Le Comité européen de la protection des données (CEPD) a adopté le 3 décembre 2024 un Projet de consultation des lignes directrices 02/2024 sur l’article 48 du RGPD publié (voir à ce sujet ici). L’article 48 du RGPD dispose qu’un transfert de données sur ordre d’une juridiction ou d’une autorité d’un pays tiers ne peut avoir lieu que sur la base d’une convention d’entraide judiciaire ou d’un autre accord. Il n’affecte toutefois pas les autres motifs de transfert prévus au chapitre V du RGPD.
Les lignes directrices traitent en priorité des éventuels transferts effectués par des entreprises de l’UE vers des autorités et des juridictions de pays tiers. Alors que les transferts dans le cadre d’accords d’entraide judiciaire ont généralement lieu entre autorités publiques, l’EDSA indique que de tels transferts peuvent également être effectués par des entreprises :
“[…] il y a eu une tendance récente à négocier des accords internationaux visant également à prévoir des demandes directes de la part des autorités chargées de l’application des lois dans des pays tiers pour accéder aux données à caractère personnel traitées par des entités privées dans l’UE”. (EDSA, projet de lignes directrices 02/2024, page 5, note de bas de page 3).
L’avis de l’EDSA est bienvenu dans la mesure où il précise que l’article 48 ne fonctionne pas comme un statut de blocage. Cela signifie que les transferts vers des juridictions et autorités de pays tiers peuvent être fondés sur une base de transfert du chapitre V du RGPD, même en dehors d’un accord d’entraide judiciaire.
Schéma d’examen de l’EDSA
Le schéma d’examen prévu par l’EDSA s’avère toutefois problématique. L’EDSA estime que, dans le cas d’un accord d’entraide judiciaire, l’article 48 du RGPD ne constitue pas un motif d’autorisation pour un transfert vers le pays tiers et qu’un autre motif de transfert du chapitre V du RGPD est nécessaire :
“Contrairement aux autres dispositions du chapitre V, l’article 48 ne constitue pas un motif de transfert. La disposition ne contient pas de garanties en matière de protection des données, mais précise que les décisions ou jugements des autorités de pays tiers ne peuvent être reconnus ou appliqués dans l’UE/AELE, à moins qu’un accord international ne le prévoie. Par conséquent, avant de répondre à une demande d’une autorité d’un pays tiers relevant de l’article 48, le contrôleur ou le processeur dans l’UE/AELE doit identifier un motif de transfert applicable ailleurs dans le chapitre V” (CEPD, projet de lignes directrices 02/2024, point 29).
Le CEPD cite comme motif d’autorisation possible un transfert de données sur la base de garanties appropriées conformément à l’article 46, paragraphe 2, point a), du RGPD, un document juridiquement contraignant et exécutoire entre les autorités ou les organismes publics. Dans le même temps, l’EDSA indique toutefois que, dans ce cas, l’entreprise de l’UE qui transfère des données doit vérifier et s’assurer que l’accord d’entraide judiciaire contient également les garanties appropriées nécessaires. Ainsi, comme dans le cas de l’utilisation de clauses contractuelles types, l’entreprise transférante doit vérifier, dans le cadre d’accords d’entraide judiciaire, que les principes de protection des données, tels que les droits exécutoires et les recours effectifs, la surveillance indépendante et les restrictions aux transferts ultérieurs, sont prévus.
Si ce n’est pas le cas, l’entreprise de l’UE qui transmet les données doit identifier un autre motif de transmission, comme par exemple l’article 49 du RGPD. Or, l’article 49 du RGPD doit être interprété de manière stricte. En conséquence, cela signifie qu’en l’absence d’une base pour le transfert, une entreprise de l’UE ne serait pas en mesure, le cas échéant, pour des raisons de protection des données, de répondre à une demande formulée dans le cadre d’un accord d’entraide judiciaire valable, bien que l’entreprise y soit tenue en vertu du droit de l’État membre.
