Lignes directrices de l'EDPB sur l'article 48 du RGPD : Encadrement des transferts de données personnelles sur demande d'autorités de pays tiers

Contexte et objectifs des nouvelles lignes directrices

Le Comité européen de la protection des données (EDPB) a publié le 3 décembre 2024 des lignes directrices essentielles sur l'article 48 du RGPD. Cette publication vise à clarifier le cadre juridique applicable lorsqu'une autorité ou juridiction d'un pays tiers demande à une organisation établie dans l'UE de transférer des données personnelles.

Ces lignes directrices répondent à un besoin croissant d'encadrement face à la multiplication des demandes d'accès aux données par des autorités étrangères, notamment dans le cadre d'enquêtes administratives ou judiciaires.

Principes clés et champ d'application

L'EDPB rappelle que tout transfert de données personnelles vers un pays tiers doit s'appuyer sur l'un des mécanismes prévus au Chapitre V du RGPD (décision d'adéquation, garanties appropriées, dérogations). L'article 48 vient renforcer ce cadre en précisant que les décisions de justice ou administratives d'un pays tiers ne peuvent être reconnues ou exécutables que s'il existe un accord international en vigueur.

Les lignes directrices détaillent :

- Le périmètre d'application de l'article 48

- Les types de demandes concernées

- Les obligations des responsables de traitement

- L'articulation avec les autres dispositions du RGPD

Recommandations pratiques pour les organisations

L'EDPB formule plusieurs recommandations opérationnelles :

1. Mettre en place une procédure d'évaluation systématique des demandes reçues

2. Vérifier l'existence d'accords internationaux applicables

3. Documenter l'analyse juridique effectuée

4. Informer l'autorité de contrôle compétente

5. Mettre à jour les politiques internes et former les équipes

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Établir une procédure dédiée de traitement des demandes d'autorités étrangères intégrant une check-list de conformité à l'article 48

• Former les équipes juridiques et compliance aux nouvelles exigences et mettre à jour la documentation

• Cartographier les accords internationaux applicables et maintenir une veille active sur ce sujet

• Prévoir un processus d'escalade et de reporting aux autorités de contrôle