Le Comité européen de la protection des données (CEPD) a décidé, à l'issue d'une consultation publique, de mettre en place un système d'alerte précoce. Consultation la version finale de la Lignes directrices pour les transferts de données aux autorités de pays tiers. Dans ses Lignes directrices l'AESA se penche sur l'article 48 RGPD et clarifie la manière dont les organisations peuvent évaluer au mieux les conditions dans lesquelles elles peuvent légitimement répondre à des demandes d'informations. Transmission de données à caractère personnel provenant d'autorités de pays tiers (c'est-à-dire de pays non membres de l'UE). Le site Lignes directrices sont surtout pertinentes pour les entreprises actives au niveau international.
Champ d'application des lignes directrices relatives à l'article 48 du RGPD
Article 48 RGPD régit les conditions dans lesquelles un responsable du traitement ou un sous-traitant peut être tenu de le faire dans l'UE, données à caractère personnel de divulguer des informations sur ordre d'une autorité d'un pays tiers. Message central : de telles injonctions ne sont juridiquement valables que si elles reposent sur un accord de droit international public, par exemple un accord d'entraide judiciaire bilatéral ou multilatéral. Sans un tel accord, les jugements ou les décisions administratives de pays tiers ne sont en principe pas exécutables au sein de l'UE.
Finalisés le 4 juin 2025, les Lignes directrices 02/2024 de l'EDSA visent à clarifier l'importance pratique de l'article 48. Ils doivent aider les responsables de l'UE à répondre aux demandes de pays tiers conformément à la loi. L'accent est mis en particulier sur
- Demandes directes des autorités de pays tiers aux entreprises privées de l'UE.
- La relation entre l'article 48 et les règles générales sur les transferts internationaux de données du chapitre V RGPD.
- des recommandations sur la gestion interne de telles demandes.
Ne sont pas couverts les cas où, par exemple, une société mère est située dans un État tiers qui demande des données à sa filiale de l'UE afin de se conformer à une injonction administrative, bien que cela constitue également un transfert international de données. Bien que ces cas ne soient pas directement couverts par l'article 48, ils sont également soumis aux exigences strictes du chapitre V RGPD.
Mécanisme d'examen en deux étapes ("two-step test") pour les demandes de pays tiers
Le site Lignes directrices de l'EDSA prévoient un examen en deux étapes pour l'évaluation des demandes de divulgation de données à caractère personnel émanant de pays tiers, afin de satisfaire aux exigences de la RGPD de manière systématique. Ce test dit "en deux étapes" sert d'instrument pratique pour structurer la classification juridique de telles demandes :
Étape 1 : Examen de la base juridique au regard de l'article 6 RGPD
Il convient tout d'abord de déterminer si, dans le cas concret, il existe une base juridique pour la Traitement de données à caractère personnel. Une simple demande ou un ordre administratif émanant d'un pays tiers ne suffit pas. Il faut au contraire une base juridique conformément à l'article 6, paragraphe 1 RGPD doit être donnée, par exemple :
- Une obligation légale (art. 6, al. 1, let. c RGPD) résultant d'un accord international applicable.
- Une mission d'intérêt public (article 6, paragraphe 1, point e)) RGPD), si des dispositions nationales ou de l'Union autorisent une telle coopération.
- Dans de rares cas exceptionnels, un intérêt légitime (article 6, paragraphe 1, point f)). RGPD), en procédant à une stricte mise en balance des intérêts.
Étape 2 : Existence d'un mécanisme de transmission autorisé conformément au chapitre V RGPD
Est-ce que la Traitement est autorisé en vertu de l'article 6, il faut en outre un transfert selon les règles du chapitre V. Les bases possibles sont les suivantes :
- Un Décision d'adéquation de la Commission européenne (art. 45 RGPD), qui garantit un niveau équivalent de protection des données dans le pays d'origine. État tiers reconnaît.
- Garanties appropriéesLes États membres veillent à ce que les données à caractère personnel soient traitées conformément aux dispositions de la présente directive, notamment au moyen de clauses types de protection des données, de règles internes contraignantes en matière de protection des données ou d'autres instruments visés à l'article 46 RGPD.
- Dans des cas exceptionnels, une Consentement ou toute autre dérogation prévue à l'article 49 RGPDCes dispositions doivent toutefois être interprétées de manière restrictive.
