Trans­fert de don­nées en ver­tu de l’ar­tic­le 48 du RGPD – Ana­ly­se du pro­jet de lignes direc­tri­ces de l’EDSA

Le Comi­té euro­pé­en de la pro­tec­tion des don­nées (CEPD) a adop­té le 3 décembre 2024 un Pro­jet de con­sul­ta­ti­on des lignes direc­tri­ces 02/2024 sur l’ar­tic­le 48 du RGPD publié (voir à ce sujet ici). L’ar­tic­le 48 du RGPD dis­po­se qu’un trans­fert de don­nées sur ord­re d’u­ne juri­dic­tion ou d’u­ne auto­ri­té d’un pays tiers ne peut avoir lieu que sur la base d’u­ne con­ven­ti­on d’en­trai­de judi­ciai­re ou d’un aut­re accord. Il n’af­fec­te tou­te­fois pas les aut­res motifs de trans­fert pré­vus au cha­pit­re V du RGPD.

Les lignes direc­tri­ces trai­tent en prio­ri­té des éven­tuels trans­ferts effec­tués par des ent­re­pri­ses de l’UE vers des auto­ri­tés et des juri­dic­tions de pays tiers. Alors que les trans­ferts dans le cad­re d’ac­cords d’en­trai­de judi­ciai­re ont géné­ra­le­ment lieu ent­re auto­ri­tés publi­ques, l’ED­SA indi­que que de tels trans­ferts peu­vent éga­le­ment être effec­tués par des entreprises :

[…] il y a eu une ten­dance récen­te à négo­cier des accords inter­na­ti­on­aux visa­nt éga­le­ment à pré­voir des deman­des direc­tes de la part des auto­ri­tés char­gées de l’ap­pli­ca­ti­on des lois dans des pays tiers pour accé­der aux don­nées à carac­tère per­son­nel trai­tées par des enti­tés pri­vées dans l’UE”. (EDSA, pro­jet de lignes direc­tri­ces 02/2024, page 5, note de bas de page 3).

L’a­vis de l’ED­SA est bien­ve­nu dans la mesu­re où il pré­cise que l’ar­tic­le 48 ne fonc­tion­ne pas com­me un sta­tut de blo­ca­ge. Cela signi­fie que les trans­ferts vers des juri­dic­tions et auto­ri­tés de pays tiers peu­vent être fon­dés sur une base de trans­fert du cha­pit­re V du RGPD, même en dehors d’un accord d’en­trai­de judiciaire.

Sché­ma d’ex­amen de l’EDSA

Le sché­ma d’ex­amen pré­vu par l’ED­SA s’a­vè­re tou­te­fois pro­blé­ma­tique. L’EDSA esti­me que, dans le cas d’un accord d’en­trai­de judi­ciai­re, l’ar­tic­le 48 du RGPD ne con­sti­tue pas un motif d’au­to­ri­sa­ti­on pour un trans­fert vers le pays tiers et qu’un aut­re motif de trans­fert du cha­pit­re V du RGPD est nécessaire :

Con­trai­re­ment aux aut­res dis­po­si­ti­ons du cha­pit­re V, l’ar­tic­le 48 ne con­sti­tue pas un motif de trans­fert. La dis­po­si­ti­on ne con­ti­ent pas de garan­ties en matiè­re de pro­tec­tion des don­nées, mais pré­cise que les décis­i­ons ou juge­ments des auto­ri­tés de pays tiers ne peu­vent être recon­nus ou appli­qués dans l’UE/AELE, à moins qu’un accord inter­na­tio­nal ne le pré­voie. Par con­sé­quent, avant de répond­re à une deman­de d’u­ne auto­ri­té d’un pays tiers rele­vant de l’ar­tic­le 48, le con­trô­leur ou le pro­ce­s­seur dans l’UE/AELE doit iden­ti­fier un motif de trans­fert appli­ca­ble ail­leurs dans le cha­pit­re V” (CEPD, pro­jet de lignes direc­tri­ces 02/2024, point 29).

