Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 9 mai 2026
Accueil/RGPD/Article 46 RGPD : les garanties appropriées décryptées
RGPD

Article 46 RGPD : les garanties appropriées décryptées

Article 46 RGPD : clauses contractuelles types, BCR, codes de conduite et certifications pour transférer hors UE. Schrems II, mesures supplémentaires, sanctions.

Par Thiebaut DevergrannePublie le 5 mai 2026Mis a jour le 5 mai 202615 min de lecture
Sommaire
  1. Ce que dit l’article 46 du RGPD
  2. Art. 46(1) : la double exigence de garantie
  3. Art. 46(2) : les six garanties sans autorisation préalable
  4. Art. 46(3) : les deux garanties soumises à autorisation préalable
  5. Art. 46(4) et 46(5) : procédure et transition
  6. Schrems II : l’obligation incontournable du Transfer Impact Assessment
  7. Plan opérationnel pour mettre l’article 46 en conformité
  8. Sanctions et jurisprudence récente
  9. Articulation avec les autres articles
  10. Ce qu’il faut retenir
  11. FAQ

L’article 46 du RGPD est le pivot opérationnel des transferts internationaux. Quand il n’existe pas de décision d’adéquation au sens de l’article 45, c’est lui qui autorise vos flux vers un CRM américain, un support technique en Inde, un cloud non européen ou une filiale brésilienne — à condition d’avoir mis en place les bonnes garanties. Et c’est là que les choses se compliquent. Depuis l’arrêt Schrems II de la CJUE en juillet 2020, l’Art. 46 n’est plus une formalité contractuelle : il appelle une analyse pays par pays, contrat par contrat. Voici son décryptage paragraphe par paragraphe, tel que je l’applique en mission depuis vingt ans.

Ce que dit l’article 46 du RGPD

L’Art. 46 s’intitule « Transferts moyennant des garanties appropriées ». Il s’inscrit dans le chapitre V du RGPD (Art. 44 à 50) et structure les transferts qui ne bénéficient pas d’une décision d’adéquation. Il compte cinq paragraphes :

  • l’exigence de garanties appropriées et de droits opposables pour les personnes concernées (Art. 46(1)) ;
  • les six instruments standards qui n’exigent pas d’autorisation préalable de l’autorité de contrôle (Art. 46(2)) ;
  • les deux instruments qui exigent une autorisation préalable (Art. 46(3)) ;
  • la procédure d’examen européenne pour les actes d’exécution (Art. 46(4)) ;
  • le maintien transitoire des autorisations délivrées sous l’ancienne directive 95/46/CE (Art. 46(5)).

L’article ne dit pas comment fabriquer une garantie : il fixe une obligation de résultat. La sanction du manquement relève du plafond haut de l’Art. 83(5) — 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Pour le panorama des mécanismes et leur articulation, voir mon guide transfert de données hors UE.

Art. 46(1) : la double exigence de garantie

Le paragraphe 1 énonce le principe directeur : « En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. »

Trois éléments cumulatifs sont exigés. D’abord, une garantie appropriée — ce qu’on traduit en pratique par un instrument juridiquement contraignant qui impose à l’importateur des standards de protection équivalents à ceux du RGPD. Ensuite, l’opposabilité des droits — la personne concernée doit pouvoir actionner son droit d’accès, de rectification, d’effacement, d’opposition, contre l’importateur, dans le pays de destination. Enfin, l’existence de voies de recours effectives — judiciaires ou administratives — exerçables dans ce pays tiers ou, à défaut, dans l’État membre d’origine.

C’est cette triple exigence qui a été remise en cause par l’arrêt CJUE C-311/18 Schrems II du 16 juillet 2020. La Cour y juge que les clauses contractuelles types restent valides en principe, mais que l’exportateur doit vérifier, avant le transfert, que la législation du pays tiers ne prive pas l’instrument de son effet utile — notamment en ce qui concerne l’accès des autorités publiques étrangères aux données. Si la législation locale est défaillante, l’exportateur doit prendre des mesures supplémentaires (chiffrement, pseudonymisation, fragmentation) ou suspendre le transfert. Cette obligation est désormais formalisée par les Recommandations 01/2020 du CEPD adoptées le 18 juin 2021.

