Le texte de l’article 46 – Transferts moyennant des garanties appropriées
”En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par: a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics; b) des règles d’entreprise contraignantes conformément à l’article 47; ”
article 46
L’analyse de l’article – Transferts moyennant des garanties appropriées
L’article 46 de la réglementation des RGPD revient et précise la dérogation envisagée à l’article 26. 2 de la Directive, concernant les garanties acceptables adoptées par le décideur, propriétaire des données, ou prestataire et sans décision de la Commission reconnaissant un niveau approprié pour protéger les informations personnelles.
Il est à mentionner que ce n’est plus du ressort du décideur ou prestataire de déterminer ce niveau. Si aucune décision n’est prise à ce sujet, il doit satisfaire les conditions d’une telle dérogation (ou d’une des exceptions que l’on retrouve aux articles 47 et 49).
La dernière mouture du règlement complémente le 1er paragraphe de cet article en précisant que le transfert en échange d’assurances adéquates n’est possible que si les personnes impliquées possèdent des droits d’opposition et de recours au droit concrets.
L’installation des mesures rappelées à l’article 46, § 2 s’accomplit sans la permission de l’instance de contrôle. Il peut être questions :
• d’un moyen juridique obligatoire et applicable entre instances ou organisations publiques ou,
• de règlements d’entreprises obligatoires conformes à l’article 47 qui contiennent les principes fondamentaux et les droits d’opposition apportant des assurances adéquates pour transférer les données personnelles ou,
• des modèles de dispositions contractuelles protégeant les données ratifiées par la Commission ou simultanément par une instance de contrôle et la Commission ou,
• d’un règlement entériné selon l’article 40 comprenant l’accord obligatoire et applicable du décideur ou de son prestataire de mettre en pratique dans l’état de destination les garanties adéquates, en incluant les droits de la personne impliquée ou,
• d’une disposition d’homologation au sens de l’article 42 certifiant la concordance du traitement aux lois de l’Union.
Le paragraphe 3 précise d’autres règles dont l’accord prérequis de l’instance de contrôle qualifiée est nécessaire.
Dans ces conditions, cette instance se conforme au processus de cohérence fixé à l’article 64, qui suppose la sollicitation de l’avis du Comité européen de la protection des données.
Sont ciblées ici :
• des modalités contractuelles non adoptées antérieurement par la Commission ou une instance de contrôle nationale, réglées entre le décideur, propriétaire des données, ou le prestataire et la personne recevant ces informations dans l’état tiers ou l’organisme mondial (art. 6, § 3a) ou,
• des mesures spécifiques incluses dans des dispositions administratives entre instances et organisations publiques (art. 46, § 3b). La dernière mouture du règlement détermine que ces dispositions garantissent l’effectivité des droits avérés aux personnes impliquées.
Pour finir, le paragraphe 5 signale que les accréditations remises par un état membre ou une instance de contrôle sur le principe de la directive demeurent valides jusqu’à leur correction, rectification ou annulation par l’instance ou l’état ainsi que pour les décisions retenues par la commission en vertu de l’article 26, § 4 de cette directive.
