Article 44 Principe général applicable aux transferts

Champ d'application de l'article 44

L'article 44 s'applique à tout transfert de données à caractère personnel vers un pays tiers ou une organisation internationale. Un pays tiers désigne tout pays situé en dehors de l'Union européenne et de l'Espace économique européen (EEE, comprenant l'Islande, la Norvège et le Liechtenstein). Une organisation internationale désigne une organisation de droit international public et ses organes subordonnés, tels que les Nations unies ou l'Organisation mondiale de la santé.

Le transfert visé par l'article 44 inclut toute transmission, communication ou mise à disposition de données personnelles à un destinataire situé en dehors de l'Union européenne, que ce transfert soit ponctuel ou régulier, technique ou juridique, direct ou indirect. Sont notamment concernés les transferts vers des filiales ou partenaires situés hors de l'Union, les hébergements de données sur des serveurs situés dans des pays tiers, les accès à distance à des données depuis un pays tiers, ou encore les divulgations de données à des autorités publiques étrangères.

L'article 44 s'applique également aux transferts ultérieurs, c'est-à-dire aux transferts de données depuis un pays tiers vers un autre pays tiers ou une autre organisation internationale. Cette disposition garantit que le niveau de protection des données est maintenu tout au long de la chaîne de traitement, y compris en cas de transferts successifs entre plusieurs pays tiers.

Principe de continuité de la protection

Le principe fondamental posé par l'article 44 est celui de la continuité de la protection des données personnelles. Le transfert de données vers un pays tiers ne doit pas avoir pour effet de compromettre le niveau de protection des personnes physiques garanti par le RGPD. Cette exigence impose que les données transférées continuent de bénéficier de garanties équivalentes à celles prévues par le RGPD, même après leur transfert en dehors de l'Union européenne.

Ce principe de continuité de la protection signifie que les personnes concernées doivent continuer de pouvoir exercer leurs droits (droit d'accès, de rectification, d'effacement, d'opposition, etc.), que les données doivent être traitées de manière licite, loyale et transparente, qu'elles doivent être protégées par des mesures de sécurité appropriées et qu'elles doivent être conservées uniquement pour la durée nécessaire à la réalisation des finalités du traitement.

Conditions de licéité du transfert

L'article 44 impose que tout transfert de données respecte les conditions définies dans le chapitre V du RGPD, sous réserve des autres dispositions du règlement. Ces conditions recouvrent trois mécanismes principaux : les transferts fondés sur une décision d'adéquation (article 45), les transferts moyennant des garanties appropriées (article 46) et les dérogations pour des situations particulières (article 49).

En outre, l'article 44 précise que le transfert doit respecter toutes les autres dispositions du RGPD, notamment les principes relatifs au traitement des données (article 5), les bases légales du traitement (article 6), les conditions du consentement (article 7), les obligations de sécurité (article 32), les droits des personnes concernées (articles 12 à 23) et les obligations de responsabilisation (accountability). Le respect de ces conditions cumulatives garantit que le transfert de données est licite et que les personnes concernées bénéficient d'une protection effective.

Articulation avec les autres dispositions du chapitre V

L'article 44 constitue le principe général du chapitre V du RGPD et s'articule avec les articles 45 à 50, qui définissent les trois mécanismes de transfert autorisés. L'article 45 prévoit que les transferts vers des pays bénéficiant d'une décision d'adéquation de la Commission européenne sont autorisés sans nécessiter de garanties supplémentaires. L'article 46 prévoit que les transferts vers des pays ne bénéficiant pas d'une décision d'adéquation peuvent être autorisés moyennant des garanties appropriées, telles que les clauses contractuelles types, les règles d'entreprise contraignantes ou les codes de conduite approuvés.

Enfin, l'article 49 prévoit des dérogations pour des situations particulières, permettant exceptionnellement des transferts vers des pays tiers ne bénéficiant ni d'une décision d'adéquation ni de garanties appropriées, sous réserve de conditions strictes telles que le consentement explicite de la personne concernée, la nécessité pour l'exécution d'un contrat ou la protection d'intérêts vitaux. L'article 44 garantit que ces trois mécanismes respectent le principe de continuité de la protection et que le niveau de protection des personnes physiques n'est pas compromis.