Dans mon expérience, la majorité des organisations françaises signent encore les CCT sans réaliser le Transfer Impact Assessment (TIA) que Schrems II rend obligatoire. C’est le premier point sur lequel la CNIL contrôle aujourd’hui. La sanction prononcée par le CNIL en mars 2022 contre un site utilisant Google Analytics (mise en demeure publique) reposait précisément sur l’absence de mesures supplémentaires opposables au FISA Section 702.

Art. 46(2) : les six garanties sans autorisation préalable

Le paragraphe 2 énumère les instruments qu’un responsable de traitement ou un sous-traitant peut mettre en œuvre sans solliciter d’autorisation auprès de la CNIL. Six instruments y figurent.

Art. 46(2)(a) — instrument juridiquement contraignant entre autorités publiques

Première garantie : un instrument international entre autorités publiques (ministères, administrations, autorités indépendantes). Application typique : la coopération douanière ou fiscale entre administrations de pays tiers et administrations européennes, dès lors que cet instrument intègre des dispositions de protection des données opposables et conformes au RGPD.

Art. 46(2)(b) — règles d’entreprise contraignantes (BCR)

Les Binding Corporate Rules sont l’instrument intra-groupe par excellence. Elles permettent à un groupe multinational d’organiser ses transferts internes selon une politique de protection unique, opposable à chaque entité. Les BCR sont approuvées par l’autorité chef de file selon la procédure de l’Art. 47 (qui détaille leur contenu obligatoire — 14 éléments). Elles prennent 18 à 36 mois à obtenir et coûtent en pratique entre 150 000 € et 500 000 € en honoraires. Réservées aux grands groupes, elles offrent en contrepartie une flexibilité opérationnelle que les CCT n’autorisent pas (transferts ultérieurs, mises à jour, nouvelles entités).

Art. 46(2)© — clauses contractuelles types (SCC)

C’est l’instrument le plus utilisé en pratique. Les clauses contractuelles types actuellement applicables ont été adoptées par la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021. Elles remplacent les anciennes décisions 2001/497/CE, 2004/915/CE et 2010/87/UE depuis le 27 décembre 2022. Elles couvrent quatre modules :

  • Module 1 : responsable de traitement → responsable de traitement (échange B2B entre groupes distincts) ;
  • Module 2 : responsable de traitement → sous-traitant (le cas dominant — un éditeur SaaS hors UE) ;
  • Module 3 : sous-traitant → sous-traitant (sous-traitance en cascade Art. 28(2)(4)) ;
  • Module 4 : sous-traitant → responsable de traitement (renvoi des données traitées à un client hors UE).

Les CCT 2021 sont clausulier-fermées : on choisit le module, on remplit les annexes (description du traitement, garanties techniques et organisationnelles au sens de l’Art. 32) et on signe. Toute modification du corps des clauses fait perdre le bénéfice de la décision d’exécution. En pratique, les annexes — souvent négligées — sont la première source de contestation lors d’un contrôle CNIL.

Art. 46(2)(d) — clauses types adoptées par une autorité de contrôle

Une autorité de contrôle peut elle-même adopter des clauses contractuelles types, après examen par le CEPD au titre de l’Art. 64. C’est par exemple ce qu’a fait la DSK allemande pour les transferts intra-Länder, ou le Bundesbeauftragter für den Datenschutz pour des cas sectoriels. En France, la CNIL n’a pas adopté à ce jour de clauses propres — elle s’aligne sur les CCT de la Commission.

Art. 46(2)(e) — code de conduite approuvé

Un code de conduite approuvé au titre de l’Art. 40 peut, sous réserve d’engagement contraignant et exécutoire pris par l’importateur, valoir garantie. Le Cloud Code of Conduct approuvé par l’autorité belge en 2021 et le EU Cloud CoC approuvé en 2024 sont aujourd’hui les deux instruments opérationnels. Pour les responsables de traitement qui externalisent à un prestataire cloud signataire (et qui en a fait la déclaration d’engagement pour les transferts), c’est une alternative aux CCT — moins lourde à instruire, mais qui suppose que tous les flux passent par des prestataires adhérents.

