Le Comité européen de la protection des données (CEPD) a adopté la version finale des lignes directrices sur les transferts de données aux autorités de pays tiers après une consultation publique. Dans ses lignes directrices, l'EDSA aborde plus en détail l'article 48 du RGPD et clarifie la manière dont les organisations peuvent évaluer au mieux les conditions dans lesquelles elles peuvent répondre légalement aux demandes de transfert de données à caractère personnel émanant d'autorités de pays tiers (c'est-à-dire de pays non membres de l'UE). Les lignes directrices sont particulièrement pertinentes pour les entreprises actives au niveau international.
Champ d'application des lignes directrices relatives à l'article 48 du RGPD
L'article 48 du RGPD définit les conditions dans lesquelles un responsable du traitement ou un sous-traitant de l'UE peut être tenu de divulguer des données à caractère personnel sur ordre d'une autorité d'un pays tiers. Message central : de telles injonctions ne sont juridiquement valables que si elles reposent sur un accord international, par exemple un accord d'entraide judiciaire bilatéral ou multilatéral. Sans un tel accord, les jugements ou les décisions administratives de pays tiers ne sont en principe pas exécutables au sein de l'UE.
Les lignes directrices 02/2024 de l'EDSA, finalisées le 4 juin 2025, visent à clarifier l'importance pratique de l'article 48. Elles doivent aider les responsables de l'UE à répondre aux demandes de pays tiers conformément à la loi. L'accent est mis en particulier sur
- Demandes directes des autorités de pays tiers aux entreprises privées de l'UE.
- la relation entre l'article 48 et les règles générales sur les transferts internationaux de données du chapitre V du RGPD.
- des recommandations sur la gestion interne de telles demandes.
Ne sont pas couverts les cas où, par exemple, une société mère dans un pays tiers demande les données à sa filiale de l'UE pour se conformer à une injonction administrative, bien que cela constitue également un transfert international de données. Bien que ces cas ne soient pas directement couverts par l'article 48, ils sont également soumis aux exigences strictes du chapitre V du RGPD.
Mécanisme d'examen en deux étapes ("two-step test") pour les demandes de pays tiers
Les lignes directrices de l'EDSA prévoient un test en deux étapes pour l'évaluation des demandes de divulgation de données à caractère personnel émanant de pays tiers, afin de se conformer systématiquement aux exigences du RGPD. Ce test dit "en deux étapes" sert d'outil pratique pour structurer la classification juridique de telles demandes :
Étape 1 : vérification de la base juridique conformément à l'article 6 du RGPD
Il convient tout d'abord de déterminer si, dans le cas concret, il existe une base juridique pour le traitement des données à caractère personnel. Une simple demande ou un ordre administratif émanant d'un pays tiers ne suffit pas. Il faut plutôt qu'il existe une base juridique conformément à l'article 6, paragraphe 1, du RGPD, par exemple
- une obligation légale (article 6, paragraphe 1, point c) du RGPD) découlant d'un accord international applicable.
- une mission d'intérêt public (article 6, paragraphe 1, point e) du RGPD), lorsque des dispositions nationales ou de l'Union autorisent une telle coopération.
- Dans de rares cas exceptionnels, également un intérêt légitime (article 6, paragraphe 1, point f) du RGPD), une stricte mise en balance des intérêts devant être effectuée.
Étape 2 : Existence d'un mécanisme de transfert autorisé conformément au chapitre V du RGPD
Si le traitement est autorisé en vertu de l'article 6, il faut en outre un transfert conformément aux dispositions du chapitre V. Les bases possibles sont les suivantes :
- Une décision d'adéquation de la Commission européenne (art. 45 RGPD) qui reconnaît un niveau de protection des données équivalent dans le pays tiers.
- garanties appropriées, notamment par le biais de clauses types de protection des données, de règles internes contraignantes en matière de protection des données (BCR) ou d'autres instruments conformément à l'article 46 du RGPD.
- Dans des cas exceptionnels, un consentement ou d'autres exceptions en vertu de l'article 49 du RGPD, qui doivent toutefois être interprétés de manière restrictive.
En l'absence soit de la base juridique visée à l'article 6 du RGPD, soit d'un mécanisme de transfert autorisé en vertu du chapitre V, la divulgation des données n'est pas autorisée. C'est ce qu'illustre également la représentation schématique dans l'annexe des lignes directrices (p. 13), qui prévoit une consultation étape par étape. Les entreprises ont donc tout intérêt à mettre en place des procédures internes qui reproduisent et documentent ce mécanisme en deux étapes. Ainsi, en cas d'urgence, il est possible d'expliquer de manière compréhensible comment l'évaluation de la protection des données a été effectuée.
