Article 46 – Transferts moyennant des garanties appropriées

Article 46 - Transferts moyennant des garanties appropriées

1. En l'absence de décision en vertu de l'article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d'une autorité de contrôle, par:

a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;
b) des règles d'entreprise contraignantes conformément à l'article 47;
c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;
d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;
e) un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou
f) un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale; ou
b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

4. L'autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l'article 63 dans les cas visés au paragraphe 3 du présent article.

5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.

En savoir plus...

L'article 46 autorise le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale en l'absence de décision d'adéquation et toujours « à condition que les personnes concernées disposent de droits exécutoires et de voies de recours effectives ». Cette disposition, ainsi que les autres contenues dans le chapitre V, contribue donc au transfert de données à caractère personnel dans une économie mondialisée tout en garantissant un niveau de protection comparable à celui offert par le droit européen. D'un point de vue pratique, les instruments régis par l'article 46 sont très importants, car la grande majorité des pays tiers ou des organisations internationales ne disposent pas de leur propre décision d'adéquation au titre de l'article 45. Par conséquent, en l'absence de tels instruments, le transfert de données serait exclu dans une grande partie de la planète.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Transferts reposant sur des garanties appropriées]
108. En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d'introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

[Clauses contractuelles types (CCT, ou SCC en anglais)]
109. La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient compléter les clauses types de protection.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 2/2020 - Transferts entre autorités publiques UE vers celles hors UE (v2.0)

15 décembre 2020

> CEPD - Recommandations 1/2020 - Mesures complétant les outils de transfert

10 novembre 2020

Guides pratiques

> CNIL - Guide pratique - Analyse d'impact des transferts de données

31 janvier 2025

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

En savoir plus...

Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations

> CNIL - Recommandations - Vidéosurveillance dans les Ehpad

29 février 2024

> CNIL - Recommandations - Applications mobiles

21 juillet 2023

> CNIL - Recommandations - API

07 juillet 2023

> CNIL - Recommandations - Télésurveillance examens en ligne

8 juin 2023

> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)

7 juillet 2021

> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)

13 avril 2021

> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)

9 mars 2021

> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)

15 décembre 2020

> CNIL - Lignes directrices - Cookies et autres traceurs

17 septembre 2020

> CNIL - Recommandations - Cookies et autres traceurs

17 septembre 2020

> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)

29 janvier 2020

Référentiels

> CNIL - Référentiel - Systèmes d'alertes professionnelles

06 juillet 2023

> CNIL - Référentiel - Officines de pharmacie

18 juillet 2022

> CNIL - Référentiel - Gestion commerciale

03 février 2022

> CNIL - Référentiel - Gestion des impayés

03 février 2022

> CNIL - Référentiel - Protection de l'enfance

20 janvier 2022

> CNIL - Référentiel - Gestion locative

6 mai 2021)

> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté

11 mars 2021

> CNIL - Référentiel - Gestion RH

21 novembre 2019

Guides pratiques

> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales

04 juillet 2022

> CNIL - Guide pratique - Guide pratique du développeur

13 décembre 2021 (sur le github de la CNIL)

> CNIL - Guide pratique - Guide pratique de l'UNAF

Mars 2021 (sur le site de l'UNAF)

> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales

18 septembre 2019

> CNIL - Guide pratique - Guide pratique de l'ordre des médecins

01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Fait référence à	Lien
C-311/18	Schrems II (Facebook Ireland et Schrems)	16/07/2020	2020	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Transfert de données à caractère personnel vers un pays tiers fondé sur les CCT - 1) Notion de "garanties appropriées" : nécessité d'un niveau de protection substantiellement équivalent à celui du droit de l'UE - 2) Critères d’appréciation	Afficher A la suite de l'arrêt "Schrems" (CJUE, 6 octobre 2015, C-362/14), la juridiction de renvoi a annulé le rejet de la plainte de M. Schrems et a renvoyé celle-ci au commissaire. Dans le cadre de l’enquête, Facebook Ireland a expliqué qu’une grande partie des données à caractère personnel était transférée à Facebook Inc. sur le fondement des CCT. M. Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la NSA et le FBI. Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT (décision 2010/87/UE concernant les CCT) ne peut justifier le transfert desdites données vers les États-Unis. En mai 2016, le commissaire a estimé que les CCT ne sont pas de nature à remédier à ce défaut, dans la mesure où elles confèrent aux personnes concernées uniquement des droits contractuels contre l’exportateur et l’importateur des données, sans toutefois lier les autorités américaines. L'affaire arrive une fois de plus devant la CJUE, la nouvelle décision d'adéquation ayant été prise au milieu de l'affaire.	105. Partant, il y a lieu de répondre [que] l’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du RGPD doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union par ce règlement, lu à la lumière de la Charte. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.	46	221fb405c529dd21fb6f300439b937de10663fb9	[Interprétation du droit de l'UE à réaliser vis à vis des droits fondamentaux garantis par la Charte] CJUE, 20 mars 2018, Menci, C-524/15 (point 24, par analogie)	Accéder à la décision
C-311/18	Schrems II (Facebook Ireland et Schrems)	16/07/2020	2020	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Contrôle des transferts de données à caractère personnel vers des pays tiers par une autorité - Suspension ou interdiction de tels transferts lorsque les clauses ne sont ou ne peuvent pas être respectées - Obligation, sauf en cas de décision d'adéquation	Afficher A la suite de l'arrêt "Schrems" (CJUE, 6 octobre 2015, C-362/14), la juridiction de renvoi a annulé le rejet de la plainte de M. Schrems et a renvoyé celle-ci au commissaire. Dans le cadre de l’enquête, Facebook Ireland a expliqué qu’une grande partie des données à caractère personnel était transférée à Facebook Inc. sur le fondement des CCT. M. Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la NSA et le FBI. Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT (décision 2010/87/UE concernant les CCT) ne peut justifier le transfert desdites données vers les États-Unis. En mai 2016, le commissaire a estimé que les CCT ne sont pas de nature à remédier à ce défaut, dans la mesure où elles confèrent aux personnes concernées uniquement des droits contractuels contre l’exportateur et l’importateur des données, sans toutefois lier les autorités américaines. L'affaire arrive une fois de plus devant la CJUE, la nouvelle décision d'adéquation ayant été prise au milieu de l'affaire.	121. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la huitième question que l’article 58, paragraphe 2, sous f) et j), du RGPD doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 du RGPD et par la Charte, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.	45, 46, 58	221fb405c529dd21fb6f300439b937de10663fb9	[Caractère contraignant d'une décision d'adéquation pour les Etats Membres et leurs organes] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (point 51), disponible ici [Interdiction, pour les autorités de contrôle, de prendre des mesures contraires à une décision d'adéquation non invalidée par la Cour] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (point 52), disponible ici [Examen par une autorité de contrôle de la conformité d'un transfert fondé sur une décision d'adéquation] CJUE, Schrems, 6 octobre 2015, Schrems, C-362/14 (points 53, 57 et 65), disponible ici	Accéder à la décision
C-311/18	Schrems II (Facebook Ireland et Schrems)	16/07/2020	2020	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Décision 2010/87/UE instituant des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers - Validité - Conditions d’examen - 1) Insuffisance de la seule circonstance que les autorités du pays tiers ne sont pas liées - 2) Existence de mécanismes permettant d’assurer un niveau de protection requis par le droit de l’Union et de suspendre ou d’interdire de tels transferts en cas de violation desdites clauses	Afficher A la suite de l'arrêt "Schrems" (CJUE, 6 octobre 2015, C-362/14), la juridiction de renvoi a annulé le rejet de la plainte de M. Schrems et a renvoyé celle-ci au commissaire. Dans le cadre de l’enquête, Facebook Ireland a expliqué qu’une grande partie des données à caractère personnel était transférée à Facebook Inc. sur le fondement des CCT. M. Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la NSA et le FBI. Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT (décision 2010/87/UE concernant les CCT) ne peut justifier le transfert desdites données vers les États-Unis. En mai 2016, le commissaire a estimé que les CCT ne sont pas de nature à remédier à ce défaut, dans la mesure où elles confèrent aux personnes concernées uniquement des droits contractuels contre l’exportateur et l’importateur des données, sans toutefois lier les autorités américaines. L'affaire arrive une fois de plus devant la CJUE, la nouvelle décision d'adéquation ayant été prise au milieu de l'affaire.	136. Partant, le seul fait que des clauses types de protection des données figurant dans une décision de la Commission adoptée en application de l’article 46, paragraphe 2, sous c), du RGPD, telles que celles figurant à l’annexe de la décision CPT, ne lient pas les autorités des pays tiers vers lesquels des données à caractère personnel sont susceptibles d’être transférées ne saurait affecter la validité de cette décision. 137. Cette validité dépend, en revanche, du point de savoir si, conformément à l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, interprétés à la lumière des articles 7, 8 et 47 de la Charte, une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer.	46	221fb405c529dd21fb6f300439b937de10663fb9	/	Accéder à la décision
C-311/18	Schrems II (Facebook Ireland et Schrems)	16/07/2020	2020	Irlande	Cour de Justice de l'UE	A classer	Police-Justice	Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers (" décision CPT") - 1) Vérification de la législation du pays tiers - Obligation - Prise en compte du caractère adéquat de la législation locale - Admission - 2) Information, par le destinataire, responsable de son incapacité à se conformer aux clauses le cas échéant - Obligation	Afficher A la suite de l'arrêt "Schrems" (CJUE, 6 octobre 2015, C-362/14), la juridiction de renvoi a annulé le rejet de la plainte de M. Schrems et a renvoyé celle-ci au commissaire. Dans le cadre de l’enquête, Facebook Ireland a expliqué qu’une grande partie des données à caractère personnel était transférée à Facebook Inc. sur le fondement des CCT. M. Schrems a fait valoir, notamment, que le droit américain impose à Facebook Inc. de mettre les données à caractère personnel qui lui sont transférées à la disposition des autorités américaines, telles que la NSA et le FBI. Il a soutenu que, ces données étant utilisées dans le cadre de différents programmes de surveillance d’une manière incompatible avec les articles 7, 8 et 47 de la Charte, la décision CPT (décision 2010/87/UE concernant les CCT) ne peut justifier le transfert desdites données vers les États-Unis. En mai 2016, le commissaire a estimé que les CCT ne sont pas de nature à remédier à ce défaut, dans la mesure où elles confèrent aux personnes concernées uniquement des droits contractuels contre l’exportateur et l’importateur des données, sans toutefois lier les autorités américaines. L'affaire arrive une fois de plus devant la CJUE, la nouvelle décision d'adéquation ayant été prise au milieu de l'affaire.	141 . Il apparaît ainsi que la clause 4, sous a), et la clause 5, sous a) et b), de cette annexe font obligation au responsable du traitement établi dans l’Union et au destinataire du transfert de données à caractère personnel de s’assurer que la législation du pays tiers de destination permet audit destinataire de se conformer aux clauses types de protection des données figurant à l’annexe de la décision CPT, avant de procéder à un transfert de données à caractère personnel vers ce pays tiers. S’agissant de cette vérification, la note en bas de page relative à ladite clause 5 précise que des exigences impératives de cette législation n’allant pas au-delà de celles qui sont nécessaires dans une société démocratique pour sauvegarder, notamment, la sûreté de l’État, la défense et la sécurité publique ne vont pas à l’encontre de ces clauses types de protection des données. À l’inverse, ainsi que l’a souligné M. l’avocat général au point 131 de ses conclusions, le fait de se conformer à une obligation dictée par le droit du pays tiers de destination qui va au-delà de ce qui est nécessaire à de telles fins doit être considéré comme une violation desdites clauses. L’appréciation, de la part de ces opérateurs, du caractère nécessaire d’une telle obligation doit, le cas échéant, tenir compte de la constatation du caractère adéquat du niveau de protection assuré par le pays tiers concerné figurant dans une décision d’adéquation de la Commission, adoptée au titre de l’article 45, paragraphe 3, du RGPD. 142 . Il en résulte que le responsable du traitement établi dans l’Union et le destinataire du transfert de données à caractère personnel sont tenus de vérifier, au préalable, le respect, dans le pays tiers concerné, du niveau de protection requis par le droit de l’Union. Le destinataire de ce transfert est, le cas échéant, dans l’obligation, en vertu de la même clause 5, sous b), d’informer le responsable du traitement de son éventuelle incapacité de se conformer à ces clauses, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat.	46	221fb405c529dd21fb6f300439b937de10663fb9	/	Accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