L’article 48 du RGPD en tant que phrase de programme symbolique
En raison du manque de clarté du libellé, la teneur réglementaire de l’article 48 du RGPD est diversement appréciée dans la littérature. Certains représentants ne voient dans l’article 48 du RGPD qu’une “phrase programme à portée symbolique” qui précise qu’une décision d’un pays tiers ne constitue en principe pas la base d’un transfert de données (Taeger/Gabel/Gabel, 4e éd. 2022, RGPD, art. 48, point 3 ; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2e éd. 2925, Droit de la protection des données, art. 48, point 1 ; Ehmann/Selmayr/Zerdick, 3e éd. 2024, RGPD, art. 48, point 6 ; BeckOK DatenschutzR/Jungkind, 50e éd. 1.2.2024, RGPD, art. 48, point 3). La conséquence juridique de ce point de vue n’est toutefois pas claire. Seuls Zerdick et Spieker indiquent qu’il devrait y avoir un autre motif de transfert du chapitre V du RGPD. Comme indiqué ci-dessus, cela aurait pour conséquence que les entreprises ne pourraient pas, le cas échéant, répondre à des demandes valables pour des raisons liées à la protection des données et enfreindraient ainsi le droit de l’État membre qui leur est applicable.
Les autres partisans de ce point de vue affirment que l’autorisation de transférer des données découle de l’acte juridique en soi et non de l’article 48 du RGPD. Ils ne précisent pas dans quelle mesure l’article 48 du RGPD constitue néanmoins une autorisation de se baser sur l’accord en question comme base de transfert en dehors du RGPD.
L’article 48 du RGPD comme norme d’autorisation
D’autres représentants de la littérature sont d’avis que l’article 48 du RGPD, malgré son libellé peu clair, permet un transfert de données sur la base d’un accord international et constitue à cet égard un fait justificatif (Sydow/Marsch DS-GVO/BDSG/Towfigh/Ulrich, 3e éd. éd. 2022, RGPD, art. 48, point 10 ; Kühling/Buchner/Schröder, 4e éd. 2024, RGPD, art. 48, point 12 ; Gola/Heckmann/Klug, 3e éd. 2022, RGPD, art. 48, point 2). Ce point de vue doit être approuvé.
L’article 48 du RGPD, tout comme les groupes de cas de l’article 49 du RGPD, contient une exception au principe selon lequel le service qui transfère des données doit déterminer ou établir le caractère adéquat du niveau de protection des données au cas par cas. Cela est approprié étant donné que le transfert se fonde sur un accord d’entraide judiciaire, c’est-à-dire sur le droit en vigueur dans les États membres. Une entreprise qui transfère des données doit pouvoir compter sur le fait que ce droit est conforme à d’autres dispositions, telles que la législation sur la protection des données ou les droits fondamentaux, et ne pas être exposée à d’éventuelles amendes. L’article 48 du RGPD a donc le caractère d’une norme d’autorisation.
Comme le précise le considérant 102 du RGPD, la responsabilité d’assurer un niveau de protection adéquat incombe aux États membres et non aux entreprises : “Les États membres peuvent conclure des accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales, à condition que ces accords n’aient pas d’incidence sur le présent règlement ni sur d’autres dispositions du droit de l’Union et qu’ils prévoient un niveau de protection adéquat des droits fondamentaux des personnes concernées”.
Lex specialis
L’article 48 du RGPD contient une règle plus spécifique que les autres dispositions du chapitre V du RGPD, ce qui en fait une lex specialis (Kühling/Buchner/Schröder, 4e édition, 2024, RGPD, article 48, point 23). Contrairement à l’article 49 du RGPD, par exemple, l’article 48 du RGPD ne contient aucune réserve concernant une décision d’adéquation ou des garanties appropriées. Dans le cas de demandes extraterritoriales des autorités, pour lesquelles il existe un accord international, il convient donc de se référer à l’accord d’entraide judiciaire même si d’autres motifs de transfert découlant du RGPD existent. L’EDSA déclare également : “Lorsqu’il existe un accord international tel qu’un accord d’entraide judiciaire, les entreprises de l’UE devraient généralement refuser les demandes directes et renvoyer l’autorité requérante du pays tiers à l’accord d’entraide judiciaire existant ou à l’accord correspondant”. (EDSA, lignes directrices 2/2018, p. 6).
Conclusion
L’interprétation de l’article 48 du RGPD par l’AESD est source d’incertitudes et n’est pas convaincante dans son résultat. Il va de soi que chaque entreprise doit vérifier si elle respecte le droit applicable, c’est-à-dire si elle agit en conformité avec les règles de procédure, même dans le cadre d’un accord d’entraide judiciaire. On ne peut toutefois pas exiger des entreprises qui transmettent des données qu’elles vérifient la recevabilité d’un tel accord, c’est-à-dire du droit de l’État membre qui leur est applicable. Dans un souci de sécurité juridique, les entreprises ne doivent pas non plus être exposées à la possibilité de se voir infliger des amendes pour s’être conformées au droit de l’État membre. Le CEPD devrait donc adapter son projet en conséquence afin d’éviter tout conflit entre la législation sur la protection des données et la législation des États membres.