Si la base juridique visée à l'article 6 RGPD ou un mécanisme de transfert autorisé en vertu du chapitre V, la divulgation des données n'est pas autorisée. C'est ce qu'illustre également la représentation schématique figurant dans l'annexe de la Lignes directrices (p. 13), qui prévoit une interrogation étape par étape. Les entreprises ont donc intérêt à mettre en place des procédures internes qui reflètent et documentent ce mécanisme en deux étapes. Ainsi, en cas d'urgence, il est possible d'expliquer de manière compréhensible comment l'évaluation en matière de protection des données a été effectuée.
Quelles sont les nouveautés de la version 2.0 des lignes directrices relatives à l'article 48 du RGPD ?
La version finale 2.0 tient compte des réactions du public. Consultation. Elle apporte notamment les clarifications suivantes :
- Les transformateurs doivent immédiatement informer le responsable du traitement lorsqu'ils reçoivent une demande de pays tiers. Exception : la loi leur interdit de le faire.
- Demandes de données internes au groupe provenant d'un État tiers (par exemple via des sociétés mères) ne relèvent pas de l'article 48, mais des règles générales du chapitre V.
- Les intérêts légitimes (article 6, paragraphe 1, point f) ne peuvent être invoqués comme base juridique qu'à titre exceptionnel. En particulier, pas pour le stockage préventif à des fins d'enquête potentielles.
En outre, le CEPD précise que le terme "jugement" ou "décision" au sens de l'article 48 RGPD ne doit pas être évaluée sur la base de critères formels ou conceptuels du droit des pays tiers. Le seul facteur déterminant est de savoir si l'opération sous-jacente est une mesure officielle et souveraine prise par une autorité étrangère qui impose à un responsable du traitement ou à un sous-traitant de l'UE une obligation d'information. Transmission de données à caractère personnel. Ce n'est pas la manière dont la mesure est désignée ou qualifiée dans l'État d'origine qui est déterminante, mais son caractère juridiquement contraignant et similaire à une exécution, ainsi que son objectif de collecte de données. Le mécanisme de protection de l'article 48 RGPD s'applique donc également lorsqu'une décision administrative n'est pas intitulée "jugement" ou "décision", par exemple, mais qu'elle vise en fait à rendre obligatoire la communication de données.
Les traités internationaux comme pivot
Les accords internationaux constituent le lien central entre le régime européen de protection des données et les droits des pays tiers. Article 48 RGPD formule clairement que l'applicabilité de jugements ou d'actes administratifs étrangers visant à la divulgation de données à caractère personnel par des entités établies dans l'UE n'est possible que s'il existe un accord international correspondant. En l'absence d'un tel accord, il manque à la fois une base juridique pour Traitement visé à l'article 6 RGPD qu'à un point de rattachement en matière de droit de transfert au sens du chapitre V RGPD.
Dans ses Lignes directrices l'AESD souligne que de tels accords ne doivent pas seulement exister sur le plan formel, mais qu'ils doivent également prévoir des garanties concrètes en matière de protection des données. Il s'agit notamment de dispositions concernant Affectation des fondsla proportionnalité et la limitation du traitement ultérieur, ainsi que des systèmes de contrôle et de recours efficaces dans le pays tiers. L'accord doit préciser dans quels cas et à quelles conditions une entité privée de l'UE données à caractère personnel peut transmettre directement à un organisme public étranger.
Un tel accord peut être considéré comme une garantie appropriée au sens de l'article 46, paragraphe 2, point a). RGPD à condition qu'il s'agisse d'un "instrument juridiquement contraignant et exécutoire entre les organismes publics".
Dans les Lignes directrices Le deuxième protocole additionnel à la convention sur la cybercriminalité (STCE n° 224) est particulièrement mis en avant. Celui-ci n'est certes pas encore en vigueur au moment de la publication, mais il montre de manière exemplaire comment les futurs accords pourraient être conçus. Il permet, dans des conditions strictes, l'accès direct des autorités de pays tiers aux données d'entreprises européennes, tout en fixant des limites claires en termes de procédure, de matériel et de droit procédural.
Il en résulte pour les entreprises l'obligation de vérifier, avant toute divulgation de données aux autorités de pays tiers, s'il existe un accord correspondant qui ne soit pas seulement formellement applicable, mais aussi matériellement pertinent et suffisamment concret. Pour ce faire, elles doivent, le cas échéant, consulter les ministères nationaux compétents (par exemple, les ministères de la justice, de l'intérieur ou des affaires étrangères) ou les autorités de contrôle de la protection des données.
