L'article 46 du Règlement général sur la protection des données (RGPD) définit les mécanismes permettant de transférer des données personnelles vers des pays tiers ou des organisations internationales ne bénéficiant pas d'une décision d'adéquation de la Commission européenne, moyennant la mise en place de garanties appropriées. Ces garanties visent à compenser l'absence de décision d'adéquation en assurant que les données transférées continueront de bénéficier d'un niveau de protection essentiellement équivalent à celui garanti par le RGPD.

L'article 46 énumère plusieurs types de garanties appropriées, parmi lesquelles figurent les clauses contractuelles types (CCT ou SCC pour Standard Contractual Clauses), les règles d'entreprise contraignantes (BCR pour Binding Corporate Rules), les codes de conduite approuvés et les mécanismes de certification approuvés. Ces instruments juridiques offrent une flexibilité aux organisations tout en garantissant un niveau de protection élevé des données personnelles transférées.

L'article 46 constitue le mécanisme de transfert le plus couramment utilisé par les organisations qui transfèrent des données vers des pays ne bénéficiant pas d'une décision d'adéquation, notamment les États-Unis (en dehors du cadre de protection des données UE-États-Unis), la Chine, l'Inde ou la Russie. Il impose aux responsables de traitement et aux sous-traitants de vérifier, au cas par cas, que les garanties appropriées offrent une protection effective compte tenu de la législation et des pratiques du pays de destination.

Texte officiel de l'article 46 du RGPD

L'article 46 du RGPD dispose notamment que :

« 1. En l'absence de décision en application de l'article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d'une autorité de contrôle, par : a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ; b) des règles d'entreprise contraignantes conformément à l'article 47 ; c) des clauses types de protection des données adoptées par la Commission conformément à la procédure d'examen visée à l'article 93, paragraphe 2 ; d) des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission conformément à la procédure d'examen visée à l'article 93, paragraphe 2 ; e) un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ; ou f) un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par : a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale ; ou b) des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

4. L'autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l'article 63 dans les cas visés au paragraphe 3 du présent article.

5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valides jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par cette autorité de contrôle. Les constatations adoptées par la Commission sur le fondement de l'article 26, paragraphe 4, de la directive 95/46/CE restent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article. »

Ce texte énumère les différents types de garanties appropriées permettant de transférer des données vers des pays tiers ne bénéficiant pas d'une décision d'adéquation, ainsi que les conditions de mise en œuvre et d'autorisation de ces garanties par les autorités de contrôle.

Principe des garanties appropriées

Le paragraphe 1 de l'article 46 pose le principe selon lequel, en l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant ne peut transférer des données vers un pays tiers ou une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

Cette exigence impose aux organisations de mettre en œuvre des instruments juridiques garantissant que les données transférées continueront de bénéficier d'un niveau de protection essentiellement équivalent à celui du RGPD, malgré l'absence de décision d'adéquation du pays de destination. Les garanties appropriées doivent être suffisamment précises et contraignantes pour offrir une protection effective aux personnes concernées, incluant notamment le droit d'accès, de rectification, d'effacement et de recours effectif.

Clauses contractuelles types (CCT/SCC)

Le paragraphe 2, point c) de l'article 46 prévoit que les garanties appropriées peuvent être fournies par des clauses types de protection des données adoptées par la Commission européenne. Ces clauses contractuelles types (CCT), également appelées Standard Contractual Clauses (SCC) en anglais, constituent l'instrument de transfert le plus couramment utilisé par les organisations.

La Commission européenne a adopté plusieurs ensembles de clauses contractuelles types couvrant différents scénarios de transfert : responsable du traitement vers responsable du traitement, responsable du traitement vers sous-traitant, sous-traitant vers sous-traitant. Les clauses contractuelles types en vigueur ont été adoptées le 4 juin 2021 par la décision d'exécution (UE) 2021/914 de la Commission, remplaçant les anciennes clauses adoptées en 2001 et 2010.