Art. 46(2)(f) — mécanisme de certification

Un mécanisme de certification approuvé au titre de l’Art. 42, assorti de l’engagement contraignant et exécutoire pris par l’importateur d’appliquer les garanties appropriées. À ce jour, aucun mécanisme de certification européen n’est opérationnel pour les transferts internationaux : le règlement existe, mais les organismes de certification accrédités au sens de l’Art. 43 et reconnus pour les transferts ne sont pas encore en place. C’est à surveiller — le marché est en gestation.

Art. 46(3) : les deux garanties soumises à autorisation préalable

Le paragraphe 3 organise deux instruments qui exigent une autorisation préalable de l’autorité de contrôle (et l’avis du CEPD au titre de l’Art. 64) :

  • Art. 46(3)(a) : les clauses contractuelles ad hoc, négociées entre l’exportateur et l’importateur. C’est la voie utilisée historiquement par les groupes qui voulaient adapter les CCT à leur architecture, avant la décision 2021/914. Elle reste possible — mais lente : la CNIL délivre rarement plus de quelques autorisations par an.
  • Art. 46(3)(b) : les arrangements administratifs entre autorités publiques ou organismes publics, comprenant des droits opposables et effectifs pour les personnes concernées. Application : coopération entre administrations européennes et administrations d’États non adhérents à l’UE.

Cette voie est marginale dans la pratique du secteur privé. Elle reste utile quand la nature du flux empêche le recours aux CCT — par exemple un protocole de coopération recherche entre une université française et un organisme public d’un pays tiers.

Art. 46(4) et 46(5) : procédure et transition

Le paragraphe 4 renvoie à la procédure d’examen prévue à l’Art. 93(2) pour l’adoption des actes d’exécution de la Commission, c’est-à-dire la procédure de comitologie. Il a justifié l’adoption des CCT 2021/914.

Le paragraphe 5 organise la transition : les autorisations délivrées par les autorités de contrôle au titre de la directive 95/46/CE restent valides tant qu’elles n’ont pas été modifiées, remplacées ou abrogées par l’autorité concernée. C’est une clause de continuité juridique — son intérêt pratique s’efface avec le temps.

Schrems II : l’obligation incontournable du Transfer Impact Assessment

Aucun article du RGPD ne mentionne le « Transfer Impact Assessment » — et pourtant, c’est l’obligation centrale qui pèse aujourd’hui sur l’Art. 46. Trois textes la fondent :

  • CJUE C-311/18 Schrems II du 16 juillet 2020 : l’exportateur doit vérifier que la législation du pays tiers ne prive pas l’instrument du paragraphe 2 de son effet ;
  • Recommandations 01/2020 du CEPD du 18 juin 2021 : méthodologie en six étapes (cartographier, identifier l’instrument, évaluer le droit local, adopter des mesures supplémentaires, formaliser, réévaluer) ;
  • Clause 14 des CCT 2021/914 : l’exportateur garantit qu’il a évalué le droit du pays tiers et conclu que rien n’empêche l’importateur de respecter ses obligations.

En pratique, le TIA prend la forme d’une note d’évaluation par flux intégrée à la documentation Art. 30. Elle décrit le pays de destination, l’importateur, le droit local pertinent (notamment les pouvoirs d’accès des autorités publiques), les mesures supplémentaires retenues (chiffrement avec clé conservée en UE, pseudonymisation, contrôles d’accès renforcés) et la conclusion d’effectivité. C’est exactement le type de travail que Legiscope automatise — la cartographie de vos flux, l’identification du pays de destination et la production d’un TIA modèle alimenté par les données pays.

Plan opérationnel pour mettre l’article 46 en conformité

Sur le terrain, je structure la conformité Art. 46 en six chantiers que je conseille systématiquement.