Classification et importance de l'article 48 du RGPD pour les entreprises
Le site Lignes directrices concernant l'article 48 RGPD sont d'une grande importance et très pertinentes pour les entreprises de l'Union européenne. Elles ne concernent pas seulement des questions juridiques théoriques, mais ont également un impact pratique direct sur les pratiques de conformité des entreprises opérant dans un environnement international. Le message clé est le suivant : il n'est plus possible de répondre de manière informelle ou pragmatique aux demandes de pays tiers concernant la divulgation de données à caractère personnel. Au contraire, une approche structurée, documentée et juridiquement solide est impérative.
Cela résulte notamment du fait que les Lignes directrices de l'AESD doit préciser de manière contraignante que même les injonctions des autorités de pays tiers (par exemple les autorités chargées de l'application de la loi, de la surveillance ou de la sécurité) n'entraînent pas automatiquement une obligation de divulgation des données. Au contraire, chaque entreprise doit vérifier s'il existe une base juridique appropriée au sens de l'article 6 RGPD et si les conditions d'un transfert licite de données vers un pays tiers sont réunies conformément au chapitre V RGPD sont remplies. Cet examen doit être rigoureux non seulement sur la forme, mais également sur le fond, notamment en ce qui concerne Lignes directrices l'équilibre des intérêts, la proportionnalité et le respect de la vie privée Minimisation des données.
Conseil de lecture : Réaliser une évaluation de l'impact du transfert en toute sécurité avec le guide de la CNIL
Obligations d'agir pour la pratique de l'entreprise
Les entreprises devraient d'abord vérifier si leurs politiques de protection des données, leurs directives internes et leurs plans de réponse aux incidents sont conformes aux exigences de la nouvelle réglementation. Lignes directrices être conforme à la législation. Il convient notamment de définir comment les demandes des autorités de pays tiers sont traitées, qui est compétent au sein de l'entreprise et quels critères sont utilisés pour l'examen. Il est recommandé de désigner des points de contact centraux (par exemple le délégué à la protection des données ou le service juridique) et de mettre en place une procédure standardisée pour le traitement de ces demandes.
En outre, les collaborateurs, en particulier dans les départements ConformitéIT and Law, sur la signification de l'article 48 RGPD et les nouveaux Lignes directrices être formés à cet effet. Seules une sensibilisation et des formations régulières peuvent garantir que les transferts de données erronés ou hâtifs seront évités.
La situation est particulièrement difficile pour les groupes d'entreprises internationaux. Dans ce cas, il existe souvent une tension entre les attentes de la société mère (par exemple aux États-Unis) et les obligations légales des filiales européennes. Il est donc d'autant plus important de créer des directives à l'échelle du groupe qui répondent aux exigences RGPD ainsi qu'aux réalités opérationnelles. Dans les cas critiques, il est également possible de consulter au préalable la Autorité de surveillance peut être utile.
Les entreprises sont en outre tenues de documenter chaque demande émanant de pays tiers, de consigner par écrit le processus d'examen et de justifier de manière compréhensible le refus ou l'autorisation d'une divulgation. Ces Documentation est aussi dans l'esprit de l'obligation de rendre compte (Responsabilité éthique), conformément à l'article 5, paragraphe 2 RGPD obligatoire.
Dans l'ensemble, les Lignes directricesLa protection des données à caractère personnel dans les scénarios transfrontaliers ne peut être assurée que par des mesures proactives. ConformitéLa mise en place d'un système de gestion de l'information et d'un processus juridiquement sûr ainsi qu'une coordination internationale peuvent être garantis.
Avec les finales Lignes directrices il est clair que les entreprises de l'UE ne peuvent plus considérer les demandes de pays tiers comme de simples risques de conformité. Au contraire, elles sont légalement tenues de mettre en place des mécanismes de contrôle structurés et d'aligner leurs processus internes sur ces derniers.
Source : Guidelines 02/2024 on Article 48 GDPR - Version 2.0
Vous n'êtes pas sûr de savoir comment évaluer les demandes des autorités de pays tiers en toute sécurité juridique ou comment organiser les flux de données internationaux conformément au RGPD ? Nos experts en protection des données vous soutiennent avec des conseils personnalisés et une mise en œuvre opérationnelle. En outre, notre logiciel offre Ailance des outils intégrés pour l'évaluation des transferts de données, des processus automatisés et de la gestion des données Documentation ainsi que pour la gestion des évaluations d'impact de transfert (TIA). Convenez directement d'un premier entretien sans engagement !
German 
English 
Italian 
French