Article 48 RGPD : injonctions étrangères et CLOUD Act

L’article 48 du RGPD est l’article le plus politique du chapitre V. En une phrase, il pose une règle de souveraineté juridique : aucune injonction d’un juge ou d’une autorité administrative d’un pays tiers ne peut, à elle seule, justifier un transfert ou une divulgation de données personnelles depuis l’Union européenne. La décision étrangère doit obligatoirement passer par un accord international — typiquement un traité d’entraide judiciaire (MLAT). C’est l’article qui structure la confrontation entre le RGPD et le CLOUD Act américain, le FISA Section 702, et plus largement toutes les lois extraterritoriales qui prétendent obliger un opérateur soumis au droit européen à livrer des données européennes à une administration étrangère. Voici son décryptage paragraphe par paragraphe et le plan opérationnel que je recommande aux opérateurs concernés depuis les arrêts Schrems.

Ce que dit l’article 48 du RGPD

L’Art. 48 s’intitule « Transferts ou divulgations non autorisés par le droit de l’Union ». Il ne contient qu’un seul paragraphe, mais ce paragraphe pose quatre exigences :

• toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant un transfert ou une divulgation de données ne peut être reconnue ou rendue exécutoire dans l’Union ;
• qu’à la condition qu’elle soit fondée sur un accord international en vigueur entre le pays tiers demandeur et l’Union ou un État membre — typiquement un traité d’entraide judiciaire (MLAT, mutual legal assistance treaty) ;
• sans préjudice des autres motifs de transfert prévus par le chapitre V — c’est-à-dire que le responsable peut toujours mobiliser une décision d’adéquation (Art. 45), des garanties appropriées (Art. 46 ou Art. 47) ou une dérogation (Art. 49) ;
• la règle s’applique aussi bien au responsable du traitement qu’au sous-traitant établi dans l’Union ou soumis au RGPD au titre de l’Art. 3.

Le considérant 115 du RGPD éclaire l’intention du législateur : empêcher qu’une « disposition légale d’un pays tiers » ou qu’une « décision d’une juridiction ou d’une autorité administrative d’un pays tiers » contourne, par effet extraterritorial, le régime de protection des données européennes. C’est une règle de conflit de lois déguisée en règle de transfert. Pour le panorama complet du chapitre V, voir mon guide transfert de données hors UE.

L’origine du conflit : injonctions étrangères et données européennes

L’Art. 48 répond à un problème devenu structurel à mesure que les services numériques se sont mondialisés. Une autorité d’un pays tiers — typiquement les États-Unis — ordonne à un opérateur soumis à son droit (parce qu’il a une filiale, un siège, ou une simple présence commerciale sur son territoire) de communiquer des données stockées dans l’Union européenne. L’opérateur fait face à un dilemme : obéir au juge étranger expose à une violation de l’Art. 48 et du chapitre V du RGPD ; refuser expose à des sanctions pénales ou financières dans le pays tiers.

Le cas emblématique est l’affaire Microsoft Ireland (United States v. Microsoft Corp., n° 17-2). Les États-Unis avaient ordonné à Microsoft de produire le contenu d’une boîte mail stockée dans le centre de données irlandais. Microsoft avait refusé, arguant que les Stored Communications Act warrants n’avaient pas d’effet extraterritorial. La Cour suprême des États-Unis a rendu la question sans objet le 17 avril 2018 parce que le Congrès avait, le mois précédent, adopté le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) qui consacre expressément l’effet extraterritorial des injonctions américaines : un fournisseur de service américain doit produire les données qu’il « possède, garde ou contrôle », quel que soit le lieu de stockage.

Depuis, le conflit s’est généralisé. Le FISA Section 702 autorise la NSA à collecter des communications de non-Américains stockées chez les electronic communications service providers relevant du droit américain. L’Executive Order 12333 organise la collecte hors du territoire américain. La Section 215 du USA PATRIOT Act, abrogée en 2020 mais largement reprise, illustrait la même logique. Et au-delà des États-Unis, les législations chinoise (loi sur le renseignement de 2017, Data Security Law de 2021), russe et de plusieurs autres juridictions imposent des obligations comparables.

La règle de fond : MLAT obligatoire, hors quoi rien

L’Art. 48 verrouille la situation. Sans accord international en vigueur — et le texte cite expressément le traité d’entraide judiciaire en exemple — la décision étrangère ne peut ni être reconnue ni être rendue exécutoire dans l’Union. La conséquence est radicale : un opérateur établi dans l’UE ou soumis au RGPD ne peut pas exécuter spontanément une injonction américaine en l’absence d’un canal MLAT activé entre les autorités américaines et françaises ou européennes.