Le CEPD cite com­me motif d’au­to­ri­sa­ti­on pos­si­ble un trans­fert de don­nées sur la base de garan­ties appro­priées con­for­mé­ment à l’ar­tic­le 46, para­gra­phe 2, point a), du RGPD, un docu­ment juri­di­quement con­traignant et exé­cu­toire ent­re les auto­ri­tés ou les orga­nis­mes publics. Dans le même temps, l’ED­SA indi­que tou­te­fois que, dans ce cas, l’entre­pri­se de l’UE qui trans­fè­re des don­nées doit véri­fier et s’assurer que l’ac­cord d’en­trai­de judi­ciai­re con­ti­ent éga­le­ment les garan­ties appro­priées néces­saires. Ain­si, com­me dans le cas de l’uti­li­sa­ti­on de clau­ses con­trac­tu­el­les types, l’entre­pri­se trans­fé­ran­te doit véri­fier, dans le cad­re d’ac­cords d’en­trai­de judi­ciai­re, que les prin­cipes de pro­tec­tion des don­nées, tels que les droits exé­cu­toires et les recours effec­tifs, la sur­veil­lan­ce indé­pen­dan­te et les rest­ric­tions aux trans­ferts ulté­ri­eurs, sont prévus.
Si ce n’est pas le cas, l’entre­pri­se de l’UE qui trans­met les don­nées doit iden­ti­fier un aut­re motif de trans­mis­si­on, com­me par exemp­le l’ar­tic­le 49 du RGPD. Or, l’ar­tic­le 49 du RGPD doit être inter­pré­té de maniè­re stric­te. En con­sé­quence, cela signi­fie qu’en l’ab­sence d’u­ne base pour le trans­fert, une ent­re­pri­se de l’UE ne serait pas en mesu­re, le cas échéant, pour des rai­sons de pro­tec­tion des don­nées, de répond­re à une deman­de for­mulée dans le cad­re d’un accord d’en­trai­de judi­ciai­re valable, bien que l’entre­pri­se y soit tenue en ver­tu du droit de l’É­tat membre.

L’ar­tic­le 48 du RGPD en tant que phra­se de pro­gram­me symbolique

En rai­son du man­que de clar­té du libel­lé, la teneur régle­men­tai­re de l’ar­tic­le 48 du RGPD est diver­se­ment appré­ciée dans la lit­té­ra­tu­re. Cer­ta­ins repré­sen­tants ne voi­ent dans l’ar­tic­le 48 du RGPD qu’u­ne “phra­se pro­gram­me à por­tée sym­bo­li­que” qui pré­cise qu’u­ne décis­i­on d’un pays tiers ne con­sti­tue en prin­ci­pe pas la base d’un trans­fert de don­nées (Taeger/Gabel/Gabel, 4e éd. 2022, RGPD, art. 48, point 3 ; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2e éd. 2925, Droit de la pro­tec­tion des don­nées, art. 48, point 1 ; Ehmann/Selmayr/Zerdick, 3e éd. 2024, RGPD, art. 48, point 6 ; Beck­OK DatenschutzR/Jungkind, 50e éd. 1.2.2024, RGPD, art. 48, point 3). La con­sé­quence juri­di­que de ce point de vue n’est tou­te­fois pas clai­re. Seuls Zer­dick et Spie­ker indi­quent qu’il dev­rait y avoir un aut­re motif de trans­fert du cha­pit­re V du RGPD. Com­me indi­qué ci-des­sus, cela aurait pour con­sé­quence que les ent­re­pri­ses ne pour­rai­ent pas, le cas échéant, répond­re à des deman­des val­ables pour des rai­sons liées à la pro­tec­tion des don­nées et enfrein­drai­ent ain­si le droit de l’É­tat membre qui leur est applicable.

