L'article 49 du Règlement général sur la protection des données (RGPD) établit un régime dérogatoire permettant, à titre exceptionnel, le transfert de données personnelles vers des pays tiers ou des organisations internationales ne bénéficiant ni d'une décision d'adéquation ni de garanties appropriées, dans des situations spécifiques strictement définies par le règlement. Ces dérogations constituent une soupape de sécurité permettant de répondre à des besoins ponctuels et impérieux de transfert, tout en préservant le principe général de continuité de la protection posé par l'article 44.

L'article 49 énumère six dérogations principales fondées sur le consentement explicite de la personne concernée, la nécessité pour l'exécution d'un contrat, la nécessité pour la constatation, l'exercice ou la défense de droits en justice, la protection d'intérêts vitaux, la publicité des données issues d'un registre public et les intérêts légitimes impérieux du responsable du traitement. Ces dérogations doivent être interprétées restrictivement et ne peuvent être invoquées que de manière ponctuelle et non répétitive, sauf exception prévue par le règlement.

L'article 49 impose également des obligations spécifiques de documentation et d'information en cas de recours aux dérogations, notamment lorsque le transfert est fondé sur les intérêts légitimes impérieux du responsable du traitement. Il prévoit également des restrictions particulières pour les transferts effectués par les autorités publiques, qui ne peuvent bénéficier de certaines dérogations sans base juridique spécifique dans le droit de l'Union ou le droit d'un État membre.

Texte officiel de l'article 49 du RGPD

L'article 49 du RGPD dispose notamment que :

« 1. En l'absence d'une décision d'adéquation en application de l'article 45, paragraphe 3, ou de garanties appropriées en application de l'article 46, y compris des règles d'entreprise contraignantes, un transfert ou un ensemble de transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale n'a lieu que si l'une des conditions suivantes est remplie : a) la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées ; b) le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ; c) le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ; d) le transfert est nécessaire pour des motifs importants d'intérêt public ; e) le transfert est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice ; f) le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ; g) le transfert a lieu au départ d'un registre qui, conformément au droit de l'Union ou au droit d'un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d'un intérêt légitime, mais uniquement dans la mesure où les conditions prévues pour la consultation dans le droit de l'Union ou le droit de l'État membre sont remplies dans le cas d'espèce.

2. Un transfert en application du paragraphe 1, premier alinéa, point g), ne peut concerner la totalité des données à caractère personnel ni des catégories entières de données figurant dans le registre. Lorsque le registre est destiné à être consulté par des personnes justifiant d'un intérêt légitime, le transfert n'a lieu qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires.

3. Le paragraphe 1, premier alinéa, points a), b) et c), ne s'appliquent pas aux activités des autorités publiques dans l'exercice de leurs prérogatives de puissance publique.

4. L'intérêt public visé au paragraphe 1, premier alinéa, point d), doit être reconnu dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis.

5. En l'absence d'une décision d'adéquation ou de garanties appropriées, y compris des règles d'entreprise contraignantes, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que si le transfert ne présente pas un caractère répétitif, qu'il ne concerne qu'un nombre limité de personnes concernées, qu'il est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée et que le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel. Le responsable du traitement informe l'autorité de contrôle du transfert. Le responsable du traitement informe la personne concernée du transfert et des intérêts légitimes impérieux qu'il poursuit, en plus de lui fournir les informations visées à l'article 13 et à l'article 14. »

Ce texte énumère les six dérogations permettant exceptionnellement le transfert de données vers des pays tiers ne bénéficiant ni d'une décision d'adéquation ni de garanties appropriées, ainsi que les conditions et limitations applicables à ces dérogations.

Dérogation fondée sur le consentement explicite

Le paragraphe 1, point a) de l'article 49 prévoit que le transfert peut avoir lieu si la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l'absence de décision d'adéquation et de garanties appropriées.

Cette dérogation impose un niveau d'exigence élevé en matière de consentement. Le consentement doit être explicite, c'est-à-dire qu'il doit résulter d'une déclaration ou d'un acte positif clair de la personne concernée, et non d'un simple silence ou d'une case pré-cochée. La personne concernée doit avoir été préalablement informée des risques spécifiques que le transfert pouvait comporter pour elle, notamment en raison de l'absence de protection équivalente au RGPD dans le pays de destination.

Le Comité européen de la protection des données (CEPD) a précisé, dans ses lignes directrices 2/2018 relatives aux dérogations de l'article 49, que cette dérogation doit être utilisée de manière exceptionnelle et ponctuelle, et qu'elle ne peut justifier des transferts réguliers ou massifs de données. En pratique, cette dérogation est peu utilisée en raison de la difficulté à obtenir un consentement véritablement éclairé et explicite sur les risques du transfert.