Les MLAT existent. La France et les États-Unis sont liés par un traité d’entraide judiciaire en matière pénale signé le 10 décembre 1998 (loi n° 2000-1313 du 26 décembre 2000). Un accord UE-États-Unis de 2003 complète le dispositif. L’accord-cadre UE-États-Unis sur la protection des données dans le domaine répressif, dit Umbrella Agreement, est entré en vigueur le 1er février 2017. Ces canaux sont activables — mais ils sont longs, formalisés, contrôlés par les autorités centrales (le ministère français de la Justice via le bureau de l’entraide pénale internationale), et ils n’ont rien à voir avec l’envoi direct d’une subpoena à un fournisseur de cloud.

C’est précisément le mode opératoire que le CLOUD Act prétend court-circuiter. Côté européen, l’EDPB et le CEPS (Comité européen de la protection des données / Contrôleur européen) ont rendu un avis conjoint 1/2019 du 10 juillet 2019 rappelant que « si le CLOUD Act n’est pas adossé à un accord exécutif au sens de la 18 U.S. Code § 2523 conforme aux exigences de l’Art. 48 RGPD, les opérateurs européens ne peuvent y donner suite directement ». À ce jour, aucun accord exécutif États-Unis–Union ratifié n’a été conclu sur le fondement de cette section 2523 ; seul un accord États-Unis–Royaume-Uni est entré en vigueur le 3 octobre 2022. Les négociations UE–US sur un accord similaire restent ouvertes.

Le règlement e-evidence : l’autre canal européen

À l’intérieur de l’Union, le législateur européen a, en parallèle, organisé son propre mécanisme. Le règlement (UE) 2023/1543 du 12 juillet 2023 dit règlement e-evidence relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, applicable à compter du 18 août 2026, met en place un canal direct entre autorités judiciaires des États membres — sans passer par l’entraide judiciaire classique. Ce canal n’a pas vocation à s’étendre aux pays tiers : il s’applique entre États membres ou entre États membres et pays tiers seulement dans le cadre d’accords spécifiques. Le conflit avec le CLOUD Act reste donc entier hors UE.

Pour les opérateurs, la conséquence pratique est la suivante : il faut désormais distinguer trois régimes de demandes d’autorité publique. Premièrement, les demandes intra-UE traitées par le règlement e-evidence ou les canaux nationaux (en France, l’article 60-1 du Code de procédure pénale et l’article 99-3 pour les saisies-réquisitions numériques). Deuxièmement, les demandes pays tiers fondées sur un MLAT activé : l’opérateur reçoit l’injonction par l’intermédiaire de l’autorité française et peut s’exécuter. Troisièmement, les demandes pays tiers directes (CLOUD Act, NSL, subpoenas) qui frappent à la porte de l’opérateur sans passer par les autorités françaises : c’est ce cas que l’Art. 48 verrouille.

Le détour par l’article 49 : possible mais étroit

Le texte de l’Art. 48 se termine par la formule « sans préjudice d’autres motifs de transfert en vertu du présent chapitre ». Cette réserve renvoie aux Art. 45 à 49 — décision d’adéquation, garanties appropriées, BCR, dérogations. La question pratique est : un opérateur peut-il invoquer l’Art. 49 (dérogations) pour répondre à une injonction étrangère qui ne passe pas par un MLAT ?

Le CEPD a tranché de façon restrictive dans ses Lignes directrices 2/2018 du 25 mai 2018. La dérogation Art. 49(1)(e) — défense de droits en justice — a vocation à couvrir les transferts en réponse à un litige où l’opérateur est partie, mais elle ne fonde pas la communication de données à une autorité étrangère qui ne reconnaît pas les voies européennes. Le considérant 115 est explicite : seuls les transferts conformes à l’Art. 48 sont admis. Le CEPD précise que la dérogation Art. 49(1)(d) — motifs importants d’intérêt public — ne peut pas être invoquée pour servir l’intérêt public d’un pays tiers : seul l’intérêt public reconnu par le droit de l’Union ou d’un État membre fonde cette dérogation.

