L'article 45 du Règlement général sur la protection des données (RGPD) définit le mécanisme de la décision d'adéquation, par lequel la Commission européenne reconnaît qu'un pays tiers, un territoire ou un secteur déterminé d'un pays tiers, ou une organisation internationale, assure un niveau de protection essentiellement équivalent à celui garanti par le RGPD. Cette reconnaissance permet aux responsables de traitement et aux sous-traitants de transférer librement des données personnelles vers ces pays ou organisations, sans avoir besoin de recourir à des garanties supplémentaires.
La décision d'adéquation constitue le mécanisme de transfert le plus simple et le plus sécurisé juridiquement pour les organisations, puisqu'elle dispense de toute formalité ou évaluation au cas par cas. Elle repose sur une évaluation rigoureuse par la Commission européenne du cadre juridique et des pratiques du pays tiers en matière de protection des données, garantissant que les personnes concernées bénéficient de droits et de recours effectifs équivalents à ceux prévus par le RGPD.
L'article 45 prévoit également que les décisions d'adéquation font l'objet d'un réexamen périodique, au moins tous les quatre ans, afin de vérifier que le niveau de protection garanti par le pays tiers reste essentiellement équivalent à celui du RGPD. Cette exigence garantit que les décisions d'adéquation sont actualisées en fonction de l'évolution de la législation et des pratiques des pays tiers.
Texte officiel de l'article 45 du RGPD
L'article 45 du RGPD dispose notamment que :
« 1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.
2. Lorsqu'elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants : a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans ce pays ou au sein de cette organisation internationale, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées, ainsi que des recours administratifs et judiciaires effectifs pour les personnes concernées dont les données à caractère personnel sont transférées ; b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou auxquelles une organisation internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire respecter, y compris par des pouvoirs d'exécution appropriés, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres ; et c) les engagements internationaux que le pays tiers ou l'organisation internationale en question a pris, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.
3. La Commission peut, après avoir évalué le caractère adéquat du niveau de protection, adopter, par voie d'actes d'exécution, une décision constatant qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L'acte d'exécution prévoit un mécanisme de réexamen périodique, au moins tous les quatre ans, qui tient compte de toute évolution pertinente dans le pays tiers ou au sein de l'organisation internationale. L'acte d'exécution précise son champ d'application territorial et sectoriel et, le cas échéant, désigne la ou les autorités de contrôle visées au paragraphe 2, point b), du présent article. L'acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
4. La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE.
5. La Commission abroge, modifie ou suspend, par voie d'actes d'exécution, sans effet rétroactif, la décision visée au paragraphe 3 du présent article dans la mesure nécessaire et sans effet rétroactif lorsqu'elle constate, en particulier à la suite du réexamen visé au paragraphe 3 du présent article, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n'assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article. »
Ce texte établit le mécanisme de la décision d'adéquation, les critères d'évaluation du caractère adéquat du niveau de protection, la procédure d'adoption et de réexamen des décisions d'adéquation, ainsi que les pouvoirs de la Commission pour abroger, modifier ou suspendre une décision d'adéquation en cas de modification du niveau de protection garanti par le pays tiers.
Principe et portée de la décision d'adéquation
Le paragraphe 1 de l'article 45 prévoit qu'un transfert de données vers un pays tiers ou une organisation internationale peut avoir lieu lorsque la Commission européenne a constaté, par voie de décision, que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question, assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.
Cette disposition simplifie considérablement les transferts vers les pays bénéficiant d'une décision d'adéquation, puisque les responsables de traitement et sous-traitants peuvent transférer librement des données vers ces pays, sans avoir à mettre en œuvre de garanties supplémentaires telles que les clauses contractuelles types ou les règles d'entreprise contraignantes. La décision d'adéquation repose sur une évaluation globale du cadre juridique et des pratiques du pays tiers, dispensant les organisations d'une analyse au cas par cas.
À ce jour, la Commission européenne a adopté des décisions d'adéquation pour plusieurs pays et territoires, notamment l'Andorre, l'Argentine, le Canada (pour les organisations soumises à la loi sur la protection des renseignements personnels et les documents électroniques - PIPEDA), les îles Féroé, Guernesey, l'île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse, l'Uruguay, le Royaume-Uni, la Corée du Sud et le Japon (sous certaines conditions). Ces décisions d'adéquation facilitent les échanges commerciaux et la coopération entre l'Union européenne et ces pays.