Les clauses contractuelles types fixent les obligations contractuelles du responsable du traitement ou du sous-traitant situé dans le pays tiers en matière de protection des données, de sécurité, de droits des personnes concernées et de coopération avec les autorités de contrôle. Elles prévoient également des clauses de responsabilité et des voies de droit pour les personnes concernées en cas de violation des clauses.

Règles d'entreprise contraignantes (BCR)

Le paragraphe 2, point b) de l'article 46 prévoit que les garanties appropriées peuvent être fournies par des règles d'entreprise contraignantes conformément à l'article 47 du RGPD. Les règles d'entreprise contraignantes (Binding Corporate Rules ou BCR) sont des politiques internes de protection des données adoptées par les groupes d'entreprises ou les groupes d'entreprises engagés dans une activité économique conjointe, permettant les transferts de données au sein du groupe, y compris vers des entités situées dans des pays tiers ne bénéficiant pas d'une décision d'adéquation.

Les BCR doivent être approuvées par les autorités de contrôle compétentes et offrir aux personnes concernées des droits opposables et des voies de droit effectives. Elles constituent un instrument de transfert particulièrement adapté aux groupes multinationaux réalisant des transferts fréquents et structurels de données entre leurs différentes entités. L'approbation des BCR nécessite toutefois une procédure longue et complexe auprès des autorités de contrôle.

Autres garanties appropriées

L'article 46 prévoit également d'autres types de garanties appropriées, tels que les instruments juridiquement contraignants et exécutoires entre les autorités ou organismes publics (paragraphe 2, point a), les codes de conduite approuvés assortis d'engagements contraignants (paragraphe 2, point e) et les mécanismes de certification approuvés assortis d'engagements contraignants (paragraphe 2, point f).

Le paragraphe 3 de l'article 46 prévoit également que, sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées peuvent être fournies par des clauses contractuelles ad hoc entre le responsable du traitement ou le sous-traitant et le destinataire des données dans le pays tiers, ou par des dispositions intégrées dans des arrangements administratifs entre les autorités publiques ou les organismes publics. Ces mécanismes offrent une flexibilité aux organisations mais nécessitent une autorisation préalable de l'autorité de contrôle.

Obligations post-Schrems II : analyse d'impact et mesures supplémentaires

Depuis l'arrêt Schrems II de la Cour de justice de l'Union européenne (C-311/18 du 16 juillet 2020), les responsables de traitement et sous-traitants doivent vérifier, au cas par cas, que les garanties appropriées offrent une protection effective compte tenu de la législation et des pratiques du pays de destination. Cette obligation impose aux organisations de réaliser une analyse d'impact du transfert (Transfer Impact Assessment ou TIA) avant tout transfert de données vers un pays tiers ne bénéficiant pas d'une décision d'adéquation.

Cette analyse doit porter sur les risques d'accès des autorités publiques du pays de destination aux données transférées, les garanties juridiques et pratiques offertes contre ces accès, et la nécessité de mettre en œuvre des mesures techniques et organisationnelles supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui du RGPD. Ces mesures supplémentaires peuvent inclure le chiffrement des données, la pseudonymisation, les restrictions d'accès, les audits réguliers ou la minimisation des données transférées.

Le Comité européen de la protection des données (CEPD) a adopté les recommandations 01/2020 relatives aux mesures complétant les outils de transfert, précisant les obligations des responsables de traitement en matière d'analyse d'impact du transfert et de mise en œuvre de mesures supplémentaires. Ces recommandations constituent une référence pour les organisations souhaitant garantir la conformité de leurs transferts avec l'arrêt Schrems II.

Articulation avec les autres dispositions du RGPD

L'article 46 s'inscrit dans le cadre général du chapitre V du RGPD et s'articule avec l'article 44, qui pose le principe général de continuité de la protection, l'article 45, qui prévoit les transferts fondés sur une décision d'adéquation, et l'article 49, qui prévoit des dérogations exceptionnelles pour des situations particulières.

L'article 46 s'articule également avec l'article 47, qui définit les conditions d'approbation des règles d'entreprise contraignantes, et avec les articles 40 et 42, qui définissent respectivement les codes de conduite et les mécanismes de certification pouvant servir de garanties appropriées pour les transferts internationaux de données.