Reste la question particulière des injonctions reçues dans le cadre d’une procédure judiciaire effective dans le pays tiers où l’opérateur est partie défenderesse. Sur ce point, le CEPD admet une lecture étroite de l’Art. 49(1)(e), à condition de minimiser les données transférées, d’informer la personne concernée sauf interdiction légale, et de documenter rigoureusement la mini-TIA et la base juridique. C’est précisément la voie utilisée pour répondre à certaines subpoenas ciblées, jamais à des collectes massives.

Les blocking statutes français et européens

Côté droit national, l’opérateur dispose d’un autre instrument : la loi de blocage. La loi n° 68-678 du 26 juillet 1968 modifiée par la loi n° 80-538 du 16 juillet 1980 interdit, sous peine de 6 mois d’emprisonnement et 18 000 € d’amende, à toute personne de communiquer à des autorités publiques étrangères, hors traité international applicable, des « renseignements d’ordre économique, commercial, industriel, financier ou technique dont la communication est de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public ».

Longtemps perçue comme une loi décorative, la loi de blocage a été réactivée par le décret n° 2022-207 du 18 février 2022 et l’arrêté du même jour qui désignent un guichet unique au sein du Service de l’information stratégique et de la sécurité économiques (SISSE). Toute personne destinataire d’une demande étrangère doit désormais saisir le SISSE, qui qualifie la demande et arbitre la réponse. Le dispositif s’articule avec l’Art. 48 : pour les opérateurs français, la loi de blocage devient un outil de défense lorsqu’ils refusent de donner suite directement à une subpoena américaine.

Plusieurs États membres disposent de dispositifs analogues : l’Allemagne avec le § 17 de la Handelsgesetzbuch pour certaines données commerciales sensibles, l’Italie avec sa législation sur les données stratégiques. À l’échelle européenne, le règlement (UE) 2271/96 modifié dit « règlement de blocage » couvre les sanctions extraterritoriales mais ne traite pas des demandes de données personnelles en tant que telles.

Cloud souverain, SecNumCloud et doctrine « cloud de confiance »

L’Art. 48 a alimenté toute la doctrine française du cloud souverain. La logique est simple : si un opérateur de cloud est soumis au CLOUD Act parce qu’il est américain ou contrôlé par une société américaine, il sera exposé à des injonctions extraterritoriales que l’Art. 48 interdit d’exécuter — mais qu’il sera contraint d’exécuter sous menace de sanctions américaines. Le seul moyen d’écarter le risque est de localiser les données et le contrôle chez un opérateur non soumis au droit américain.

C’est l’objet de la qualification SecNumCloud délivrée par l’ANSSI (référentiel v3.2 publié en 2022). Pour obtenir SecNumCloud, le fournisseur doit notamment démontrer son immunité aux lois extraterritoriales : actionnariat majoritairement européen, gouvernance européenne, absence de personnel ou de procédure exposée à des injonctions étrangères. La doctrine « cloud de confiance » annoncée par le gouvernement en mai 2021 — articulée avec le label SecNumCloud — vise à orienter les administrations et les OIV vers cette catégorie d’offres pour les données les plus sensibles.

Cette articulation n’est pas seulement politique. Elle est désormais juridiquement opposable dans certains secteurs. La doctrine applicable aux administrations (circulaire du 5 juillet 2021 dite « cloud au centre ») a été précisée par les circulaires du 31 mai 2023 et du 11 juin 2024 étendant l’exigence SecNumCloud aux données de santé et à certaines données régaliennes. L’Health Data Hub, dont les données ont longtemps été hébergées chez Microsoft Azure, fait l’objet depuis 2023 d’un programme de migration vers une offre SecNumCloud. C’est la concrétisation, à grande échelle, du raisonnement Art. 48. Pour un panorama détaillé, voir mon guide SecNumCloud : la qualification ANSSI du cloud de confiance.

Jurisprudence CJUE et CNIL applicable

L’Art. 48 ne fait pas l’objet d’une jurisprudence directe abondante de la CJUE. Mais l’arrêt C-311/18 Schrems II du 16 juillet 2020 mobilise indirectement sa logique : la Cour invalide le Privacy Shield en raison de l’accès disproportionné des autorités américaines aux données européennes, sans voies de recours équivalentes. La section 702 du FISA et l’Executive Order 12333 sont visés expressément. Le raisonnement Schrems II est l’application, en aval, du principe que pose l’Art. 48 : pas de transfert structurel quand le droit du pays tiers permet un accès qui contourne les garanties européennes.

