Article
En savoir plus...
Jurisprudence
Actualités
Article 46 - Transferts moyennant des garanties appropriées
1. En l'absence de décision en vertu de l'article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d'une autorité de contrôle, par:
- a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;
- b) des règles d'entreprise contraignantes conformément à l'article 47;
- c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;
- d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;
- e) un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
- f) un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
- a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale; ou
- b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.
5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.
En savoir plus...
L'article 46 prévoit les garanties alternatives applicables lorsqu’aucune décision d’adéquation (article 45) n’a été rendue. Un transfert de données vers un pays tiers ou une organisation internationale n’est alors possible que si le responsable du traitement ou le sous-traitant met en place des garanties appropriées assurant des droits opposables et des recours effectifs pour les personnes concernées. Ces garanties peuvent prendre la forme de clauses contractuelles types, de règles d’entreprise contraignantes, d’un code de conduite ou d’un mécanisme de certification assortis d’engagements contraignants, entre autres. Dans certains cas, une autorisation préalable de l’autorité de contrôle est requise, notamment pour des clauses contractuelles ou arrangements administratifs personnalisés. Enfin, les autorisations et décisions adoptées sous l’ancienne directive restent valables jusqu’à leur modification ou abrogation. Ce cadre vise à permettre des transferts sécurisés et encadrés, même en l’absence d’équivalence formelle avec l’UE.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Transferts reposant sur des garanties appropriées]
108. En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d'introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.
[Clauses contractuelles types (CCT, ou SCC en anglais)]
109. La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient compléter les clauses types de protection.
108. En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d'introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.
[Clauses contractuelles types (CCT, ou SCC en anglais)]
109. La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient compléter les clauses types de protection.
Droit souple
Lignes directrices et recommandations
> EDPB – Lignes directrices 05/2021 – Articulation entre l’article 3 et le chapitre V sur les transferts internationaux (v2.0)
14 février 2023
> EDPB – Lignes directrices 2/2020 – Transferts de données à caractère personnel entre les autorités et organismes publics établis dans l’EEE et ceux établis hors de l’EEE (v2.0)
15 décembre 2020
> EDPB – Recommandations 01/2020 – Mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE
10 novembre 2020
Guides pratiques
> CNIL – Guide pratique – Analyse d’impact des transferts de données
31 janvier 2025
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 40 - Codes de conduite
> Article 42 - Certification
> Article 45 - Transferts fondés sur une décision d'adéquation
> Article 47 - Règles d'entreprise contraignantes
> Article 63 - Mécanisme de contrôle de la cohérence
> Article 93 - Comité
Cet article est cité par...
> Article 13 - Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
> Article 14 - Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
> Article 15 - Droit d'accès de la personne concernée
> Article 40 - Codes de conduite
> Article 42 - Certification
> Article 45 - Transferts fondés sur une décision d'adéquation
> Article 49 - Dérogations pour des situations particulières
> Article 57 - Missions
> Article 58 - Pouvoirs
> Article 64 - Avis du comité
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Règlement 2018/1725 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel par les institutions, organes et organismes de l’Union ("EUDPR"), article 48
23 octobre 2018
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL – Recommandations – Applications mobiles
8 avril 2025
> CNIL РRecommandations РUtilisation des donn̩es de localisation des v̩hicules connect̩s
