L'article 48 du Règlement général sur la protection des données (RGPD) établit une règle fondamentale de protection de la souveraineté juridique de l'Union européenne en matière de protection des données personnelles. Il dispose qu'aucune décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant le transfert ou la divulgation de données personnelles ne peut être reconnue ou exécutée, de quelque manière que ce soit, sans qu'elle soit fondée sur un accord international tel qu'un traité d'entraide judiciaire ou un accord de coopération en vigueur entre le pays tiers demandeur et l'Union européenne ou un État membre.
Cette disposition vise à empêcher que les garanties offertes par le RGPD ne soient contournées par des demandes directes de transfert ou de divulgation de données émanant d'autorités de pays tiers, sans intervention et contrôle des autorités compétentes de l'Union européenne ou des États membres. Elle protège ainsi les responsables de traitement et sous-traitants établis dans l'Union contre les pressions ou injonctions de pays tiers susceptibles de violer le RGPD.
L'article 48 constitue un élément essentiel de la protection des données dans un contexte de tensions géopolitiques et de multiplication des demandes d'accès aux données par les autorités de pays tiers, notamment dans le cadre de la lutte contre le terrorisme, de la surveillance des communications ou de l'application du droit fiscal ou douanier. Il garantit que seuls les canaux officiels de coopération internationale peuvent justifier le transfert ou la divulgation de données en réponse à une demande d'une autorité d'un pays tiers.
Texte officiel de l'article 48 du RGPD
L'article 48 du RGPD dispose :
« Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert prévus dans le présent chapitre. »
Ce texte établit une interdiction de principe de reconnaissance ou d'exécution des décisions de pays tiers exigeant le transfert ou la divulgation de données personnelles, sauf si ces décisions sont fondées sur un accord international en vigueur entre le pays tiers demandeur et l'Union européenne ou un État membre.
Portée de l'interdiction
L'article 48 interdit la reconnaissance ou l'exécution de toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données personnelles, sauf si cette décision est fondée sur un accord international tel qu'un traité d'entraide judiciaire en vigueur entre le pays tiers demandeur et l'Union européenne ou un État membre.
Cette interdiction vise à prévenir les transferts ou divulgations de données personnelles qui contourneraient les garanties prévues par le RGPD. Elle s'applique à toutes les formes de décisions de pays tiers, qu'il s'agisse de décisions judiciaires (jugements, ordonnances, injonctions), de décisions administratives (demandes d'autorités de régulation, d'autorités fiscales, d'autorités de surveillance) ou de toute autre forme d'injonction ou de demande contraignante émanant d'une autorité publique d'un pays tiers.
Exception : accords internationaux en vigueur
L'article 48 prévoit une exception à l'interdiction de reconnaissance ou d'exécution des décisions de pays tiers : la décision peut être reconnue ou exécutée si elle est fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union européenne ou un État membre.
Les accords internationaux visés par cette exception incluent notamment les conventions d'entraide judiciaire en matière pénale, les accords de coopération administrative en matière fiscale ou douanière, les accords de coopération entre autorités de régulation ou les accords sectoriels prévoyant l'échange d'informations entre autorités compétentes. Ces accords doivent être en vigueur au moment de la demande et prévoir expressément la possibilité de transfert ou de divulgation de données personnelles en réponse à des demandes des autorités du pays tiers signataire.
L'existence d'un tel accord international garantit que le transfert ou la divulgation de données en réponse à une demande d'un pays tiers respecte les garanties procédurales et substantielles prévues par l'accord, notamment en termes de finalités, de proportionnalité, de protection des droits de la défense et de contrôle par les autorités compétentes de l'Union européenne ou des États membres.
Articulation avec les autres motifs de transfert
L'article 48 précise que l'interdiction de reconnaissance ou d'exécution des décisions de pays tiers s'applique « sans préjudice d'autres motifs de transfert prévus dans le présent chapitre ». Cette précision signifie que l'article 48 n'interdit pas les transferts ou divulgations de données fondés sur d'autres mécanismes prévus par le chapitre V du RGPD, tels que les transferts fondés sur une décision d'adéquation (article 45), les transferts moyennant des garanties appropriées (article 46) ou les dérogations pour des situations particulières (article 49).
Ainsi, un responsable de traitement ou un sous-traitant qui reçoit une demande de transfert ou de divulgation de données émanant d'une autorité d'un pays tiers peut légalement transférer ou divulguer les données si ce transfert ou cette divulgation est fondé sur l'une des bases légales prévues par le chapitre V du RGPD, par exemple si le transfert est nécessaire pour la constatation, l'exercice ou la défense de droits en justice (article 49, paragraphe 1, point e) ou si le transfert est nécessaire pour des motifs importants d'intérêt public (article 49, paragraphe 1, point d).
Toutefois, cette possibilité doit être interprétée restrictivement. Le responsable de traitement ou le sous-traitant doit vérifier que les conditions de la dérogation sont remplies et que le transfert ou la divulgation respecte le principe de proportionnalité et les garanties prévues par le RGPD. Il doit également informer l'autorité de contrôle compétente du transfert ou de la divulgation effectué en réponse à une demande d'un pays tiers, conformément aux exigences de l'article 49, paragraphe 4 du RGPD lorsque le transfert est fondé sur un intérêt légitime impérieux du responsable du traitement.
Implications pour les demandes de divulgation de données (CLOUD Act, FISA, etc.)