Les aut­res par­tis­ans de ce point de vue affir­ment que l’au­to­ri­sa­ti­on de trans­fé­rer des don­nées découle de l’ac­te juri­di­que en soi et non de l’ar­tic­le 48 du RGPD. Ils ne pré­cis­ent pas dans quel­le mesu­re l’ar­tic­le 48 du RGPD con­sti­tue néan­mo­ins une auto­ri­sa­ti­on de se baser sur l’ac­cord en que­sti­on com­me base de trans­fert en dehors du RGPD.

L’ar­tic­le 48 du RGPD com­me nor­me d’autorisation

D’aut­res repré­sen­tants de la lit­té­ra­tu­re sont d’a­vis que l’ar­tic­le 48 du RGPD, mal­gré son libel­lé peu clair, per­met un trans­fert de don­nées sur la base d’un accord inter­na­tio­nal et con­sti­tue à cet égard un fait justi­fi­ca­tif (Sydow/Marsch DS-GVO/BDS­G/Tow­fig­h/Ul­rich, 3e éd. éd. 2022, RGPD, art. 48, point 10 ; Kühling/Buchner/Schröder, 4e éd. 2024, RGPD, art. 48, point 12 ; Gola/Heckmann/Klug, 3e éd. 2022, RGPD, art. 48, point 2). Ce point de vue doit être approuvé.
L’ar­tic­le 48 du RGPD, tout com­me les grou­pes de cas de l’ar­tic­le 49 du RGPD, con­ti­ent une excep­ti­on au prin­ci­pe selon lequel le ser­vice qui trans­fè­re des don­nées doit déter­mi­ner ou éta­b­lir le carac­tère adé­quat du niveau de pro­tec­tion des don­nées au cas par cas. Cela est appro­prié étant don­né que le trans­fert se fon­de sur un accord d’en­trai­de judi­ciai­re, c’est-à-dire sur le droit en vigueur dans les États mem­bres. Une ent­re­pri­se qui trans­fè­re des don­nées doit pou­voir comp­ter sur le fait que ce droit est con­for­me à d’aut­res dis­po­si­ti­ons, tel­les que la légis­la­ti­on sur la pro­tec­tion des don­nées ou les droits fon­da­men­taux, et ne pas être expo­sée à d’é­ven­tu­el­les amen­des. L’ar­tic­le 48 du RGPD a donc le carac­tère d’u­ne nor­me d’autorisation.

Com­me le pré­cise le con­sidé­rant 102 du RGPD, la responsa­bi­li­té d’assurer un niveau de pro­tec­tion adé­quat incom­be aux États mem­bres et non aux ent­re­pri­ses : “Les États mem­bres peu­vent con­clu­re des accords inter­na­ti­on­aux impli­quant le trans­fert de don­nées à carac­tère per­son­nel vers des pays tiers ou des orga­ni­sa­ti­ons inter­na­tio­na­les, à con­di­ti­on que ces accords n’ai­ent pas d’in­ci­dence sur le pré­sent règle­ment ni sur d’aut­res dis­po­si­ti­ons du droit de l’U­ni­on et qu’ils pré­voi­ent un niveau de pro­tec­tion adé­quat des droits fon­da­men­taux des per­son­nes concernées”.