Jurisprudence relative à l'article 46

L'arrêt Schrems II de la Cour de justice de l'Union européenne (C-311/18 du 16 juillet 2020) a profondément modifié l'interprétation et l'application de l'article 46. La CJUE a rappelé que les responsables de traitement et sous-traitants doivent vérifier, au cas par cas, que les garanties appropriées, telles que les clauses contractuelles types, offrent en pratique une protection effective compte tenu de la législation et des pratiques du pays de destination.

La CJUE a précisé que si la législation du pays de destination ne permet pas de garantir un niveau de protection essentiellement équivalent à celui du RGPD, notamment en raison de l'accès massif et généralisé des autorités publiques aux données transférées, les responsables de traitement doivent mettre en œuvre des mesures techniques et organisationnelles supplémentaires ou suspendre le transfert si aucune mesure supplémentaire ne permet de garantir une protection effective.

Cet arrêt a conduit le CEPD à adopter les recommandations 01/2020 relatives aux mesures complétant les outils de transfert, précisant les obligations des responsables de traitement en matière d'analyse d'impact du transfert et de mise en œuvre de mesures supplémentaires.

Recommandations de la CNIL et du CEPD

Le Comité européen de la protection des données (CEPD) a adopté les recommandations 01/2020 relatives aux mesures complétant les outils de transfert afin d'assurer le respect du niveau de protection des données à caractère personnel de l'UE. Ces recommandations précisent les obligations des responsables de traitement en matière d'analyse d'impact du transfert, d'identification des risques liés à la législation et aux pratiques du pays de destination, et de mise en œuvre de mesures techniques et organisationnelles supplémentaires.

La CNIL française a publié un guide pratique sur les transferts internationaux de données et un outil d'analyse des transferts vers des pays tiers. Elle recommande aux responsables de traitement de cartographier l'ensemble de leurs transferts, d'identifier les mécanismes de transfert applicables, de réaliser une analyse d'impact du transfert pour chaque flux de données et de mettre en œuvre les mesures supplémentaires nécessaires pour garantir la conformité avec l'article 46 et les recommandations du CEPD.

Le CEPD et la CNIL insistent sur l'importance de l'analyse au cas par cas de chaque transfert, en tenant compte de la nature des données transférées, de la finalité du transfert, des destinataires, de la législation et des pratiques du pays de destination et des risques pour les droits et libertés des personnes concernées.

Implications pratiques pour les responsables de traitement

Pour les organisations, l'article 46 impose une vigilance accrue en matière de transferts internationaux de données. Tout transfert vers un pays ne bénéficiant pas d'une décision d'adéquation doit faire l'objet d'une analyse préalable visant à identifier le mécanisme de garanties appropriées applicable (clauses contractuelles types, règles d'entreprise contraignantes, code de conduite ou mécanisme de certification), à vérifier que les conditions de ce mécanisme sont respectées et à s'assurer que le niveau de protection des personnes concernées n'est pas compromis.

Depuis l'arrêt Schrems II, les organisations doivent également réaliser une analyse d'impact du transfert (TIA) pour chaque flux de données, évaluant les risques d'accès des autorités publiques du pays de destination aux données transférées et la nécessité de mettre en œuvre des mesures techniques et organisationnelles supplémentaires pour garantir une protection effective. Cette analyse doit être documentée et actualisée régulièrement.

L'article 46 du RGPD définit les mécanismes permettant de transférer des données vers des pays tiers ne bénéficiant pas d'une décision d'adéquation, moyennant la mise en place de garanties appropriées telles que les clauses contractuelles types, les règles d'entreprise contraignantes, les codes de conduite ou les mécanismes de certification. Depuis l'arrêt Schrems II de la CJUE, les organisations doivent vérifier, au cas par cas, que ces garanties offrent une protection effective compte tenu de la législation et des pratiques du pays de destination, et mettre en œuvre des mesures techniques et organisationnelles supplémentaires si nécessaire. L'article 46 constitue ainsi le mécanisme de transfert le plus couramment utilisé par les organisations, sous réserve d'une analyse rigoureuse et d'une documentation complète de chaque flux de données.