Version anglaise : Data Transfers under Article 48 GDPR – Analysis of the Draft EDPB Guidelines (Transferts de données en vertu de l’article 48 du RGPD – Analyse des projets de lignes directrices de l’OEDT)
Le 3 décembre 2024, le Conseil européen de la protection des données (CEPD) a publié un projet de consultation de ses lignes directrices 02/2024 sur l’article 48 du GDPR (voir ici). L’article 48 du GDPR stipule qu’un transfert de données basé sur une ordonnance d’un tribunal ou d’une autorité d’un pays tiers ne peut être reconnu ou exécutoire que s’il est basé sur un accord international en vigueur entre le pays tiers demandeur et l’Union ou un État membre. Les autres motifs de transfert prévus au chapitre V du GDPR restent inchangés.
Les lignes directrices abordent principalement les transferts potentiels des entreprises de l’UE vers les autorités et les tribunaux de pays tiers. Alors que les transferts en vertu des traités d’assistance juridique mutuelle ont généralement lieu entre les autorités publiques, le CEPD indique que de tels transferts peuvent également être effectués par des entreprises :
“[…] il y a eu une tendance récente à négocier des accords internationaux visant également à prévoir des demandes directes de la part des autorités chargées de l’application des lois dans des pays tiers pour l’accès aux données à caractère personnel traitées par des entités privées dans l’UE”.
(EDPB, Draft Guidelines 02/2024, page 5, footnote 3)
La clarification du CEPD selon laquelle l’article 48 du GDPR ne fonctionne pas comme un statut de blocage est bienvenue. Cela signifie que les transferts vers des tribunaux et des autorités de pays tiers peuvent également être basés sur un motif de transfert du chapitre V du GDPR en dehors d’un traité d’assistance juridique mutuelle.
Cadre d’évaluation de l’EDPB
Toutefois, le cadre d’évaluation proposé par le CEPD est problématique. Le CEPD indique que l’article 48 du GDPR ne constitue pas une base juridique pour les transferts vers des pays tiers sur la base d’un traité d’assistance juridique mutuelle. Au lieu de cela, le CEPD affirme qu’un autre fondement de transfert du chapitre V du GDPR est nécessaire :
“Contrairement aux autres dispositions du chapitre V, l’article 48 ne constitue pas un motif de transfert. La disposition ne contient pas de garanties en matière de protection des données, mais précise que les décisions ou jugements des autorités de pays tiers ne peuvent être reconnus ou appliqués dans l’UE/AELE, à moins qu’un accord international ne le prévoie. Par conséquent, avant de répondre à une demande d’une autorité d’un pays tiers relevant de l’article 48, le contrôleur ou le processeur dans l’UE/AELE doit identifier un motif de transfert applicable ailleurs dans le chapitre V”.
(EDPB, Draft Guidelines 02/2024, para. 29)
Comme base juridique possible, le CEPD fait référence aux transferts de données basés sur des garanties appropriées en vertu de l’article 46(2)(a) du GDPR – un document juridiquement contraignant et exécutoire entre les autorités ou les organismes publics. Dans le même temps, le CEPD souligne que l’entreprise de l’UE qui transfère des données doit vérifier et s’assurer que le traité d’assistance juridique mutuelle inclut les garanties appropriées nécessaires. De la même manière qu’elle utilise des clauses contractuelles standard, la société transférante doit évaluer si l’accord prévoit des principes de protection des données tels que des droits exécutoires, des recours effectifs, un contrôle indépendant et des restrictions sur les transferts à terme.
Si ces conditions ne sont pas remplies, l’entreprise de transfert de l’UE doit identifier un autre motif de transfert, tel que l’article 49 du GDPR. Toutefois, le CEPD indique que l’article 49 du GDPR doit être interprété de manière restrictive. Par conséquent, selon l’interprétation du CEPD, une entreprise de l’UE pourrait ne pas être en mesure de répondre à une demande valide en vertu d’un traité d’assistance juridique mutuelle pour des raisons de protection des données, même si elle est tenue de le faire en vertu de la législation applicable des États membres.