Côté CNIL, plusieurs décisions et mises en demeure ont concrétisé l’Art. 48 :

• mise en demeure CNIL Google Analytics du 10 février 2022 : la CNIL constate que les transferts vers Google LLC tombent sous le FISA Section 702 et qu’aucun mécanisme contractuel ne permet d’écarter ce risque, ce qui rend illicite l’utilisation de l’outil dans sa configuration de l’époque ;
• décisions homologues de la DSB autrichienne du 22 décembre 2021, du Garante italien du 23 juin 2022 et du Datatilsynet danois du 21 septembre 2022 ;
• CNIL SAN-2024-001 Hubside.Store du 4 avril 2024 (525 000 €) : la défaillance de cartographie des sous-traitants ultérieurs et de leurs flux est retenue parmi les circonstances aggravantes ;
• recommandation CNIL du 19 juillet 2018 et délibération sur les transferts dans le cadre de l’entraide judiciaire pénale (avis sur le décret du 22 juillet 2020 portant application de la loi n° 2019-222 du 23 mars 2019).

Le sénat français s’est également saisi du sujet : rapport de la commission d’enquête « souveraineté numérique » du 1er octobre 2019 et résolution européenne du 6 octobre 2021. La CNIL publie depuis 2022 une doctrine de contrôle sur les flux concernés par le CLOUD Act, et une recommandation est attendue pour 2026 sur l’articulation Art. 48 / e-evidence.

Plan opérationnel : six chantiers pour gérer le risque CLOUD Act

Sur le terrain, dans mes missions auprès d’opérateurs exposés (banques, assurances, secteur public, santé, défense), je structure la conformité Art. 48 autour de six chantiers qui se chaînent dans cet ordre.

Chantier 1 — cartographie des sous-traitants soumis à des lois extraterritoriales. Identifier, dans le registre des activités de traitement, tous les sous-traitants et sous-sous-traitants soumis au CLOUD Act, au FISA, à la loi chinoise sur le renseignement, ou à toute autre législation extraterritoriale. Le critère n’est pas la nationalité de la maison mère mais l’exposition juridique : un opérateur européen filiale d’un groupe américain peut être soumis au CLOUD Act ; un opérateur américain peut, à l’inverse, être hors champ s’il n’est pas qualifié de electronic communications service.

Chantier 2 — qualification du flux et choix de l’instrument. Pour chaque flux identifié, vérifier la base juridique du transfert au sens de l’Art. 46 ou Art. 47 et compléter par une Transfer Impact Assessment (TIA) au modèle des Recommandations 01/2020 du CEPD du 18 juin 2021. La TIA doit expressément traiter du risque CLOUD Act et FISA et documenter les mesures supplémentaires techniques (chiffrement de bout en bout avec clés détenues exclusivement par le responsable européen, bring your own key avec HSM hors juridiction US), organisationnelles (procédure de réception et de contestation des injonctions) et contractuelles (clause d’audit, clause de transparence sur les demandes reçues).

Chantier 3 — clauses contractuelles de protection. Insérer dans les contrats avec les sous-traitants soumis aux lois extraterritoriales des clauses de transparence (rapport semestriel sur les demandes reçues, à l’image des transparency reports), des clauses d’opposition (engagement à contester systématiquement en justice toute demande non couverte par un MLAT), et des clauses de notification au responsable européen dans les meilleurs délais autorisés par la loi locale. Ces clauses sont opposables même si elles ne neutralisent pas l’obligation de fond. Pour la trame, voir mon guide sur le contrat de sous-traitance Art. 28.

Chantier 4 — procédure de réception des injonctions étrangères. Mettre en place, en interne, une procédure documentée déclenchée à la réception de toute demande d’autorité étrangère : qualification (canal MLAT activé ou non), saisine du SISSE au titre de la loi de blocage, information du DPO et du conseil juridique, refus motivé à l’autorité étrangère avec renvoi au canal MLAT, information de la personne concernée si la loi locale l’autorise, documentation au registre. Le délai de réaction est crucial — certaines injonctions américaines comportent un délai très court.

Chantier 5 — alternatives techniques et architectures. Pour les flux les plus sensibles, étudier des solutions de localisation européenne (cloud souverain, SecNumCloud), de séparation des couches (data plane hors champ extraterritorial, control plane admis), ou de chiffrement homomorphe ou confidential computing qui rendent les données inaccessibles au fournisseur. La directive nationale stratégique des achats numériques (DNUM) et la circulaire du 11 juin 2024 documentent les niveaux de protection attendus selon la sensibilité.