Lex spe­cia­lis

L’ar­tic­le 48 du RGPD con­ti­ent une règ­le plus spé­ci­fi­que que les aut­res dis­po­si­ti­ons du cha­pit­re V du RGPD, ce qui en fait une lex spe­cia­lis (Kühling/Buchner/Schröder, 4e édi­ti­on, 2024, RGPD, artic­le 48, point 23). Con­trai­re­ment à l’ar­tic­le 49 du RGPD, par exemp­le, l’ar­tic­le 48 du RGPD ne con­ti­ent aucu­ne réser­ve con­cer­nant une décis­i­on d’a­dé­qua­ti­on ou des garan­ties appro­priées. Dans le cas de deman­des extra­ter­ri­to­ria­les des auto­ri­tés, pour les­quel­les il exi­ste un accord inter­na­tio­nal, il con­vi­ent donc de se réfé­rer à l’ac­cord d’en­trai­de judi­ciai­re même si d’aut­res motifs de trans­fert décou­lant du RGPD exi­stent. L’EDSA décla­re éga­le­ment : “Lorsqu’il exi­ste un accord inter­na­tio­nal tel qu’un accord d’en­trai­de judi­ciai­re, les ent­re­pri­ses de l’UE dev­rai­ent géné­ra­le­ment refu­ser les deman­des direc­tes et ren­voy­er l’au­to­ri­té requé­ran­te du pays tiers à l’ac­cord d’en­trai­de judi­ciai­re exi­stant ou à l’ac­cord cor­re­spond­ant”. (EDSA, lignes direc­tri­ces 2/2018, p. 6).

Con­clu­si­on

L’in­ter­pré­ta­ti­on de l’ar­tic­le 48 du RGPD par l’AESD est source d’in­cer­ti­tu­des et n’est pas con­vain­can­te dans son résul­tat. Il va de soi que chaque ent­re­pri­se doit véri­fier si elle respec­te le droit appli­ca­ble, c’est-à-dire si elle agit en con­for­mi­té avec les règles de pro­cé­du­re, même dans le cad­re d’un accord d’en­trai­de judi­ciai­re. On ne peut tou­te­fois pas exi­ger des ent­re­pri­ses qui trans­met­tent des don­nées qu’el­les véri­fi­ent la rece­va­bi­li­té d’un tel accord, c’est-à-dire du droit de l’É­tat membre qui leur est appli­ca­ble. Dans un sou­ci de sécu­ri­té juri­di­que, les ent­re­pri­ses ne doi­vent pas non plus être expo­sées à la pos­si­bi­li­té de se voir inf­li­ger des amen­des pour s’êt­re con­for­mées au droit de l’É­tat membre. Le CEPD dev­rait donc adap­ter son pro­jet en con­sé­quence afin d’é­vi­ter tout con­flit ent­re la légis­la­ti­on sur la pro­tec­tion des don­nées et la légis­la­ti­on des États membres.

Ver­si­on anglai­se : Data Trans­fers under Artic­le 48 GDPR – Ana­ly­sis of the Draft EDPB Gui­de­lines (Trans­ferts de don­nées en ver­tu de l’ar­tic­le 48 du RGPD – Ana­ly­se des pro­jets de lignes direc­tri­ces de l’OEDT)

Le 3 décembre 2024, le Con­seil euro­pé­en de la pro­tec­tion des don­nées (CEPD) a publié un pro­jet de con­sul­ta­ti­on de ses lignes direc­tri­ces 02/2024 sur l’ar­tic­le 48 du GDPR (voir ici). L’ar­tic­le 48 du GDPR stipu­le qu’un trans­fert de don­nées basé sur une ordon­nan­ce d’un tri­bu­nal ou d’u­ne auto­ri­té d’un pays tiers ne peut être recon­nu ou exé­cu­toire que s’il est basé sur un accord inter­na­tio­nal en vigueur ent­re le pays tiers deman­deur et l’U­ni­on ou un État membre. Les aut­res motifs de trans­fert pré­vus au cha­pit­re V du GDPR restent inchangés.

Les lignes direc­tri­ces abor­dent prin­ci­pa­le­ment les trans­ferts poten­tiels des ent­re­pri­ses de l’UE vers les auto­ri­tés et les tri­bu­naux de pays tiers. Alors que les trans­ferts en ver­tu des trai­tés d’as­si­stance juri­di­que mutu­el­le ont géné­ra­le­ment lieu ent­re les auto­ri­tés publi­ques, le CEPD indi­que que de tels trans­ferts peu­vent éga­le­ment être effec­tués par des entreprises :

