Toute décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en vertu du présent chapitre.
Article 48 du RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Article 48 - Transferts ou divulgations non autorisés par le droit de l'Union
Version24 mai 2016
Version en vigueur
| Entrée en vigueur : | 24 mai 2016 |
|---|
Décisions • 5
1. CNIL, Décision du 13 novembre 2024, n° DR-2024-279
[…] Prenant en considération l'arrêt C311/18 rendu par la CJUE le 16 juillet 2020, il ne peut être totalement exclu une divulgation non autorisée par le droit de l'Union européenne, en violation de l'article 48 du RGPD aux autorités publiques étatsuniennes, sur le fondement de la section 702 de la loi FISA et de l'Executive Order 12 333. Le responsable de traitement devra mettre en œuvre des mesures empêchant tout accès aux données par le prestataire, telles que le chiffrement des données sauvegardées par des algorithmes à l'état de l'art et la non-transmission des clés de chiffrement au prestataire.
2. Cour d'appel de Paris, Pôle 5 chambre 11, 27 février 2026, n° 21/00128Infirmation partielle
[…] 48. La société ADI soutient que les demandes de l'association UFC-Que Choisir visant à ce que soit reconnu le caractère illicite ou abusif de clauses fondées sur l'article L. 211-1 du code de la consommation ne sont pas recevables car premièrement, ce texte, comme le prévoit l'article 5 de la directive 93/13/CE du 5 avril 1993, est, selon la société ADI, une règle d'interprétation insusceptible de caractériser un agissement illicite au sens des articles L. 621-7 et L. 621-8 du code de la consommation.
[…] 7. Il en résulte, d'autre part, que ces mêmes requérants ne peuvent davantage utilement soutenir que la délibération attaquée méconnaitrait les articles 44 à 48 du RGPD, qui régissent les transferts de données à caractère personnel vers des pays tiers, ainsi que le dernier alinéa de l'article R. 1461-1 du code de la santé publique selon lequel « Les données du système national des données de santé sont hébergées au sein de l'Union européenne. Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne, sauf dans le cas d'accès ponctuels aux données par des personnes situées en dehors de l'Union européenne, pour une finalité relevant du 1° du I de l'article L. 1461-3 ».
Testez Doctrine gratuitement
pendant 7 jours
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion
Commentaires • 68
2. L’utilisation de Microsoft 365 n’est pas conforme au RGPD !
Village Justice · 21 juillet 2025
Le conflit juridique irréductible entre le Cloud Act et l'article 48 du RGPD. […]
Lire la suite…3. Je transférer des données personnelles à une autorité étrangère ?
Derriennic & Associés · 2 juillet 2025
Le CEPD a adopté, le 4 juin 2025, des lignes directrices visant à clarifier les dispositions de l'article 48 du RGPD, portant sur les décisions de pays tiers ordonnant des transferts de données personnelles. L'article 48 du RGPD indique qu'une décision judiciaire ou administrative émanant d'un pays tiers, ordonnant un transfert de données personnelles, […]
Lire la suite…Testez Doctrine gratuitement
pendant 7 jours
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion
Contexte : vers une souveraineté accrue des données de santé L'article 32 de la loi SREN a introduit, dans le champ de l'hébergement des données de santé, […] Le texte assume donc une distinction essentielle entre localisation du stockage et accès à distance. […] Si l'hébergeur ou l'un de ses sous-traitants est soumis à la législation d'un pays tiers hors UE/EEE, le contrat doit mentionner : la liste des réglementations extra-européennes susceptibles d'imposer un transfert ou de permettre un accès non autorisé au sens de l'article 48 RGPD ; la décision d'adéquation applicable, le cas échéant ; et, […]
Lire la suite…