25 mars 2025 (Projet, Ouvert à consultation publique)
> EDPB – Lignes directrices 2/2023 – Champ d’application technique de l’article 5,3 de la directive ePrivacy (2002/58/CE)
7 octobre 2024 (v2.0)
> CNIL РRecommandations РR̩utilisateurs de donn̩es publi̩es sur Internet
12 juin 2024
> CNIL РRecommandations РDispositifs de vid̩osurveillance au sein des chambres des Ehpads
29 février 2024
> CNIL – Recommandations – Utilisation des interfaces de programmation applicatives (API)
7 juillet 2023
> CNIL РRecommandations РT̩l̩surveillance pour les examens en ligne
8 juin 2023
> EDPB – Lignes directrices 02/2021 – Assistants vocaux virtuels
7 juillet 2021 (v2.0)
> EDPB РLignes directrices 8/2020 РLe ciblage des utilisateurs de m̩dias sociaux
13 avril 2021 (v2.0)
> EDPB – Lignes directrices 01/2020 – Véhicules connectés et applications liées à la mobilité
9 mars 2021 (v2.0)
> EDPB – Lignes directrices 6/2020 – L’interaction entre la deuxième directive sur les services de paiement et le RGPD
15 décembre 2020 (v2.0)
> CNIL – Lignes directrices – Cookies et autres traceurs
17 septembre 2020
> CNIL – Recommandations – Cookies et autres traceurs
17 septembre 2020
> EDPB – Lignes directrices 3/2019 – Le traitement des données à caractère personnel par des dispositifs vidéo
29 janvier 2020 (v2.0)
Référentiels
> CNIL – Référentiel – Mise en oeuvre d’un dispositif d’alerte professionnelle
6 juillet 2023
> CNIL РR̩f̩rentiel РGestion des officines de pharmacie
18 juillet 2022
> CNIL РR̩f̩rentiel РGestion des activit̩s commerciales
3 février 2022
> CNIL РR̩f̩rentiel РGestion des impay̩s dans une transaction commerciale
3 février 2022
> CNIL – Référentiel – Protection de l’enfance et des jeunes majeurs de moins de 21 ans
20 janvier 2022
> CNIL РR̩f̩rentiel РGestion locative
6 mai 2021
> CNIL РR̩f̩rentiel РAccueil, h̩bergement et accompagnement social et m̩dico-social des personnes ̢g̩es, des personnes en situation de handicap et de celles en difficult̩
11 mars 2021
> CNIL РR̩f̩rentiel РGestion du personnel
21 novembre 2019
Guides pratiques
> CNIL РGuide pratique РEquipe de d̩veloppement
13 décembre 2021 ((sur le github de la CNIL))
> CNIL РGuide pratique РSensibilisation pour les collectivit̩s territoriales
18 septembre 2019
> CNIL – Guide pratique – L’Ordre des médecins
1 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-311/18 | Schrems II (Facebook Ireland et Schrems) | 16/07/2020 | Transfert de données à caractère personnel vers un pays tiers fondé sur les CCT - 1) Notion de "garanties appropriées" : nécessité d'un niveau de protection substantiellement équivalent à celui du droit de l'UE - 2) Critères d’appréciation | Lien | A classer | Police-Justice | Cour de Justice de l'UE | 2020 |
| C-311/18 | Schrems II (Facebook Ireland et Schrems) | 16/07/2020 | Contrôle des transferts de données à caractère personnel vers des pays tiers par une autorité - Suspension ou interdiction de tels transferts lorsque les clauses ne sont ou ne peuvent pas être respectées - Obligation, sauf en cas de décision d'adéquation | Lien | A classer | Police-Justice | Cour de Justice de l'UE | 2020 |
| C-311/18 | Schrems II (Facebook Ireland et Schrems) | 16/07/2020 | Décision 2010/87/UE instituant des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers - Validité - Conditions d’examen - 1) Insuffisance de la seule circonstance que les autorités du pays tiers ne sont pas liées - 2) Existence de mécanismes permettant d’assurer un niveau de protection requis par le droit de l’Union et de suspendre ou d’interdire de tels transferts en cas de violation desdites clauses | Lien | A classer | Police-Justice | Cour de Justice de l'UE | 2020 |
| C-311/18 | Schrems II (Facebook Ireland et Schrems) | 16/07/2020 | Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers (" décision CPT") - 1) Vérification de la législation du pays tiers - Obligation - Prise en compte du caractère adéquat de la législation locale - Admission - 2) Information, par le destinataire, responsable de son incapacité à se conformer aux clauses le cas échéant - Obligation | Lien | A classer | Police-Justice | Cour de Justice de l'UE | 2020 |
Actualités
Profitez de nos actualités en lien avec cet article !
Chargement des actualités...
<< Retourner au menu