L’article 48 du GDPR en tant que déclaration symbolique
En raison de sa formulation ambiguë, la nature juridique de l’article 48 du GDPR est interprétée différemment dans la littérature. Certains commentateurs considèrent l’article 48 GDPR comme une “déclaration symbolique” précisant qu’une décision prise par un pays tiers ne sert généralement pas de base aux transferts de données (Taeger/Gabel/Gabel, 4e éd., 2022, RGPD art. 48 para. 3 ; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2e éd., 2025, droit de la protection des données art. 48 para. 1 ; Ehmann/Selmayr/Zerdick, 3e éd., 2024, RGPD art. 48 para. 6 ; BeckOK DatenschutzR/Jungkind, 50e éd., Feb. 1, 2024, RGPD art. 48 para. 3). Toutefois, la conséquence juridique de ce point de vue n’est pas claire. Seuls Zerdick et Spieker soulignent la nécessité d’un autre transfert au titre du chapitre V du RGPD. Comme indiqué ci-dessus, cela pourrait conduire à l’impossibilité pour les entreprises de répondre à des demandes valables en raison de préoccupations liées à la protection des données, potentiellement en violation des lois applicables des États membres.
D’autres commentateurs affirment que l’autorité de transfert des données découle de l’acte juridique lui-même et non de l’article 48 du GDPR. Toutefois, ils ne précisent pas si l’article 48 du GDPR pourrait encore permettre à l’accord concerné de servir de base de transfert en dehors du GDPR.
L’article 48 du GDPR en tant que base légale
D’autres commentateurs affirment que l’article 48 du RGPD, malgré sa formulation ambiguë, permet des transferts de données fondés sur un accord international, constituant ainsi une base juridique (Sydow/Marsch DS-GVO/BDSG/Towfigh/Ulrich, 3e édition, 2022, RGPD art. 48 para. 10 ; Kühling/Buchner/Schröder, 4e édition, 2024, RGPD art. 48 para. 12 ; Gola/Heckmann/Klug, 3e édition, 2022, RGPD art. 48 para. 2). Ce point de vue est persuasif.
L’article 48 du GDPR, tout comme les scénarios visés à l’article 49 du GDPR, prévoit une exception au principe selon lequel l’entité transférée doit établir ou garantir individuellement l’adéquation du niveau de protection des données. Cela est approprié, car le transfert est basé sur un traité d’assistance juridique mutuelle, c’est-à-dire sur le droit applicable dans les États membres. Les entreprises transférantes doivent pouvoir se fier à la conformité de l’accord avec d’autres réglementations, telles que les lois sur la protection des données ou les droits fondamentaux, sans être exposées à des sanctions potentielles. L’article 48 du GDPR a donc le caractère d’une base légale.
L’article 102 du GDPR souligne que la responsabilité d’assurer un niveau de protection adéquat incombe aux États membres et non aux entreprises :
“Les États membres peuvent conclure des accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou des organisations internationales, dans la mesure où ces accords n’affectent pas le présent règlement ou toute autre disposition du droit de l’Union et prévoient un niveau de protection adéquat des droits fondamentaux des personnes concernées par les données…”.
Lex Specialis
L’article 48 du GDPR contient une disposition plus spécifique que les autres règles du chapitre V du GDPR, ce qui en fait une loi spéciale (Kühling/Buchner/Schröder, 4e édition, 2024, RGPD, article 48, paragraphe 23). Contrairement, par exemple, à l’article 49 du GDPR, l’article 48 du GDPR n’exige pas de décision adéquate ou de garanties appropriées. Dans le cas de demandes d’autorités extraterritoriales couvertes par un accord international, il convient donc de se référer au traité d’assistance juridique mutuelle, même si d’autres motifs de transfert GDPR sont disponibles. De la même manière, la CEPD affirme que
“Dans les situations où il existe un accord international, tel qu’un traité d’assistance juridique mutuelle (MLAT), les entreprises de l’UE devraient en général refuser les demandes directes et renvoyer l’autorité du pays tiers requérant au MLAT ou à l’accord existant”.
(EDPB, Lignes directrices 2/2018, p. 5)
Conclusion
L’interprétation de l’article 48 du GDPR par l’OEDT est source d’incertitudes et, en fin de compte, peu convaincante. Alors que les entreprises doivent assurer la conformité avec le droit applicable, y compris le respect des exigences procédurales en vertu d’un traité d’assistance juridique mutuelle, elles ne peuvent pas être tenues de vérifier ensuite la validité du traité, c’est-à-dire le droit des États membres qui leur est applicable. Pour la sécurité juridique, les entreprises ne doivent pas être exposées au risque d’amende pour s’être conformées aux lois des États membres.
L’OEDT devrait modifier son projet afin d’éviter les conflits entre les lois sur la protection des données et les dispositions légales des États membres.