L'article 48 a des implications importantes pour les demandes de divulgation de données émanant d'autorités de pays tiers, notamment dans le cadre de législations extraterritoriales telles que le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act) ou le FISA (Foreign Intelligence Surveillance Act). Ces législations permettent aux autorités américaines d'exiger la divulgation de données détenues par des prestataires de services établis aux États-Unis, y compris lorsque ces données sont stockées en dehors du territoire américain.
L'article 48 interdit aux responsables de traitement et sous-traitants établis dans l'Union européenne de reconnaître ou d'exécuter de telles demandes, sauf si elles sont fondées sur un accord international en vigueur entre l'Union européenne ou un État membre et les États-Unis. L'accord de coopération judiciaire UE-États-Unis en matière pénale (MLAT - Mutual Legal Assistance Treaty) constitue un tel accord international, mais son champ d'application et ses procédures sont strictement encadrés.
En l'absence d'accord international applicable, le responsable de traitement ou le sous-traitant doit refuser de transférer ou de divulguer les données en réponse à la demande de l'autorité du pays tiers, sous peine de violation de l'article 48 et d'éventuelles sanctions administratives par l'autorité de contrôle compétente. Il doit informer l'autorité du pays tiers de l'impossibilité de donner suite à sa demande en l'absence de base légale conforme au RGPD et l'orienter vers les canaux officiels de coopération internationale.
Articulation avec les autres dispositions du RGPD
L'article 48 s'inscrit dans le cadre général du chapitre V du RGPD et s'articule avec l'article 44, qui pose le principe général de continuité de la protection, l'article 45, qui prévoit les transferts fondés sur une décision d'adéquation, l'article 46, qui énumère les garanties appropriées pour les transferts internationaux de données, et l'article 49, qui prévoit des dérogations pour des situations particulières.
L'article 48 doit également être lu en lien avec l'article 83, paragraphe 5, point c) du RGPD, qui prévoit des amendes administratives pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent en cas de transfert ou de divulgation de données en violation des dispositions du chapitre V. Il s'articule également avec les obligations de coopération avec les autorités de contrôle prévues aux articles 55 et suivants du RGPD.
Jurisprudence relative à l'article 48
À ce jour, peu de décisions jurisprudentielles portent spécifiquement sur l'article 48, en raison de son caractère récent et de la difficulté à identifier les cas où des responsables de traitement ou sous-traitants ont effectivement transféré ou divulgué des données en violation de cette disposition. Néanmoins, l'arrêt Schrems II de la Cour de justice de l'Union européenne (C-311/18 du 16 juillet 2020) a des implications importantes pour l'interprétation de l'article 48.
Dans cet arrêt, la CJUE a rappelé que les législations des pays tiers permettant l'accès massif et généralisé des autorités publiques aux données personnelles transférées ne garantissent pas un niveau de protection essentiellement équivalent à celui du RGPD. La CJUE a souligné que les responsables de traitement et sous-traitants doivent vérifier, au cas par cas, que les transferts de données vers des pays tiers respectent les exigences du RGPD, y compris lorsque ces transferts sont effectués en réponse à des demandes d'autorités publiques du pays tiers.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données (CEPD) a adopté les recommandations 02/2020 relatives aux garanties essentielles européennes applicables aux mesures de surveillance, précisant les conditions dans lesquelles les transferts ou divulgations de données en réponse à des demandes d'autorités de pays tiers peuvent être considérés comme conformes au RGPD. Le CEPD recommande notamment aux responsables de traitement et sous-traitants de vérifier l'existence d'un accord international applicable avant de donner suite à une demande de transfert ou de divulgation émanant d'une autorité d'un pays tiers.
La CNIL française recommande aux responsables de traitement et sous-traitants de mettre en place des procédures internes de gestion des demandes de transfert ou de divulgation de données émanant d'autorités de pays tiers, incluant la vérification de l'existence d'un accord international applicable, la consultation du délégué à la protection des données, l'information de l'autorité de contrôle compétente et la documentation de la décision prise. Elle rappelle également que le refus de transférer ou de divulguer des données en l'absence de base légale conforme au RGPD ne constitue pas une violation des obligations du responsable de traitement ou du sous-traitant, mais au contraire une application rigoureuse de l'article 48.
Implications pratiques pour les responsables de traitement
Pour les organisations établies dans l'Union européenne, l'article 48 impose une vigilance accrue en cas de réception d'une demande de transfert ou de divulgation de données émanant d'une juridiction ou d'une autorité administrative d'un pays tiers. Les organisations doivent vérifier l'existence d'un accord international applicable avant de donner suite à la demande, et refuser le transfert ou la divulgation en l'absence d'un tel accord, sauf si un autre motif de transfert prévu par le chapitre V du RGPD est applicable.
Les organisations doivent également mettre en place des procédures internes de gestion de ces demandes, incluant la consultation du délégué à la protection des données, l'information de l'autorité de contrôle compétente et la documentation de la décision prise. En cas de doute sur l'applicabilité d'un accord international ou sur la licéité du transfert ou de la divulgation, les organisations doivent consulter l'autorité de contrôle compétente avant de donner suite à la demande.
L'article 48 du RGPD établit une règle fondamentale de protection de la souveraineté juridique de l'Union européenne en matière de protection des données personnelles. Il interdit la reconnaissance ou l'exécution de toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant le transfert ou la divulgation de données personnelles, sauf si cette décision est fondée sur un accord international en vigueur entre le pays tiers demandeur et l'Union européenne ou un État membre. Cette disposition vise à empêcher que les garanties offertes par le RGPD ne soient contournées par des demandes directes de transfert ou de divulgation de données émanant d'autorités de pays tiers, et impose aux organisations de vérifier rigoureusement la base légale de toute demande de transfert ou de divulgation avant d'y donner suite.