Article 48 du RGPD : Transferts ou divulgations non autorisés par le droit de l’Union

L’Article 48 du RGPD stipule que les décisions judiciaires ou administratives émanant d’un pays tiers ne peuvent justifier à elles seules un transfert de données personnelles vers un pays hors UE, sauf s’il existe un accord international ou une autre base juridique conforme au RGPD.

L’Article 48 du RGPD expliqué

Cet article vise à protéger l’autonomie juridique de l’Union européenne en matière de protection des données. Ainsi :

Une demande de communication de données par une autorité non européenne (ex. : tribunal, administration…) n’est valable que si elle repose sur un accord international (ex. : traité d’entraide judiciaire) ;
À défaut d’un tel accord, un transfert fondé uniquement sur cette demande est interdit par le RGPD.

Pourquoi cet article est-il important pour votre conformité RGPD ?

Cet article est essentiel pour empêcher les transferts extraterritoriaux abusifs, en particulier ceux fondés sur des lois étrangères incompatibles avec les principes européens (comme certaines lois américaines). Il renforce la souveraineté de l’Union en matière de protection des données.

Comment se mettre en conformité avec l’Article 48 du RGPD ?

Refusez toute demande de transfert de données émanant d’un pays tiers en l’absence de base légale reconnue (accord, décision d’adéquation, clauses types…) ;
Documentez toute demande reçue et la réponse apportée ;
Formez vos équipes à la gestion de ces sollicitations spécifiques ;
Consultez votre DPO ou un juriste avant toute transmission dans ce cadre.

Exemples d’application de l’Article 48 du RGPD

Une société refuse de transférer les données d’un client européen à une autorité étrangère faute d’accord international ;
Une entreprise reçoit une injonction d’un tribunal américain : elle se base sur l’article 48 pour exiger un cadre juridique reconnu ;
Une organisation reporte toute transmission jusqu’à obtention d’une autorisation de la CNIL ou de l’autorité compétente.