arrow_back Retour à tous les articles

Article 46
Transferts moyennant des garanties appropriées

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 46 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 46 keyboard_arrow_up

(105) Outre les engagements internationaux pris par le pays tiers ou l'organisation internationale, la Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de l'organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection des données à caractère personnel, ainsi que de la mise en oeuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Lorsqu’elle évalue le niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité.

(108) En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

(109) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient compléter les clauses types de protection.

(110) Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

(114) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat du niveau de protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent aux personnes concernées des droits opposables et effectifs en ce qui concerne le traitement de leurs données dans l'Union une fois que ces données ont été transférées, de façon à ce que lesdites personnes continuent de bénéficier des droits fondamentaux et des garanties.

Afficher les considérants de la Directive 95/46 liés à l'article 46 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 46 keyboard_arrow_up

(59) considérant que des mesures particulières peuvent être prises pour pallier l'insuffisance du niveau de protection dans un pays tiers lorsque le responsable du traitement présente des garanties appropriées; que, en outre, des procédures de négociation entre la Communauté et les pays tiers en cause doivent être prévues;

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive prévoyait diverses exceptions à l’interdiction de traitement qui résultait de l’absence d’un niveau de protection adéquat.

L’une d’elles est prévue à l’article 26.2. et s’applique lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants. Cette dérogation implique que le responsable ait pris des mesures particulières pour pallier l'insuffisance du niveau de protection du pays de destination des données à caractère personnel.

Selon l’article 26.2 de la Directive, ces garanties appropriées peuvent notamment résulter de clauses contractuelles appropriées. Des clauses contractuelles types ont donc été développées pour encadrer les transferts de données hors de l’UE en contractualisant les règles de protection contenues dans la Directive. Des modèles ont ensuite été adoptés par la Commission européenne conformément à l’article 26, § 4 de la Directive. En effet, cette disposition conférait à la Commission le pouvoir de constater, par voie de décision, que certaines clauses contractuelles types présentaient des garanties suffisantes, ce qui obligeait alors les États membres à autoriser les transferts fondés sur ces clauses contractuelles types. La décision de la Commission devait être adoptée conformément à la procédure prévue à l’article 31, paragraphe 2, prévoyant la saisine du Comité de l’article 31 (voir notamment les décisions 2001/497/CE ; 2002/16/CE ; 2004/915/CE ; 2010/87/UE).

Une alternative aux clauses contractuelles types a vu le jour à partir de 2003 : les règles internes d’entreprises (dites Binding Corporate Rules). Bien que sceptique dans un premier temps, c’est le Groupe Article 29 qui a développé ce système dans son document de travail WP 74 du 3 juin 2003 (par le Groupe article 29, dans son document de travail WP 74 du 3 juin 2003 (Document de travail WP 74: Transferts de données personnelles vers des pays tiers Application de l’article 26 (2) de la Directive). Il s’agit d’une alternative globale et unique qui permet d’encadrer l’ensemble des transferts des données au sein d’un groupe de sociétés, sans vérifier systématiquement le fondement légal du transfert (cfr. le commentaire de l’article 43 relatif aux règles d’entreprise contraignantes).

Belgique

En droit belge, l’article 22, § 2 de la loi du 8 décembre 1992 instaure la possibilité pour le Roi, d'autoriser un transfert ou ensemble de transferts de données à caractère personnel vers un pays, non membre de la l'Union européenne, et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes, en particulier par l'utilisation de clauses contractuelles appropriées.

Cette disposition a été exécutée par les articles 56 et 57 de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

L'article 56 fixe le contenu minimal de ces clauses contractuelles :

- définition précise des finalités du traitement effectué par le destinataire;

- interdire la communication à des tiers, sauf exception légale mentionnée dans le contrat;

- obliger le destinataire à rectifier, éliminer ou ajouter des données à caractère personnel à la demande du responsable;

- mettre en oeuvre le droit d'accès et les modalités de celui-ci;

- adresser une copie du contrat à la Commission.

Le respect de ce contenu minimal conduit automatiquement à l'autorisation du flux de données (cfr. Rapport au Roi de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel).

France

L’exception reposant sur l’adoption de garanties suffisantes a été introduite en droit français par l’article 69 de la Loi Informatique et Libertés. Cette disposition ne fournit toutefois que peu d’informations sur les mesures concrètes à prendre par le responsable pour fournir des garanties suffisantes. Aux termes de l’article 69 de la loi française, la CNIL peut autoriser le transfert, après avoir constaté l’existence de garanties suffisantes encadrant le transfert, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet.