[…] il y a eu une ten­dance récen­te à négo­cier des accords inter­na­ti­on­aux visa­nt éga­le­ment à pré­voir des deman­des direc­tes de la part des auto­ri­tés char­gées de l’ap­pli­ca­ti­on des lois dans des pays tiers pour l’ac­cès aux don­nées à carac­tère per­son­nel trai­tées par des enti­tés pri­vées dans l’UE”.
(EDPB, Draft Gui­de­lines 02/2024, page 5, foot­no­te 3)

La cla­ri­fi­ca­ti­on du CEPD selon laquel­le l’ar­tic­le 48 du GDPR ne fonc­tion­ne pas com­me un sta­tut de blo­ca­ge est bien­ve­nue. Cela signi­fie que les trans­ferts vers des tri­bu­naux et des auto­ri­tés de pays tiers peu­vent éga­le­ment être basés sur un motif de trans­fert du cha­pit­re V du GDPR en dehors d’un trai­té d’as­si­stance juri­di­que mutuelle.

Cad­re d’éva­lua­ti­on de l’EDPB

Tou­te­fois, le cad­re d’éva­lua­ti­on pro­po­sé par le CEPD est pro­blé­ma­tique. Le CEPD indi­que que l’ar­tic­le 48 du GDPR ne con­sti­tue pas une base juri­di­que pour les trans­ferts vers des pays tiers sur la base d’un trai­té d’as­si­stance juri­di­que mutu­el­le. Au lieu de cela, le CEPD affir­me qu’un aut­re fon­de­ment de trans­fert du cha­pit­re V du GDPR est nécessaire :

Con­trai­re­ment aux aut­res dis­po­si­ti­ons du cha­pit­re V, l’ar­tic­le 48 ne con­sti­tue pas un motif de trans­fert. La dis­po­si­ti­on ne con­ti­ent pas de garan­ties en matiè­re de pro­tec­tion des don­nées, mais pré­cise que les décis­i­ons ou juge­ments des auto­ri­tés de pays tiers ne peu­vent être recon­nus ou appli­qués dans l’UE/AELE, à moins qu’un accord inter­na­tio­nal ne le pré­voie. Par con­sé­quent, avant de répond­re à une deman­de d’u­ne auto­ri­té d’un pays tiers rele­vant de l’ar­tic­le 48, le con­trô­leur ou le pro­ce­s­seur dans l’UE/AELE doit iden­ti­fier un motif de trans­fert appli­ca­ble ail­leurs dans le cha­pit­re V”.
(EDPB, Draft Gui­de­lines 02/2024, para. 29)

Com­me base juri­di­que pos­si­ble, le CEPD fait réfé­rence aux trans­ferts de don­nées basés sur des garan­ties appro­priées en ver­tu de l’ar­tic­le 46(2)(a) du GDPR – un docu­ment juri­di­quement con­traignant et exé­cu­toire ent­re les auto­ri­tés ou les orga­nis­mes publics. Dans le même temps, le CEPD souli­gne que l’entre­pri­se de l’UE qui trans­fè­re des don­nées doit véri­fier et s’assurer que le trai­té d’as­si­stance juri­di­que mutu­el­le inclut les garan­ties appro­priées néces­saires. De la même maniè­re qu’el­le uti­li­se des clau­ses con­trac­tu­el­les stan­dard, la socié­té trans­fé­ran­te doit éva­luer si l’ac­cord pré­voit des prin­cipes de pro­tec­tion des don­nées tels que des droits exé­cu­toires, des recours effec­tifs, un con­trô­le indé­pen­dant et des rest­ric­tions sur les trans­ferts à terme.

Si ces con­di­ti­ons ne sont pas rem­plies, l’entre­pri­se de trans­fert de l’UE doit iden­ti­fier un aut­re motif de trans­fert, tel que l’ar­tic­le 49 du GDPR. Tou­te­fois, le CEPD indi­que que l’ar­tic­le 49 du GDPR doit être inter­pré­té de maniè­re rest­ric­ti­ve. Par con­sé­quent, selon l’in­ter­pré­ta­ti­on du CEPD, une ent­re­pri­se de l’UE pour­rait ne pas être en mesu­re de répond­re à une deman­de vali­de en ver­tu d’un trai­té d’as­si­stance juri­di­que mutu­el­le pour des rai­sons de pro­tec­tion des don­nées, même si elle est tenue de le fai­re en ver­tu de la légis­la­ti­on appli­ca­ble des États membres.

L’ar­tic­le 48 du GDPR en tant que décla­ra­ti­on symbolique

En rai­son de sa for­mu­la­ti­on ambi­guë, la natu­re juri­di­que de l’ar­tic­le 48 du GDPR est inter­pré­tée dif­fé­rem­ment dans la lit­té­ra­tu­re. Cer­ta­ins com­men­ta­teurs con­sidè­rent l’ar­tic­le 48 GDPR com­me une “décla­ra­ti­on sym­bo­li­que” pré­cisant qu’u­ne décis­i­on pri­se par un pays tiers ne sert géné­ra­le­ment pas de base aux trans­ferts de don­nées (Taeger/Gabel/Gabel, 4e éd., 2022, RGPD art. 48 para. 3 ; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2e éd., 2025, droit de la pro­tec­tion des don­nées art. 48 para. 1 ; Ehmann/Selmayr/Zerdick, 3e éd., 2024, RGPD art. 48 para. 6 ; Beck­OK DatenschutzR/Jungkind, 50e éd., Feb. 1, 2024, RGPD art. 48 para. 3). Tou­te­fois, la con­sé­quence juri­di­que de ce point de vue n’est pas clai­re. Seuls Zer­dick et Spie­ker soulignent la néces­si­té d’un aut­re trans­fert au tit­re du cha­pit­re V du RGPD. Com­me indi­qué ci-des­sus, cela pour­rait con­dui­re à l’im­pos­si­bi­li­té pour les ent­re­pri­ses de répond­re à des deman­des val­ables en rai­son de pré­oc­cu­pa­ti­ons liées à la pro­tec­tion des don­nées, poten­ti­el­le­ment en vio­la­ti­on des lois appli­ca­bles des États membres.

D’aut­res com­men­ta­teurs affir­ment que l’au­to­ri­té de trans­fert des don­nées découle de l’ac­te juri­di­que lui-même et non de l’ar­tic­le 48 du GDPR. Tou­te­fois, ils ne pré­cis­ent pas si l’ar­tic­le 48 du GDPR pour­rait enco­re per­mett­re à l’ac­cord con­cer­né de ser­vir de base de trans­fert en dehors du GDPR.

L’ar­tic­le 48 du GDPR en tant que base légale

D’aut­res com­men­ta­teurs affir­ment que l’ar­tic­le 48 du RGPD, mal­gré sa for­mu­la­ti­on ambi­guë, per­met des trans­ferts de don­nées fon­dés sur un accord inter­na­tio­nal, con­sti­tu­ant ain­si une base juri­di­que (Sydow/Marsch DS-GVO/BDS­G/Tow­fig­h/Ul­rich, 3e édi­ti­on, 2022, RGPD art. 48 para. 10 ; Kühling/Buchner/Schröder, 4e édi­ti­on, 2024, RGPD art. 48 para. 12 ; Gola/Heckmann/Klug, 3e édi­ti­on, 2022, RGPD art. 48 para. 2). Ce point de vue est persuasif.
L’ar­tic­le 48 du GDPR, tout com­me les scé­na­ri­os visés à l’ar­tic­le 49 du GDPR, pré­voit une excep­ti­on au prin­ci­pe selon lequel l’en­ti­té trans­fé­rée doit éta­b­lir ou garan­tir indi­vi­du­el­le­ment l’a­dé­qua­ti­on du niveau de pro­tec­tion des don­nées. Cela est appro­prié, car le trans­fert est basé sur un trai­té d’as­si­stance juri­di­que mutu­el­le, c’est-à-dire sur le droit appli­ca­ble dans les États mem­bres. Les ent­re­pri­ses trans­fé­ran­tes doi­vent pou­voir se fier à la con­for­mi­té de l’ac­cord avec d’aut­res régle­men­ta­ti­ons, tel­les que les lois sur la pro­tec­tion des don­nées ou les droits fon­da­men­taux, sans être expo­sées à des sanc­tions poten­ti­el­les. L’ar­tic­le 48 du GDPR a donc le carac­tère d’u­ne base légale.
L’ar­tic­le 102 du GDPR souli­gne que la responsa­bi­li­té d’assurer un niveau de pro­tec­tion adé­quat incom­be aux États mem­bres et non aux entreprises :

