CONTACT

Les lignes directrices du CEPD sur l’article 48 du RGPD

02 juillet 2025 | Derriennic Associés |

Les lignes directrices du CEPD sur l’article 48 du RGPD

Le CEPD a adopté, le 4 juin 2025, des lignes directrices visant à clarifier les dispositions de l’article 48 du RGPD, portant sur les décisions de pays tiers ordonnant des transferts de données personnelles. 

L’article 48 du RGPD indique qu’une décision judiciaire ou administrative émanant d’un pays tiers, ordonnant un transfert de données personnelles, ne peut être reconnue ou rendue exécutoire par les Etats membres de l’UE qu’à condition d’être fondée sur un accord international. 

Cet article envisage donc le cas d’une autorité d’un pays hors UE/EEE enjoignant un organisme soumis au RGPD de communiquer des données personnelles (cas qui pourrait se produire dans le cadre du « Cloud Act » américain).

Le CEPD a publié des lignes directrices visant à clarifier les objectifs de cet article, ainsi que son articulation avec les autres dispositions du RGPD relatives aux transferts de données personnelles hors UE/EEE.

Un champ d’application large

Le CEPD souligne que l’article 48 englobe toute décision émanant d’une autorité publique d’un pays tiers, y compris, par exemple, un régulateur bancaire ou une autorité fiscale. Peu importe que l’organisme destinataire soit responsable du traitement ou bien sous-traitant. 

En revanche, cet article ne couvre pas le cas où l’organisme n’est pas le destinataire direct de la requête, ce qui serait par exemple la situation d’une filiale dans l’UE transférant des données personnelles à une société mère établie dans un pays tiers, à laquelle une autorité dudit pays tiers aurait ordonné de communiquer des données.  

Le CEPD rappelle également que tout transfert de données en réponse à une requête émanant d’une autorité d’un pays tiers constitue un transfert de données hors UE au sens du RGPD, qui doit (i) reposer sur une base légale et (ii) être conforme aux exigences du RGPD en matière de transferts de données hors UE/EEE.

Quelle base légale ? 

S’agissant de la base légale :

  • Si un accord international existe et oblige l’organisme destinataire de la requête à faire droit à cette dernière, la base légale du traitement peut être l’obligation légale.
  • Si aucun accord international n’existe, ou bien si un accord international existe, mais n’impose pas d’obligation légale à l’organisme (par exemple en lui offrant une simple faculté de transfert), ce dernier doit faire reposer son traitement sur l’une des autres bases légales du RGPD, telle que l’exécution d’une mission d’intérêt public ou, dans certains cas spécifiques, la sauvegarde des intérêts vitaux de la personne concernée ou encore l’intérêt légitime. 

Quelles « garanties appropriées » quant au transfert de données personnelles hors UE/EEE ?

L’article 46 du RPGD prévoit qu’un « instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics » peut fournir les « garanties appropriées » permettant d’assurer la conformité du transfert de données personnelles hors UE/EEE. 

Ainsi :

  • Si la requête étrangère s’appuie sur un accord international, ce dernier peut donc fournir les « garanties appropriées » à l’organisme destinataire de la requête, sous réserve d’inclure les stipulations requises par le CEPD, visant à :
  • permettre aux personnes concernées d’exercer leurs droits de manière effective ;
    • restreindre les transferts de données subséquents ;
    • accorder une protection supplémentaire aux données sensibles ;
    • offrir un moyen de règlement des conflits indépendant ;
    • etc.
  • Si aucun accord international n’existe, ou bien si l’accord international n’inclut les stipulations listées ci-dessus, l’organisme devra mobiliser une autre « garantie appropriée » permettant de rendre le transfert de données conforme au RGPD, ou bien s’appuyer sur l’une des exceptions de l’article 49 du RGPD.

Synthèse

En synthèse, si un organisme soumis au RGPD reçoit une demande de communication de données personnelles de la part d’une autorité publique d’un pays tiers, il doit, avant d’y faire droit, s’assurer que le transfert repose sur une base légale et s’appuie sur des « garanties appropriées », ce qui est le cas si les conditions suivantes sont remplies :

  • la demande de communication s’appuie sur un accord international ;
  • l’accord international oblige l’organisme à communiquer les données ;
  • l’accord international comprend l’ensemble des stipulations requises par le CEPD en matière de protection des données personnelles.

Lien vers les lignes directrices : https://www.edpb.europa.eu/system/files/2025-06/edpb_guidelines_202402_article48_v2_en.pdf

    articles similaires

    | Derriennic Associés

    Violation de données : des nouvelles lignes directrices du CEPD ?

    Le 18 octobre dernier, le CEPD a publié et soumis à consultation publique des nouvelles lignes directrices sur la notification des violations de données à caractère personnel. En réalité, il...

    | Derriennic associés

    Décision d’adéquation concernant les Etats-Unis : l’avis du CEPD

    Le 28 février 2023, le CEPD a rendu son avis sur le projet de décision d’adéquation de la Commission européenne concernant les Etats-Unis.

    | Derriennic Associés

    Accord de principe sur le transfert de données vers les Etats-Unis : la déclaration du CEPD

    Le 6 avril dernier, le CEPD a publié une déclaration sur l’annonce de l’accord trouvé entre la Commission européenne et les Etats-Unis, le 25 mars 2022, pour encadrer les transferts...

    Personnalisation des cookies

    Cookies strictement nécessaires

    Cette option doit être activée à tout moment afin que nous puissions enregistrer vos préférences pour les réglages de cookie.

    Cookies de mesures d'audience

    Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

    Il s’agit des cookies suivants :

    _ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

    _gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

    _gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

    Vous pouvez consulter la page dédié à la protection des données de Matomo