Critères d'évaluation du caractère adéquat
Le paragraphe 2 de l'article 45 énumère les éléments que la Commission européenne doit prendre en compte pour évaluer le caractère adéquat du niveau de protection garanti par un pays tiers ou une organisation internationale. Ces critères incluent l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente en matière de protection des données et de sécurité publique, l'accès des autorités publiques aux données personnelles, les règles de protection des données, les mesures de sécurité, la jurisprudence, les droits effectifs et opposables des personnes concernées et les recours administratifs et judiciaires effectifs.
La Commission doit également vérifier l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, chargées d'assurer le respect des règles en matière de protection des données, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres. L'absence d'une autorité de contrôle indépendante et efficace constitue un obstacle majeur à la reconnaissance du caractère adéquat du niveau de protection.
Enfin, la Commission prend en compte les engagements internationaux du pays tiers, notamment sa participation à des conventions ou instruments juridiquement contraignants et à des systèmes multilatéraux ou régionaux en matière de protection des données. Ces éléments permettent d'apprécier la volonté du pays tiers de garantir un niveau de protection élevé des données personnelles dans le cadre de ses relations internationales.
Procédure d'adoption des décisions d'adéquation
Le paragraphe 3 de l'article 45 prévoit que la Commission européenne peut, après avoir évalué le caractère adéquat du niveau de protection, adopter par voie d'actes d'exécution une décision constatant qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat. Cette décision d'exécution est adoptée conformément à la procédure d'examen prévue à l'article 93, paragraphe 2 du RGPD, garantissant l'association des États membres à la procédure d'adoption.
La décision d'adéquation prévoit un mécanisme de réexamen périodique, au moins tous les quatre ans, tenant compte de toute évolution pertinente dans le pays tiers ou au sein de l'organisation internationale. Ce réexamen garantit que les décisions d'adéquation sont actualisées en fonction de l'évolution de la législation, de la jurisprudence et des pratiques du pays tiers, ainsi que des éventuelles recommandations des autorités de contrôle ou du Comité européen de la protection des données (CEPD).
La décision d'adéquation précise son champ d'application territorial et sectoriel et, le cas échéant, désigne la ou les autorités de contrôle compétentes dans le pays tiers. Cette précision garantit la clarté et la sécurité juridique des transferts de données vers le pays bénéficiaire de la décision d'adéquation.
Suivi permanent et réexamen des décisions d'adéquation
Le paragraphe 4 de l'article 45 impose à la Commission européenne de suivre, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions d'adéquation adoptées. Ce suivi permanent garantit que la Commission peut réagir rapidement en cas de modification du cadre juridique ou des pratiques du pays tiers susceptible de remettre en cause le caractère adéquat du niveau de protection.
Ce suivi peut être alimenté par les rapports des autorités de contrôle nationales, les observations du Comité européen de la protection des données (CEPD), les réclamations des personnes concernées ou les analyses d'organisations non gouvernementales spécialisées dans la protection des données. Il permet à la Commission de détecter rapidement les évolutions susceptibles de compromettre le niveau de protection garanti par le pays tiers et d'engager, le cas échéant, une procédure de modification ou d'abrogation de la décision d'adéquation.
Abrogation, modification ou suspension des décisions d'adéquation
Le paragraphe 5 de l'article 45 confère à la Commission européenne le pouvoir d'abroger, de modifier ou de suspendre, par voie d'actes d'exécution et sans effet rétroactif, une décision d'adéquation lorsqu'elle constate qu'un pays tiers, un territoire ou une organisation internationale n'assure plus un niveau de protection adéquat. Cette constatation peut résulter du réexamen périodique prévu au paragraphe 3, du suivi permanent prévu au paragraphe 4 ou de circonstances exceptionnelles révélant une dégradation du niveau de protection.
L'abrogation, la modification ou la suspension d'une décision d'adéquation a des conséquences importantes pour les organisations qui transfèrent des données vers le pays concerné. Elles doivent alors mettre en œuvre des garanties appropriées conformément à l'article 46 du RGPD ou cesser les transferts si aucune garantie appropriée ne peut être mise en place. L'absence d'effet rétroactif garantit que les transferts réalisés avant l'abrogation ou la modification de la décision d'adéquation restent licites.
Articulation avec les autres dispositions du RGPD
L'article 45 s'inscrit dans le cadre général du chapitre V du RGPD et s'articule avec l'article 44, qui pose le principe général de continuité de la protection, et l'article 46, qui prévoit les garanties appropriées applicables en l'absence de décision d'adéquation. Il s'articule également avec l'article 49, qui prévoit des dérogations exceptionnelles pour des situations particulières.