La CNIL met d’ailleurs à disposition des modèles officiels de contrat de transfert adoptés par la Commission européenne sous la forme de clauses contractuelles types qui encadrent tantôt les transferts de données personnelles entre deux responsables de traitement, tantôt les transferts de données personnelles entre un responsable de traitement et un sous-traitant.

Où va-t-on ?

L’article 46 du Règlement reprend et détaille l’exception prévue à l’article 26.2. de la Directive, en cas de garanties suffisantes prises par le responsable ou sous-traitant et en l’absence d’une décision de la Commission constatant un niveau de protection adéquat. On rappelle encore ici qu’il ne revient donc plus au responsable ou sous-traitant d’apprécier ce niveau. En cas d’absence d’une telle décision, il doit remplir les conditions d’une telle exception (ou d’une de celles reprises aux articles 47 et 49).

La version finale du Règlement complète le 1er paragraphe de l’article 46 en ajoutant que le transfert moyennant des garanties appropriées n’est autorisé qu’à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

La mise en place des mesures énumérées à l’article 46, § 2 s’opère sans autorisation de l’autorité de contrôle ; il peut s’agir :

- d’un instrument juridiquement contraignant et exécutoire entre autorités ou organismes publics (a) ; ou

- de règles d'entreprise contraignantes (b) conformes à l’article 47. Le considérant 110 ajoute que ces règles d'entreprise doivent inclure les principes essentiels et les droits opposables fournissant des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel ; ou

-de clauses contractuelles types de protection des données adoptées par la Commission (c)) ou conjointement par une autorité de contrôle et par la Commission (d) ; ou

- d’ un code de conduite approuvé conformément à l’article 40 qui comprend l’engagement contraignant et exécutoire du responsable ou de son sous-traitant d’appliquer dans le pays de destination les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée (e).

- d’un mécanisme de certification au sens de l’article 42 attestant de la conformité du traitement aux règles de l’Union (f)).

Le paragraphe 3 détaille d’autres mesures pour lesquelles l’autorisation préalable de l’autorité de contrôle compétente est indispensable. Dans ces cas, l’autorité de contrôle doit respecter le mécanisme de cohérence défini à l’article 64, qui implique de solliciter l’avis du Comité européen de la protection des données (cfr. 64 (1), e)).

On vise ici :

- des clauses contractuelles qui n’auraient pas fait l’objet d’une adoption préalable par la Commission ou une autorité de contrôle nationale, conclues entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données  dans le pays tiers ou l'organisation internationale (art. 46, § 3 a)) ; ou

- des dispositions particulières insérées dans des arrangements administratifs entre autorités et organismes publics (art. 46, § 3 b)). La version finale du Règlement précise que ces arrangements doivent garantir l’effectivité des droits reconnus aux personnes concernées.

Enfin, le paragraphe 5 indique que les autorisations délivrées par un État membre ou une autorité de contrôle sous l’empire de la Directive restent valables jusqu’à leur modification, révision ou abrogation par la même autorité de contrôle. Il en va de même des décisions de la commission prises en vertu de l’article 26, § 4 de la Directive.

Difficultés probables

Le nouveau système est sans conteste plus clair que le précédent : des garanties devront être prises en l’absence d’une décision d’adéquation de la Commission. Le choix des garanties s’étoffe et les autorités de contrôle nationales pourront intervenir dans une procédure encadrée si les garanties classiques ne peuvent être mises en œuvre pour des raisons propres au responsable ou au sous-traitant.

Bien entendu, une difficulté spécifique se poserait si le responsable ou le sous-traitant avait considéré en l’absence de prise de position officielle de la Commission que le destinataire se situait sur un territoire offrant un niveau de protection adéquat. Ils devront alors prendre une des mesures proposées pour être conformes au Règlement. 

Règlement
1e 2e

Art. 46

1. En l'absence de décision en vertu de l'article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d'une autorité de contrôle, par:

a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

b) des règles d'entreprise contraignantes conformément à l'article 47;

c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;

d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;

e) un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou

f) un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale; ou

b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

4. L'autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l'article 63 dans les cas visés au paragraphe 3 du présent article.

5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.

Proposition 1 close

1. Lorsque la Commission n'a pas adopté de décision en vertu l’article 41, le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées en ce qui concerne la protection des données à caractère personnel dans un instrument juridiquement contraignant.

2. Les garanties appropriées visées au paragraphe 1 sont notamment fournies par:

a) des règles d'entreprise contraignantes conformes à l'article 43;

ou b) des clauses types de protection des données adoptées par la Commission. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2;

ou c) des clauses types de protection des données adoptées par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 57, lorsque la Commission a constaté leur applicabilité générale conformément à l'article 62, paragraphe 1, point b);

ou d) des clauses contractuelles liant le responsable du traitement ou le sous-traitant et le destinataire des données, approuvées par une autorité de contrôle conformément au paragraphe 4.