Les États mem­bres peu­vent con­clu­re des accords inter­na­ti­on­aux impli­quant le trans­fert de don­nées à carac­tère per­son­nel vers des pays tiers ou des orga­ni­sa­ti­ons inter­na­tio­na­les, dans la mesu­re où ces accords n’af­fec­tent pas le pré­sent règle­ment ou tou­te aut­re dis­po­si­ti­on du droit de l’U­ni­on et pré­voi­ent un niveau de pro­tec­tion adé­quat des droits fon­da­men­taux des per­son­nes con­cer­nées par les données…”.

Lex Spe­cia­lis

L’ar­tic­le 48 du GDPR con­ti­ent une dis­po­si­ti­on plus spé­ci­fi­que que les aut­res règles du cha­pit­re V du GDPR, ce qui en fait une loi spé­cia­le (Kühling/Buchner/Schröder, 4e édi­ti­on, 2024, RGPD, artic­le 48, para­gra­phe 23). Con­trai­re­ment, par exemp­le, à l’ar­tic­le 49 du GDPR, l’ar­tic­le 48 du GDPR n’e­xi­ge pas de décis­i­on adé­qua­te ou de garan­ties appro­priées. Dans le cas de deman­des d’au­to­ri­tés extra­ter­ri­to­ria­les cou­ver­tes par un accord inter­na­tio­nal, il con­vi­ent donc de se réfé­rer au trai­té d’as­si­stance juri­di­que mutu­el­le, même si d’aut­res motifs de trans­fert GDPR sont dis­po­ni­bles. De la même maniè­re, la CEPD affir­me que

Dans les situa­tions où il exi­ste un accord inter­na­tio­nal, tel qu’un trai­té d’as­si­stance juri­di­que mutu­el­le (MLAT), les ent­re­pri­ses de l’UE dev­rai­ent en géné­ral refu­ser les deman­des direc­tes et ren­voy­er l’au­to­ri­té du pays tiers requé­rant au MLAT ou à l’ac­cord existant”.
(EDPB, Lignes direc­tri­ces 2/2018, p. 5)

Con­clu­si­on

L’in­ter­pré­ta­ti­on de l’ar­tic­le 48 du GDPR par l’OEDT est source d’in­cer­ti­tu­des et, en fin de comp­te, peu con­vain­can­te. Alors que les ent­re­pri­ses doi­vent assurer la con­for­mi­té avec le droit appli­ca­ble, y com­pris le respect des exi­gen­ces pro­cé­du­ra­les en ver­tu d’un trai­té d’as­si­stance juri­di­que mutu­el­le, elles ne peu­vent pas être tenues de véri­fier ensuite la vali­di­té du trai­té, c’est-à-dire le droit des États mem­bres qui leur est appli­ca­ble. Pour la sécu­ri­té juri­di­que, les ent­re­pri­ses ne doi­vent pas être expo­sées au ris­que d’a­men­de pour s’êt­re con­for­mées aux lois des États membres.
L’OEDT dev­rait modi­fier son pro­jet afin d’é­vi­ter les con­flits ent­re les lois sur la pro­tec­tion des don­nées et les dis­po­si­ti­ons léga­les des États membres.