Dérogations fondées sur la nécessité contractuelle

Le paragraphe 1, points b) et c) de l'article 49 prévoit deux dérogations fondées sur la nécessité contractuelle. La première (point b) permet le transfert lorsqu'il est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée. La seconde (point c) permet le transfert lorsqu'il est nécessaire à la conclusion ou à l'exécution d'un contrat conclu dans l'intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale.

Ces dérogations permettent notamment de justifier les transferts nécessaires à l'exécution de contrats transfrontaliers, tels que les réservations hôtelières, les achats en ligne, les transferts bancaires internationaux ou les prestations de services impliquant des sous-traitants situés dans des pays tiers. Elles doivent toutefois être interprétées restrictivement : seules les données strictement nécessaires à l'exécution du contrat peuvent être transférées, et le transfert doit être objectivement nécessaire et non simplement utile ou souhaitable.

Le paragraphe 3 de l'article 49 exclut explicitement l'application de ces dérogations aux activités des autorités publiques dans l'exercice de leurs prérogatives de puissance publique, garantissant ainsi un niveau de protection renforcé pour les transferts effectués par les autorités publiques.

Dérogation fondée sur l'intérêt public

Le paragraphe 1, point d) de l'article 49 prévoit que le transfert peut avoir lieu s'il est nécessaire pour des motifs importants d'intérêt public. Cette dérogation permet de justifier les transferts nécessaires à la réalisation de missions d'intérêt public, telles que la coopération internationale en matière de santé publique, de protection de l'environnement, de lutte contre la criminalité ou de sécurité sociale.

Le paragraphe 4 de l'article 49 précise que l'intérêt public doit être reconnu dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis. Cette exigence garantit que l'intérêt public invoqué repose sur une base juridique solide et qu'il ne s'agit pas d'une simple appréciation subjective du responsable du traitement. En pratique, cette dérogation est principalement utilisée par les autorités publiques pour des transferts ponctuels nécessaires à l'exercice de leurs missions de service public.

Dérogation fondée sur les droits en justice

Le paragraphe 1, point e) de l'article 49 prévoit que le transfert peut avoir lieu s'il est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice. Cette dérogation permet de justifier les transferts de données nécessaires dans le cadre de procédures judiciaires ou administratives, telles que la communication de preuves, la constitution de dossiers de défense ou la mise en œuvre de décisions de justice.

Cette dérogation doit être interprétée de manière large, incluant non seulement les procédures contentieuses déjà engagées, mais également les procédures précontentieuses et les situations où le transfert est nécessaire pour prévenir une atteinte aux droits ou pour se constituer des preuves en vue d'une éventuelle action en justice. Toutefois, le transfert doit être objectivement nécessaire et proportionné au regard de l'objectif poursuivi.

Autres dérogations

Le paragraphe 1, point f) de l'article 49 prévoit que le transfert peut avoir lieu s'il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres personnes, lorsque la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement. Cette dérogation permet de justifier les transferts urgents de données médicales nécessaires pour sauver la vie ou préserver la santé d'une personne, notamment dans le cadre de rapatriements sanitaires ou de prises en charge médicales d'urgence à l'étranger.

Le paragraphe 1, point g) de l'article 49 prévoit que le transfert peut avoir lieu au départ d'un registre qui, conformément au droit de l'Union ou au droit d'un État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d'un intérêt légitime. Cette dérogation permet de justifier les transferts de données issues de registres publics, tels que les registres du commerce, les registres fonciers ou les registres d'état civil.

Le paragraphe 2 de l'article 49 précise toutefois que cette dérogation ne peut concerner la totalité des données ni des catégories entières de données figurant dans le registre, et que lorsque le registre est destiné à être consulté par des personnes justifiant d'un intérêt légitime, le transfert n'a lieu qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires. Cette limitation vise à prévenir les transferts massifs de données issues de registres publics.

Dérogation fondée sur les intérêts légitimes impérieux

Le paragraphe 5 de l'article 49 prévoit une dérogation complémentaire permettant le transfert en l'absence de décision d'adéquation ou de garanties appropriées, si le transfert remplit cumulativement cinq conditions strictes : le transfert ne doit pas présenter un caractère répétitif, il ne doit concerner qu'un nombre limité de personnes concernées, il doit être nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, le responsable du traitement doit avoir évalué toutes les circonstances entourant le transfert et doit avoir offert des garanties appropriées en ce qui concerne la protection des données personnelles.

Cette dérogation impose également au responsable du traitement d'informer l'autorité de contrôle du transfert et d'informer la personne concernée du transfert et des intérêts légitimes impérieux poursuivis. Le CEPD a précisé, dans ses lignes directrices 2/2018, que cette dérogation doit être utilisée de manière exceptionnelle et que le caractère impérieux des intérêts légitimes doit être démontré de manière rigoureuse.

Articulation avec les autres dispositions du RGPD

L'article 49 s'inscrit dans le cadre général du chapitre V du RGPD et constitue le dernier mécanisme de transfert envisageable en l'absence de décision d'adéquation ou de garanties appropriées. Il doit être lu en lien avec l'article 44, qui pose le principe général de continuité de la protection, l'article 45, qui prévoit les transferts fondés sur une décision d'adéquation, et l'article 46, qui énumère les garanties appropriées pour les transferts internationaux de données.

L'article 49 s'articule également avec les obligations d'information des personnes concernées prévues aux articles 13 et 14 du RGPD, qui imposent au responsable du traitement d'informer les personnes concernées de l'existence de transferts vers des pays tiers et des garanties appropriées ou dérogations applicables. Il s'articule enfin avec l'article 83, qui prévoit des amendes administratives en cas de transfert de données en violation des dispositions du chapitre V.

Jurisprudence relative à l'article 49

À ce jour, peu de décisions jurisprudentielles portent spécifiquement sur l'article 49, en raison de son caractère dérogatoire et exceptionnel. Néanmoins, plusieurs autorités de contrôle européennes ont sanctionné des responsables de traitement pour utilisation abusive des dérogations prévues à l'article 49, notamment lorsque les transferts présentaient un caractère répétitif ou massif incompatible avec le caractère exceptionnel des dérogations.

La CNIL française a notamment rappelé, dans plusieurs délibérations, que les dérogations de l'article 49 doivent être interprétées restrictivement et ne peuvent se substituer à la mise en œuvre de garanties appropriées conformément à l'article 46 pour des transferts réguliers ou structurels de données. L'utilisation abusive des dérogations peut conduire à des sanctions administratives par l'autorité de contrôle compétente.

Recommandations de la CNIL et du CEPD

Le Comité européen de la protection des données (CEPD) a adopté les lignes directrices 2/2018 relatives aux dérogations de l'article 49 du règlement (UE) 2016/679. Ces lignes directrices précisent les conditions d'application de chaque dérogation, les limites de leur utilisation et les obligations de documentation et d'information du responsable du traitement. Le CEPD insiste sur le caractère exceptionnel et ponctuel des dérogations, qui ne peuvent se substituer à la mise en œuvre de garanties appropriées pour des transferts réguliers ou structurels de données.

La CNIL française recommande aux responsables de traitement de privilégier systématiquement les mécanismes de transfert fondés sur une décision d'adéquation (article 45) ou sur des garanties appropriées (article 46), et de ne recourir aux dérogations de l'article 49 qu'en dernier ressort, lorsqu'aucun autre mécanisme de transfert n'est applicable. Elle recommande également de documenter rigoureusement les transferts effectués sur le fondement d'une dérogation, en justifiant du caractère exceptionnel et nécessaire du transfert et en informant les personnes concernées et l'autorité de contrôle conformément aux exigences de l'article 49.

Implications pratiques pour les responsables de traitement

Pour les organisations, l'article 49 constitue un mécanisme de transfert de dernier ressort, applicable uniquement en l'absence de décision d'adéquation ou de garanties appropriées. Les organisations doivent privilégier systématiquement les mécanismes de transfert fondés sur l'article 45 ou l'article 46, et ne recourir aux dérogations de l'article 49 qu'en cas d'impossibilité absolue de mettre en œuvre ces mécanismes.

Lorsqu'un transfert est effectué sur le fondement d'une dérogation, l'organisation doit documenter rigoureusement les circonstances justifiant le recours à la dérogation, évaluer les risques du transfert pour les personnes concernées, informer les personnes concernées et, le cas échéant, informer l'autorité de contrôle compétente. Le non-respect de ces obligations peut conduire à des sanctions administratives par l'autorité de contrôle.

L'article 49 du RGPD établit un régime dérogatoire permettant exceptionnellement le transfert de données vers des pays tiers ne bénéficiant ni d'une décision d'adéquation ni de garanties appropriées, dans des situations spécifiques strictement définies par le règlement. Ces dérogations incluent le consentement explicite, la nécessité contractuelle, l'intérêt public, les droits en justice, les intérêts vitaux, les registres publics et les intérêts légitimes impérieux. Elles doivent être interprétées restrictivement et utilisées de manière ponctuelle et non répétitive, sous peine de sanctions par les autorités de contrôle. L'article 49 constitue ainsi un mécanisme de transfert de dernier ressort, applicable uniquement lorsqu'aucun autre mécanisme ne peut être mis en œuvre.