Chantier 1 — cartographier les transferts. Mettre à jour le registre des activités de traitement en identifiant, par traitement, les pays de destination et les sous-traitants concernés. C’est la base — sans cartographie exhaustive, le TIA est impossible. Penser à inclure les transferts ultérieurs (un éditeur SaaS européen qui sous-traite l’hébergement à un acteur américain).

Chantier 2 — qualifier l’instrument applicable. Pour chaque flux, vérifier d’abord l’existence d’une décision d’adéquation au sens de l’Art. 45. À défaut, sélectionner l’instrument du paragraphe 2 le mieux adapté : CCT pour la sous-traitance courante, BCR pour les flux intra-groupe systématiques, code de conduite pour les prestataires cloud signataires.

Chantier 3 — instruire le TIA. Réaliser, par flux, une analyse documentée : législation du pays tiers, pouvoirs d’accès, mesures supplémentaires, conclusion. Conserver la note dans la documentation accountability au sens de l’Art. 24.

Chantier 4 — sécuriser contractuellement. Annexer les CCT au contrat de sous-traitance Art. 28 (et non un avenant séparé), remplir précisément les annexes I et II, et obtenir les engagements complémentaires sur les mesures supplémentaires. Pour les BCR, prévoir un calendrier de revue annuelle.

Chantier 5 — informer les personnes concernées. L’Art. 13(1)(f) et l’Art. 14(1)(f) imposent d’indiquer dans la mention d’information le pays de destination, l’instrument utilisé et les modalités d’obtention d’une copie des garanties. Cette mention est systématiquement vérifiée par la CNIL en contrôle.

Chantier 6 — réévaluer périodiquement. Le TIA n’est pas un document figé. Toute évolution du droit du pays tiers (loi de surveillance, jurisprudence locale) peut imposer une révision. Planifier une revue annuelle, et un déclencheur événementiel (changement de prestataire, sous-traitance ultérieure, nouveau régime juridique).

Sanctions et jurisprudence récente

L’Art. 46 relève du plafond haut de l’Art. 83(5)© : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL a mobilisé ce plafond dans plusieurs décisions récentes :

  • la mise en demeure publique du 10 février 2022 contre un éditeur de site français utilisant Google Analytics, fondée sur l’absence de garanties appropriées au sens de l’Art. 46 et l’inopérance des mesures supplémentaires alléguées ;
  • les décisions homologues des autorités autrichienne (Datenschutzbehörde, 22 décembre 2021), italienne (Garante, 23 juin 2022) et danoise (Datatilsynet, 21 septembre 2022) sur le même fondement, dans le cadre de la coopération via le guichet unique ;
  • la décision CNIL SAN-2024-001 Hubside du 4 avril 2024 (525 000 €), qui retient au titre des circonstances aggravantes une cartographie défaillante des sous-traitants ultérieurs hors UE.

Les autorités allemandes (notamment la DSK dans son orientation du 2 mai 2023) ont par ailleurs publié des grilles d’évaluation des outils américains qui font référence en pratique. Le risque est aujourd’hui réel et documenté — pas théorique.

Articulation avec les autres articles

L’Art. 46 ne s’applique jamais seul. Il s’articule étroitement avec :

  • l’Art. 5(2) et l’Art. 24 sur l’accountability — c’est le responsable de traitement qui doit prouver la conformité des transferts ;
  • l’Art. 28 — les CCT sont annexées au contrat de sous-traitance, jamais en autonomie ;
  • l’Art. 30 — le registre doit mentionner les transferts hors UE et leur fondement juridique ;
  • l’Art. 32 — les mesures supplémentaires Schrems II reposent sur des dispositifs techniques (chiffrement, pseudonymisation) qui sont aussi des mesures de sécurité ;
  • l’Art. 35 — l’AIPD doit intégrer le risque transfert quand il est significatif ;
  • les Art. 13(1)(f) et Art. 14(1)(f) — obligation d’information sur les transferts ;
  • l’Art. 49 — dérogations résiduelles, à n’utiliser qu’en dernier recours et de façon non systématique.