Tietosuoja (autorité finlandaise)

17 mars 2025

L’autorité finlandaise commence à enquêter sur le transfert de données de l’Université d’Helsinki vers une entreprise chinoise de biotechnologie

L’autorité finlandaise a annoncé aujourd’hui avoir demandé à l’Université d’Helsinki des informations sur la manière dont elle a mis en œuvre l’envoi des données liées aux échantillons de recherche d’origine humaine à une en [...]

DPC (autorité irlandaise)

24 février 2025

La Commission irlandaise de protection des données soumet un projet de décision au titre de l’article 60 dans le cadre de l’enquête sur TikTok

La DPC a aujourd’hui annoncé avoir soumis un projet de décision dans une enquête sur TikTok Technology Limited (TikTok) aux autres autorités de contrôle concernées dans l’UE/EEE le vendredi 21 février 2025, dans le cadre de l’article 60 du RGPD. Cet [...]

APD (autorité belge)

18 février 2025

L’APD ordonne à la commune d’Anvers de supprimer des données audio de son projet « bruit dans le quartier étudiant »

La Chambre Contentieuse de l’APD a adressé aujourd’hui une réprimande à la Ville d’Anvers pour son projet pilote de mesure intelligente des nuisances sonores dans son quartier étudiant, qui a eu lieu en 2022. Le but de ce projet pilote était de cartographier les nuisances sonores dans le quart [...]

AP (autorité néerlandaise)

03 février 2025

AP : attention à l’utilisation du chatbot DeepSeek

Quelques jours après l’annonce du blocage de Deepseek par l’autorité italienne, c’est au tour de l’AP de se pencher sur le sujet. Dans un communiqué publié ce jour, l’autorité met en garde les utilisateurs de l’application DeepSeek et les encourage à faire preuve de prudence et de réserves avec ce nouveau chatbot. Les gens ont t [...]

CNIL

31 janvier 2025

Analyse d’impact des transferts des données (AITD) : la CNIL publie la version finale de son guide

Les exportateurs s’appuyant sur les outils de transferts comme les clauses contractuelles types ou les règles d’entreprise contraignantes (article 46.2 et 46.3 du RGPD) ont l’obligation d’évaluer le niveau de protection dans les pays tiers de destination et la nécessité de mettre en place des garanties supplémentair [...]

GPDP (autorité italienne)

31 janvier 2025

Intelligence artificielle : la Garante bloque DeepSeek

Après avoir annoncé une « demande d’information », l’autorité italienne a finalement ordonné le 30 janvier, soit 2 jours plus tard, en urgence et avec effet immédiat, la limitation du traitement des données des utilisateurs italiens par Hangzhou DeepSeek Artificial Intelligence et Beijing DeepSeek Artificial Intelligence, les sociétés chinoises qui fourn [...]

GPDP (autorité italienne)

28 janvier 2025

IA : l’autorité italienne demande des informations à DeepSeek. Risque potentiel pour les données de millions de personnes en Italie

L’autorité italienne a aujourd’hui annoncé avoir envoyé une demande d’informations à Hangzhou DeepSeek Artificial Intelligence et à Beijing DeepSeek Artificial Intelligence, les sociétés qui fournissent le service de chatbot DeepSeek.
L’autorité, compte [...]

PIPC (autorité coréenne)

23 janvier 2025

La PIPC inflige à Kakao Pay et à Apple une amende d’un montant total de 8,752 milliards wons pour le transfert non autorisé de données personnelles à l’étranger

La PIPC a annoncé aujourd’hui infligé une amende administrative de 5,968 milliards de wons (soit près de 4 millions d’euros) à Kakao Pay Co., Ltd. et une amende de 2,450 milliards de wons et une contravention de 2,2 millions de wons (soi [...]

Comité européen sur la protection des données (EDPB)

03 décembre 2024

L’EDPB clarifie les règles relatives au partage de données avec les autorités de pays tiers et approuve la certification du sceau de protection des données.

Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a publié des lignes directrices sur l’article 48 du RGPD (seulement disponibles en anglais pour le moment) concernant les transferts de données aux autorités de pays t [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu