RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 46 - Transferts moyennant des garanties appropriées

Version en vigueur

Entrée en vigueur :	24 mai 2016

1. En l'absence de décision en vertu de l'article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s'il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives.

2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d'une autorité de contrôle, par:

a)	un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics;

b)	des règles d'entreprise contraignantes conformément à l'article 47;

c)	des clauses types de protection des données adoptées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;

d)	des clauses types de protection des données adoptées par une autorité de contrôle et approuvées par la Commission en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2;

e)	un code de conduite approuvé conformément à l'article 40, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées; ou

un mécanisme de certification approuvé conformément à l'article 42, assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d'appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. Sous réserve de l'autorisation de l'autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par:

a)	des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l'organisation internationale; ou

b)	des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées.

4. L'autorité de contrôle applique le mécanisme de contrôle de la cohérence visé à l'article 63 dans les cas visés au paragraphe 3 du présent article.

5. Les autorisations accordées par un État membre ou une autorité de contrôle sur le fondement de l'article 26, paragraphe 2, de la directive 95/46/CE demeurent valables jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par ladite autorité de contrôle. Les décisions adoptées par la Commission sur le fondement de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation, si nécessaire, par une décision de la Commission adoptée conformément au paragraphe 2 du présent article.

Décisions • 50

Afficher tout (50)

1. Conseil d'État, 10ème - 9ème chambres réunies, 30 janvier 2024, 466115, Inédit au recueil Lebon

Rejet

[…] — « Les articles 5, 44 et 46 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, doivent-il être interprétés en ce sens qu'ils s'opposent au transfert automatique vers un Etat tiers des données fiscales des contribuables résidant sur le territoire de l'Etat membre concerné mais possédant la nationalité de cet Etat tiers, fondé sur un instrument visé au paragraphe 2, […]

Transfert de données·
Protection des données·
Union européenne·
Pays tiers·
Cnil·
Traitement·
Organisations internationales·
Règlement·
Associations·
Pays

2. CNIL, Délibération du 9 mai 2019, n° 2019-055

[…] 46. L'obligation de notification de la Commission par voie électronique, déjà prévue à l'article 61 du projet de décret pour les déclarations, consultations et demandes d'avis et d'autorisation émanant d'usagers professionnels et à laquelle il est déjà en pratique largement recouru, serait ainsi utilement prévue par le projet de décret. En outre, ce dernier devrait préciser que le silence de la Commission dans un délai de deux mois vaut décision de l'absence de nécessité de communiquer la violation aux personnes concernées au sens de l'article 34.4 du Règlement.

Commission·
Décret·
Formation restreinte·
Directive·
Responsable du traitement·
Traitement de données·
Informatique et libertés·
Formation·
Avis·
Règlement

3. CNIL, Délibération du 17 novembre 2022, n° 2022-113

[…] Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD), notamment ses articles 47, 57 et 64 ;

Protection des données·
Pays tiers·
Groupe d'entreprises·
Autorité de contrôle·
Transfert de données·
Approbation·
Optimisation·
Tiers·
Entreprise·
Traitement

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (50)

Commentaires • 97

Afficher tout (97)

1. Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 5 février 2024Accès limité

Par mélanie Clément-fontaine, Professeur Université Paris-saclay Et Le Cabinet Twelve Avocats · Dalloz · 13 février 2024

2. Conclusions du rapporteur public sur l'affaire n°466115

Conclusions du rapporteur public · 30 janvier 2024

Dans son arrêt dit Schrems II du 16 juillet 2020 (Data Protection Commissioner / Facebook Ireland et Maximillian Schrems, affaire C-311/18), la CJUE a invalidé la décision d'adéquation prise par la Commission européenne pour les Etats-Unis, dite « Privacy Shield » (article 45)4, au motif principal que les programmes de surveillance des autorités américaines (NSA et FBI) ne confèrent pas aux personnes concernées des droits opposables à ces autorités devant les tribunaux. La cour a en revanche validé la décision de la Commission adoptant des clauses contractuelles types (article 46). […] Peu après cet arrêt, le comité européen de la protection des données a adopté, d'une part, […]

3. Analyse d’impact des transferts des données (AITD) : la CNIL vous consulte sur un projet de guide

CNIL · 8 janvier 2024

Ainsi, les exportateurs s'appuyant sur les outils de transferts énumérés à l'article 46.2 et 46.3 du RGPD pour leurs transferts ont l'obligation d'évaluer le niveau de protection dans les pays tiers de destination et la nécessité de mettre en place des garanties supplémentaires […] Une AITD doit être effectuée par les responsables de traitement ou sous-traitants qui agissent en tant qu'exportateurs des données, avec l'assistance de l'importateur, avant de transférer les données vers un pays tiers, lorsque ce transfert s'appuie sur un outil de transfert (article 46 du RGPD). […] Il en va de même si le transfert est réalisé sur la base d'une des dérogations listées à l'article 49 du RGPD.

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (97)

Doctrine / Droit de l'Union Européenne / Règlements / 2016 / Règlement RGPD n°2016/679