3. Un transfert effectué en vertu de clauses types de protection des données ou de règles d'entreprise contraignantes telles que celles visés au paragraphe 2, points a), b) ou c), ne nécessite pas d'autre autorisation.

4. Lorsqu'un transfert est effectué en vertu de clauses contractuelles telles que celles visées au paragraphe 2, point d), le responsable du traitement ou le sous-traitant doit avoir obtenu l'autorisation préalable des clauses contractuelles par l’autorité de contrôle conformément à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57.

5. Lorsque les garanties appropriées quant à la protection de données à caractère personnel ne sont pas prévues dans un instrument juridiquement contraignant, le responsable du traitement ou le sous-traitant doit obtenir l'autorisation préalable du transfert ou d'un ensemble de transferts, ou de dispositions à insérer dans un régime administratif constituant le fondement du transfert. Une autorisation de cette nature accordée par l'autorité de contrôle doit être conforme à l'article 34, paragraphe 1, point a). Si le transfert est lié à un traitement qui porte sur des personnes concernées dans un ou plusieurs autres États membres, ou affecte sensiblement la libre circulation des données à caractère personnel dans l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l’article 57. Les autorisations accordées par une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation par la même autorité de contrôle.

Proposition 2 close

1. Faute de décision au titre de l'article 41, paragraphe 3, le transfert de données à caractère personnel à (...) un pays tiers ou à une organisation internationale n'est possible que si le responsable du traitement ou le sous-traitant a offert des garanties appropriées, couvrant également les transferts ultérieurs (…).

2. Les garanties appropriées visées au paragraphe 1 peuvent notamment être fournies (...), sans que cela n'exige une autorisation particulière d'une autorité de contrôle, par:

a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

a) les règles d'entreprise contraignantes visées à l'article 43;

ou b) des clauses types de protection des données adoptées par la Commission (…) conformément à la procédure d'examen prévue à l'article 87, paragraphe 2;

ou c) des clauses types de protection des données adoptées par une autorité de contrôle (...) et adoptées par la Commission conformément à la procédure d'examen prévue à l'article 87, paragraphe 2;

d) un code de conduite approuvé conformément à l'article 38, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant (…) dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée;

ou e) un mécanisme de certification approuvé conformément à l'article 39, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant (…) dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée.

2 bis. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi notamment être fournies par:

a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données (...) dans le pays tiers ou l'organisation internationale;

ou b) (…)

c) (…)

d) des dispositions à intégrer dans des arrangements administratifs entre autorités ou organismes publics (...).

3. (…)

4. (…)

5. (…)

5 bis. L'autorité de contrôle applique le mécanisme de contrôle de la cohérence dans les cas visés à l'article 57, paragraphe 2, points c bis), d), e) et f).

5 ter. Les autorisations accordées par un État membre ou une autorité de contrôle en vertu de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation par la même autorité de contrôle. Les décisions adoptées par la Commission en vertu de l'article 26, paragraphe 4, (...) de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément aux dispositions du paragraphe 2.

Directive

Art. 26

2. Sans préjudice du paragraphe 1, un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n'assurant pas un niveau de protection adéquat au sens de l'article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

3. L'État membre informe la Commission et les autres États membres des autorisations qu'il accorde en application du paragraphe 2.

En cas d'opposition exprimée par un autre État membre ou par la Commission et dûment justifiée au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, la Commission arrête les mesures appropriées, conformément à la procédure prévue à l'article 31 paragraphe 2.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

4. Lorsque la Commission décide, conformément à la procédure prévue à l'article 31 paragraphe 2, que certaines clauses contractuelles types présentent les garanties suffisantes visées au paragraphe 2, les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

France

Art. 69

(…)

Il peut également être fait exception à l'interdiction prévue à l'article 68, par décision de la Commission nationale de l'informatique et des libertés ou, s'il s'agit d'un traitement mentionné au I ou au II de l'article 26, par décret en Conseil d'Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l'objet.

La Commission nationale de l'informatique et des libertés porte à la connaissance de la Commission des Communautés européennes et des autorités de contrôle des autres Etats membres de la Communauté européenne les décisions d'autorisation de transfert de données à caractère personnel qu'elle prend au titre de l'alinéa précédent.

Belgique

Art. 22.

(…)

Sans préjudice des dispositions de l'alinéa précédent, le Roi peut, après avis de la Commission de la protection de la vie privée, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK