Article 46 du RGPD : Transferts moyennant des garanties appropriées

Sommaire :

Comprendre l’article 46

Cet article traite des transferts de données hors UE. En effet, le RGPD s’applique dans tous les pays états membres de l’Union européenne. Pour les autres états, et organisations internationales, tout transfert de données doit être organisé de façon à ce que le transfert offre des garanties de protection similaires à celles prévues par le RGPD. En d’autres termes, le transfert de données personnelles vers un autre état n’est possible que si le transfert promet une protection similaire au RGPD

Comment mettre en place une telle protection ? Plusieurs possibilités s’offrent aux responsables de traitement. Le RGPD cite des instruments juridiquement contraignant et exécutoires entre les autorités, des règles d’entreprise contraignantes (détaillées à l’article 47), des clauses types de protection proposées par la Commission ou par les autorités de contrôle, le respect d’un code de conduite, ou une certification. 

Ces garanties peuvent être prévues par les clauses d’un contrat, sous réserve d’autorisation des autorités de contrôle (comme la CNIL). 

Pour certains états vers lesquels les transferts sont monnaie courante, des conventions peuvent prévoir de tels transferts (exemple : Privacy Shield qui organisent les transferts de données vers les USA). Des engagements administratifs peuvent également être mis en place entre autorités & organismes. 

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ? 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Cliquez ici
Je chercher un DPO

Article 46 du RGPD

  1. « En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

  2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par:

    a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

    b) des règles d’entreprise contraignantes conformément à l’article 47;

    c) des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;

    d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2;

    e) un code de conduite approuvé conformément à l’article 40, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou

    f) un mécanisme de certification approuvé conformément à l’article 42, assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

  3. Sous réserve de l’autorisation de l’autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

    a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; ou

    b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

  4. L’autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l’article 63 dans les cas visés au paragraphe 3 du présent article.

  5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l’article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l’article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu’à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.»

Jurisprudence

Aucune jurisprudence sur cet article ! 

Trouvez un Data Protection Officer
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce