande de question préjudicielle à la Cour de justice de l'Union européenne en vue d'apprécier la validité de la décision d'adéquation de la Commission européenne prise sur le fondement de l'article 45 du règlement (UE) 2016/679 du 27 avril 2016 ainsi que de tous les actes pris par la Commission européenne relativement aux garanties appropriées dans le cadre des transferts de données mentionnées à l'article 46 du même règlement.

Lorsque le transfert de données en cause ne constitue pas une opération de traitement effectuée par une juridiction dans l'exercice de sa fonction juridictionnelle, la Commission nationale de l'informatique et des libertés peut saisir, dans les mêmes conditions, le Conseil d'Etat aux fins d'ordonner, soit la suspension du transfert de données fondé sur une décision d'adéquation de la Commission européenne prise sur le fondement de l'article 36 de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, soit la prolongation de la suspension de ce transfert qu'elle aurait elle-même déjà ordonnée, dans l'attente de l'appréciation par la Cour de justice de l'Union européenne de la validité de cette décision d'adéquation.

Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 69

(…)

Il peut également être fait exception à l'interdiction prévue à l'article 68, par décision de la Commission nationale de l'informatique et des libertés ou, s'il s'agit d'un traitement mentionné au I ou au II de l'article 26, par décret en Conseil d'Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet.

La Commission nationale de l'informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d'autorisation de transfert de données à caractère personnel qu'elle prend au titre de l'alinéa précédent.

close