Quelles sont les nouveautés de la version 2.0 des lignes directrices relatives à l'article 48 du RGPD ?
La version finale 2.0 tient compte des réactions à la consultation publique. Elle apporte notamment les clarifications suivantes :
- Les transformateurs doivent immédiatement informer le responsable du traitement lorsqu'ils reçoivent une demande d'un pays tiers. Exception : la loi leur interdit de le faire.
- Les demandes de données intragroupe provenant d'un pays tiers (par exemple via les sociétés mères) ne sont pas couvertes par l'article 48, mais par les règles générales du chapitre V. Les demandes de données intragroupe provenant d'un pays tiers ne sont pas couvertes par l'article 48.
- Les intérêts légitimes (article 6, paragraphe 1, point f) ne peuvent être invoqués comme base juridique qu'à titre exceptionnel. En particulier, pas pour le stockage préventif à des fins d'enquête potentielles.
En outre, l'AESD précise que la notion de "jugement" ou de "décision" au sens de l'article 48 du RGPD ne doit pas être évaluée sur la base de critères formels ou conceptuels du droit des pays tiers. Le seul élément déterminant est de savoir si l'opération sous-jacente est une mesure officielle et souveraine prise par une autorité étrangère pour créer une obligation de transfert de données à caractère personnel à l'égard d'un responsable du traitement ou d'un sous-traitant dans l'UE. Ce n'est pas la manière dont la mesure est désignée ou qualifiée dans l'État d'origine qui est déterminante, mais son caractère juridiquement contraignant et similaire à une exécution ainsi que son objectif de collecte de données. Le mécanisme de protection de l'article 48 du RGPD s'applique donc également lorsqu'une décision administrative n'est pas intitulée "jugement" ou "décision", par exemple, mais qu'elle a en fait pour objet un transfert obligatoire de données.
Les traités internationaux comme pivot
Les accords internationaux constituent le lien central entre la réglementation européenne en matière de protection des données et les revendications juridiques de pays tiers. L'article 48 du RGPD formule clairement que l'applicabilité de jugements ou d'actes administratifs étrangers visant à obtenir la divulgation de données à caractère personnel par des entités établies dans l'UE n'est possible que s'il existe un accord international correspondant. En l'absence d'un tel accord, il manque à la fois une base juridique pour le traitement conformément à l'article 6 du RGPD et un point de rattachement en matière de droit de transfert au sens du chapitre V du RGPD.
Dans ses lignes directrices, l'EDSA souligne que de tels accords ne doivent pas seulement exister formellement, mais aussi prévoir des garanties concrètes en matière de protection des données. Il s'agit notamment de dispositions relatives à la limitation des finalités, à la proportionnalité et à la restriction du traitement ultérieur, ainsi que de systèmes de contrôle et de recours efficaces dans le pays tiers. L'accord doit régler explicitement les cas et les conditions dans lesquels un organisme privé de l'UE peut transférer directement des données à caractère personnel à un organisme public étranger.
Un tel accord peut servir de garantie appropriée au sens de l'article 46, paragraphe 2, point a), du RGPD, à condition qu'il s'agisse d'un "instrument juridiquement contraignant et exécutoire entre les autorités publiques".
Les lignes directrices mettent particulièrement l'accent sur le deuxième protocole additionnel à la convention sur la cybercriminalité (STCE n° 224). Celui-ci n'est certes pas encore en vigueur au moment de la publication, mais il montre de manière exemplaire comment les futurs accords pourraient être conçus. Il permet, dans des conditions strictes, l'accès direct des autorités de pays tiers aux données d'entreprises européennes, tout en fixant des limites claires en termes de procédure, de matériel et de droit procédural.
Il en résulte pour les entreprises l'obligation de vérifier, avant toute divulgation de données aux autorités de pays tiers, s'il existe un accord correspondant qui ne soit pas seulement formellement applicable, mais aussi matériellement pertinent et suffisamment concret. Pour ce faire, elles doivent, le cas échéant, consulter les ministères nationaux compétents (par exemple, les ministères de la justice, de l'intérieur ou des affaires étrangères) ou les autorités de contrôle de la protection des données.