Ce qu’il faut retenir

  • L’Art. 46 RGPD organise les transferts vers des pays tiers en l’absence de décision d’adéquation : il exige une garantie appropriée + des droits opposables + des voies de recours effectives.
  • Le paragraphe 2 énumère six instruments sans autorisation préalable : instrument international, BCR, CCT 2021/914, clauses d’autorité de contrôle, codes de conduite, certifications.
  • Depuis l’arrêt CJUE C-311/18 Schrems II du 16 juillet 2020, le Transfer Impact Assessment est obligatoire pour chaque flux : il évalue l’effectivité de l’instrument au regard du droit local et impose, le cas échéant, des mesures supplémentaires.
  • Les CCT 2021/914 ne sont valides que si les annexes sont rigoureusement remplies — c’est le premier point d’attention en contrôle CNIL.
  • Le manquement à l’Art. 46 relève du plafond haut de l’Art. 83(5)© : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Plusieurs décisions européennes coordonnées ont déjà été prononcées sur ce fondement.

FAQ

Faut-il une autorisation de la CNIL pour signer des CCT ?

Non. Les CCT 2021/914 relèvent de l’Art. 46(2)© : elles n’exigent aucune autorisation préalable de l’autorité de contrôle. Vous les annexez à votre contrat de sous-traitance et vous documentez votre TIA. Seules les clauses ad hoc de l’Art. 46(3)(a) — modifications du corps des CCT, ou clauses entièrement négociées — exigent une autorisation, qui prend en pratique 6 à 12 mois.

Peut-on utiliser les anciennes CCT signées avant 2021 ?

Non, plus depuis le 27 décembre 2022. La décision d’exécution 2021/914 a abrogé les anciennes décisions 2001/497/CE, 2004/915/CE et 2010/87/UE. Tout contrat encore régi par d’anciennes CCT doit être migré vers les modules 2021/914 — c’est un chantier que de nombreuses organisations n’ont pas encore mené à terme et qui constitue un manquement caractérisé.

Le Data Privacy Framework rend-il l’Art. 46 inutile pour les transferts vers les États-Unis ?

Non — partiellement seulement. Le DPF, adopté le 10 juillet 2023, est une décision d’adéquation au sens de l’Art. 45. Il couvre exclusivement les organisations américaines auto-certifiées auprès du Department of Commerce et inscrites sur la liste DPF. Pour tout flux vers une entreprise américaine non certifiée — ce qui reste fréquent —, l’Art. 46 (CCT + TIA + mesures supplémentaires) s’applique pleinement. Et un éventuel « Schrems III » pourrait invalider le DPF, ce qui rendrait l’Art. 46 universellement applicable aux flux US.

Le TIA est-il vraiment obligatoire ou simplement recommandé ?

Il est obligatoire. Trois fondements juridiques convergents : l’arrêt Schrems II (paragraphes 134 et 135), les Recommandations 01/2020 du CEPD (qui précisent la méthodologie) et la clause 14 des CCT 2021/914 (qui est contractuelle et engage les parties). En pratique, l’absence de TIA est aujourd’hui un manquement structurel — voir la mise en demeure CNIL Google Analytics du 10 février 2022.

Quelle différence entre BCR et CCT ?

Les CCT (Art. 46(2)©) sont un contrat type standardisé : on signe sans modifier, on remplit les annexes, c’est rapide. Les BCR (Art. 46(2)(b)) sont une politique interne d’un groupe approuvée par l’autorité chef de file : 18 à 36 mois d’instruction, mais flexibilité opérationnelle (transferts ultérieurs, nouvelles entités, mises à jour). En règle pratique : CCT pour les flux ponctuels et la sous-traitance, BCR pour les groupes multinationaux dont les flux internes représentent un volume critique.

Articles lies

RGPD

Article 79 RGPD : recours juridictionnel contre le responsable

9 mai 2026 · 18 min
RGPD

Article 77 RGPD : porter réclamation auprès de la CNIL

8 mai 2026 · 18 min
RGPD

Article 78 RGPD : recours juridictionnel contre la CNIL

8 mai 2026 · 17 min