Transferts ultérieurs et chaîne de responsabilité

L'article 44 s'applique également aux transferts ultérieurs de données depuis un pays tiers vers un autre pays tiers ou une autre organisation internationale. Cette disposition impose au responsable du traitement initial de s'assurer que les destinataires des données respectent les conditions de transfert prévues par le chapitre V, y compris en cas de transferts successifs entre plusieurs pays tiers.

Cette exigence implique que les contrats de transfert, tels que les clauses contractuelles types ou les règles d'entreprise contraignantes, doivent prévoir des clauses de transfert ultérieur, imposant au destinataire des données de respecter les mêmes garanties en cas de transfert vers un autre pays tiers. Le non-respect de ces obligations peut engager la responsabilité du responsable du traitement initial, même si la violation est commise par un destinataire situé dans un pays tiers.

Jurisprudence relative à l'article 44

La Cour de justice de l'Union européenne (CJUE) a rendu plusieurs arrêts fondamentaux relatifs aux transferts de données vers des pays tiers, renforçant les exigences de l'article 44. Dans l'arrêt Schrems I (C-362/14 du 6 octobre 2015), la CJUE a invalidé la décision de la Commission européenne relative au régime de la « sphère de sécurité » (Safe Harbor) avec les États-Unis, au motif qu'il ne garantissait pas un niveau de protection essentiellement équivalent à celui garanti par le RGPD.

Dans l'arrêt Schrems II (C-311/18 du 16 juillet 2020), la CJUE a invalidé la décision d'adéquation relative au bouclier de protection des données UE-États-Unis (Privacy Shield), pour des motifs similaires. La CJUE a rappelé que le niveau de protection garanti par un pays tiers doit être essentiellement équivalent à celui garanti par le RGPD et la Charte des droits fondamentaux de l'Union européenne. Elle a également précisé que les responsables de traitement et sous-traitants doivent vérifier, au cas par cas, que les clauses contractuelles types offrent des garanties suffisantes, compte tenu de la législation et des pratiques du pays tiers de destination.

Ces arrêts renforcent considérablement les obligations des responsables de traitement en matière de transferts internationaux de données et imposent une analyse rigoureuse de la législation et des pratiques des pays tiers avant tout transfert de données.

Recommandations de la CNIL et du CEPD

Le Comité européen de la protection des données (CEPD) a adopté les recommandations 01/2020 relatives aux mesures complétant les outils de transfert afin d'assurer le respect du niveau de protection des données à caractère personnel de l'UE. Ces recommandations précisent les obligations des responsables de traitement en matière d'analyse des transferts vers des pays tiers, d'identification des risques liés à la législation et aux pratiques du pays de destination, et de mise en œuvre de mesures techniques et organisationnelles supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui du RGPD.

La CNIL française a publié plusieurs guides et supports pédagogiques relatifs aux transferts internationaux de données, notamment un guide pratique sur les clauses contractuelles types et un outil d'analyse des transferts vers des pays tiers. Elle recommande aux responsables de traitement de cartographier l'ensemble de leurs transferts, d'identifier les mécanismes de transfert applicables et de mettre en œuvre les mesures supplémentaires nécessaires pour garantir la conformité avec l'article 44 et les autres dispositions du chapitre V du RGPD.

Le CEPD insiste sur l'importance de l'analyse au cas par cas de chaque transfert, en tenant compte de la nature des données transférées, de la finalité du transfert, des destinataires, de la législation et des pratiques du pays de destination et des risques pour les droits et libertés des personnes concernées. Une analyse générique ou superficielle ne permet pas de garantir le respect de l'article 44 et peut conduire à des sanctions administratives par les autorités de contrôle.

Implications pratiques pour les responsables de traitement

Pour les organisations, l'article 44 impose une vigilance accrue en matière de transferts internationaux de données. Tout transfert vers un pays tiers doit faire l'objet d'une analyse préalable visant à identifier le mécanisme de transfert applicable (décision d'adéquation, garanties appropriées ou dérogation), à vérifier que les conditions de ce mécanisme sont respectées et à s'assurer que le niveau de protection des personnes concernées n'est pas compromis.

Cette analyse doit être documentée et actualisée régulièrement, notamment en cas de modification de la législation ou des pratiques du pays de destination, de changement de destinataire ou d'évolution de la nature des données transférées. Les responsables de traitement doivent également mettre en œuvre les mesures techniques et organisationnelles supplémentaires recommandées par le CEPD, telles que le chiffrement des données, la pseudonymisation, les restrictions d'accès ou les audits réguliers des destinataires.