Classification et importance de l'article 48 du RGPD pour les entreprises
Les lignes directrices relatives à l'article 48 du RGPD revêtent une grande importance et sont très pertinentes pour les entreprises de l'Union européenne. Elles ne concernent pas seulement des questions juridiques théoriques, mais ont également un impact pratique direct sur les pratiques de conformité des entreprises opérant dans un environnement international. Le message clé est le suivant : il n'est plus possible de répondre de manière informelle ou pragmatique aux demandes de pays tiers concernant la divulgation de données à caractère personnel. Au contraire, une approche structurée, documentée et juridiquement solide est impérative.
Cela résulte notamment du fait que les lignes directrices de l'EDSA précisent de manière contraignante que même les injonctions des autorités de pays tiers (par exemple des autorités chargées de l'application de la loi, de la surveillance ou de la sécurité) n'entraînent en aucun cas automatiquement une obligation de divulguer les données. Chaque entreprise doit plutôt vérifier s'il existe une base juridique appropriée au sens de l'article 6 du RGPD et si les conditions d'un transfert licite de données vers un pays tiers sont remplies conformément au chapitre V du RGPD. Cet examen doit être rigoureux non seulement sur la forme, mais aussi sur le fond, notamment en ce qui concerne la mise en balance des intérêts, la proportionnalité et la minimisation des données requises par les lignes directrices.
Conseil de lecture : Réaliser une évaluation de l'impact du transfert en toute sécurité avec le guide de la CNIL
Obligations d'agir pour la pratique de l'entreprise
Les entreprises devraient d'abord vérifier si leurs politiques de protection des données, leurs directives internes et leurs plans de réponse aux incidents répondent aux exigences des nouvelles lignes directrices. Il convient notamment de définir comment les demandes des autorités de pays tiers sont traitées, qui est responsable au sein de l'entreprise et quels critères sont utilisés pour l'examen. Il est recommandé de désigner des points de contact centraux (par exemple le délégué à la protection des données ou le service juridique) et de mettre en place une procédure standardisée pour le traitement de ces demandes.
En outre, les collaborateurs, notamment ceux des départements Conformité, Informatique et Juridique, doivent être formés sur la signification de l'article 48 du RGPD et sur les nouvelles lignes directrices. Seules une sensibilisation et des formations régulières permettront de garantir que les transferts de données erronés ou hâtifs seront évités.
La situation est particulièrement difficile pour les groupes d'entreprises internationaux. Dans ce cas, il existe souvent une tension entre les attentes de la société mère (par exemple aux États-Unis) et les obligations légales des filiales européennes. Il est donc d'autant plus important de créer des directives à l'échelle du groupe qui répondent aux exigences du RGPD ainsi qu'aux réalités opérationnelles. Dans les cas critiques, une consultation préalable avec l'autorité de contrôle compétente peut également s'avérer utile.
Les entreprises sont en outre tenues de documenter chaque demande émanant de pays tiers, de consigner par écrit le processus de vérification et de justifier de manière compréhensible le refus ou l'autorisation d'une divulgation. Cette documentation est également obligatoire au sens de l'obligation de rendre compte (accountability) conformément à l'article 5, paragraphe 2 du RGPD.
Dans l'ensemble, les lignes directrices mettent en évidence le fait que la protection des données à caractère personnel dans les scénarios transfrontaliers ne peut être garantie que par une conformité proactive, des processus juridiquement sûrs et une coordination internationale.
Avec les lignes directrices finales, il est clair que les entreprises de l'UE ne peuvent plus considérer les demandes de pays tiers uniquement comme des risques de conformité. Au contraire, elles sont légalement tenues de mettre en place des mécanismes de contrôle structurés et d'aligner leurs processus internes sur ces derniers.
Source : Guidelines 02/2024 on Article 48 GDPR - Version 2.0
Vous n'êtes pas sûr de savoir comment évaluer les demandes des autorités de pays tiers en toute sécurité juridique ou comment organiser les flux de données internationaux conformément au RGPD ? Nos experts en protection des données vous soutiennent avec des conseils personnalisés et une mise en œuvre opérationnelle. En outre, notre logiciel offre Ailance des outils intégrés pour l'évaluation des transferts de données, la documentation automatisée ainsi que la gestion des évaluations d'impact de transfert (TIA). Convenez directement d'un premier entretien sans engagement !
French 
German 
English 
Italian