La décision d'adéquation ne dispense pas les responsables de traitement et sous-traitants de leurs autres obligations au titre du RGPD, notamment les principes relatifs au traitement des données (article 5), les bases légales du traitement (article 6), les obligations de sécurité (article 32) et les droits des personnes concernées (articles 12 à 23). Elle facilite uniquement le transfert de données en dispensant de la mise en œuvre de garanties supplémentaires spécifiques aux transferts internationaux.
Jurisprudence relative à l'article 45
La Cour de justice de l'Union européenne (CJUE) a rendu deux arrêts majeurs relatifs aux décisions d'adéquation, remettant en cause les mécanismes de transfert de données vers les États-Unis. Dans l'arrêt Schrems I (C-362/14 du 6 octobre 2015), la CJUE a invalidé la décision de la Commission européenne relative au régime de la « sphère de sécurité » (Safe Harbor), au motif qu'il ne garantissait pas un niveau de protection essentiellement équivalent à celui du RGPD, notamment en raison de l'accès massif et généralisé des autorités de surveillance américaines aux données personnelles transférées.
Dans l'arrêt Schrems II (C-311/18 du 16 juillet 2020), la CJUE a invalidé la décision d'adéquation relative au bouclier de protection des données UE-États-Unis (Privacy Shield), pour des motifs similaires. La CJUE a rappelé que le niveau de protection garanti par un pays tiers doit être essentiellement équivalent à celui garanti par le RGPD et la Charte des droits fondamentaux de l'Union européenne, notamment en ce qui concerne les limitations et garanties applicables à l'accès des autorités publiques aux données personnelles.
Ces arrêts ont conduit les États-Unis et l'Union européenne à négocier un nouveau cadre de transfert, aboutissant à l'adoption de la décision d'adéquation relative au cadre de protection des données UE-États-Unis (Data Privacy Framework) le 10 juillet 2023, sous réserve d'un suivi attentif de sa mise en œuvre par les autorités de contrôle et le CEPD.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données (CEPD) publie régulièrement des avis sur les projets de décision d'adéquation soumis par la Commission européenne, formulant des recommandations visant à garantir que le niveau de protection garanti par le pays tiers est essentiellement équivalent à celui du RGPD. Le CEPD examine en détail le cadre juridique, la jurisprudence, les pratiques des autorités de contrôle et les garanties offertes aux personnes concernées dans le pays tiers.
La CNIL française recommande aux responsables de traitement de vérifier régulièrement que les pays vers lesquels ils transfèrent des données bénéficient toujours d'une décision d'adéquation en vigueur, et de mettre en œuvre rapidement des garanties appropriées en cas d'abrogation, de modification ou de suspension d'une décision d'adéquation. Elle rappelle également que la décision d'adéquation ne dispense pas les organisations de leurs autres obligations au titre du RGPD.
Implications pratiques pour les responsables de traitement
Pour les organisations, les décisions d'adéquation constituent le mécanisme de transfert le plus simple et le plus sécurisé juridiquement. Elles permettent de transférer librement des données vers les pays bénéficiaires sans formalité ni garantie supplémentaire. Les organisations doivent toutefois veiller à vérifier régulièrement que les pays vers lesquels elles transfèrent des données bénéficient toujours d'une décision d'adéquation en vigueur, notamment dans le cadre du réexamen périodique prévu à l'article 45.
En cas d'abrogation, de modification ou de suspension d'une décision d'adéquation, les organisations doivent mettre en œuvre rapidement des garanties appropriées conformément à l'article 46 du RGPD, telles que les clauses contractuelles types ou les règles d'entreprise contraignantes, afin de garantir la continuité de leurs transferts de données et le respect de leurs obligations au titre du RGPD.
L'article 45 du RGPD établit le mécanisme de la décision d'adéquation, par lequel la Commission européenne reconnaît qu'un pays tiers ou une organisation internationale assure un niveau de protection essentiellement équivalent à celui du RGPD. Cette reconnaissance permet aux organisations de transférer librement des données vers ces pays, sans formalité ni garantie supplémentaire. Les décisions d'adéquation reposent sur une évaluation rigoureuse du cadre juridique, de la jurisprudence et des pratiques du pays tiers, et font l'objet d'un réexamen périodique au moins tous les quatre ans. Renforcées par la jurisprudence Schrems I et II de la CJUE, les décisions d'adéquation constituent un instrument essentiel de sécurisation des transferts internationaux de données dans le respect des droits et libertés des personnes concernées.