Chantier 6 — information renforcée et accountability. Compléter les mentions Art. 13 et 14 par une information sur le risque d’accès par les autorités d’un pays tiers, comme exigé par la décision Schrems II et les Recommandations 01/2020 du CEPD. Documenter dans le registre, au titre de l’Art. 24 et de l’Art. 5(2), l’ensemble des décisions, TIA, mesures supplémentaires et arbitrages. C’est cette documentation que la CNIL contrôle en priorité depuis Schrems II.

Sanctions et risque contentieux

L’Art. 48 ne porte pas directement sa propre sanction : c’est l’Art. 83(5)© qui s’applique, au plafond haut — 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial — pour toute violation des règles relatives aux transferts internationaux. La même base juridique couvre les violations des Art. 44 à 49 et de l’Art. 49.

Le risque ne se limite pas à la sanction administrative. Au civil, l’Art. 82 ouvre l’action en réparation aux personnes concernées dont les données auraient été transférées en violation de l’Art. 48 — la jurisprudence CJUE C-300/21 Österreichische Post du 4 mai 2023 et C-456/22 Gemeinde Ummendorf du 14 décembre 2023 confirment que le seuil de minimis du dommage moral est rejeté. Et l’action de groupe est désormais ouverte par la loi n° 2024-364 du 22 avril 2024.

Au pénal, en France, l’article 226-22 du Code pénal sanctionne de 5 ans d’emprisonnement et 300 000 € d’amende le détournement de la finalité d’un traitement de données personnelles — qui peut couvrir, dans certaines configurations, l’exécution irrégulière d’une injonction étrangère. Et la loi de blocage de 1968 ajoute son propre quantum.

Articulation avec les autres articles

L’Art. 48 ne s’applique jamais isolément. Son écosystème normatif est dense :

• l’Art. 44 — principe général du chapitre V et exigence d’effet utile ;
• l’Art. 45 — décisions d’adéquation, dont l’EU-US Data Privacy Framework du 10 juillet 2023 ;
• l’Art. 46 — garanties appropriées et clauses contractuelles types ;
• l’Art. 47 — règles d’entreprise contraignantes ;
• l’Art. 49 — dérogations, dont la lecture est strictement encadrée par le CEPD pour les injonctions étrangères ;
• l’Art. 28 — contrat de sous-traitance et clauses de transparence ;
• l’Art. 30 — registre des activités de traitement, où la cartographie des flux Art. 48 est documentée ;
• l’Art. 32 — mesures techniques et organisationnelles, mobilisées en garanties supplémentaires ;
• l’Art. 24 — accountability et charge de la preuve ;
• l’Art. 82 et l’Art. 83(5)© — réparation civile et sanctions administratives ;
• la transfert de données hors UE — vue d’ensemble.

Ce qu’il faut retenir

• L’Art. 48 RGPD est une règle de souveraineté : aucune injonction d’une autorité étrangère ne peut, à elle seule, justifier le transfert ou la divulgation de données depuis l’Union, sauf si elle s’inscrit dans un accord international en vigueur (typiquement un MLAT).
• Le CLOUD Act américain, le FISA Section 702, l’Executive Order 12333 et les législations équivalentes ne sont pas, par eux-mêmes, des bases valables pour transférer ; les opérateurs européens ou soumis au RGPD doivent les refuser et renvoyer à l’entraide judiciaire.
• L’Art. 49 ne peut servir de voie de contournement : le CEPD interprète strictement les dérogations et exclut leur usage massif pour répondre à des injonctions étrangères.
• En France, la loi de blocage du 26 juillet 1968 réactivée par le décret du 18 février 2022 et le guichet SISSE offre un instrument de défense complémentaire ; la qualification SecNumCloud de l’ANSSI matérialise la doctrine du cloud souverain.
• La sanction relève du plafond haut de l’Art. 83(5)© — 20 millions d’euros ou 4 % du chiffre d’affaires mondial — et l’Art. 82 ouvre l’action civile en réparation.
• Le plan opérationnel tient en six chantiers : cartographie des sous-traitants soumis à lois extraterritoriales, qualification et TIA, clauses contractuelles, procédure interne de réception des injonctions, alternatives techniques (cloud souverain, chiffrement, confidential computing), information renforcée et documentation accountability.

FAQ

Mon prestataire cloud américain peut-il accepter une injonction CLOUD Act sans me prévenir ?

Oui, du point de vue du droit américain. Le CLOUD Act et certaines dispositions du FISA permettent à l’autorité demandeuse d’imposer un gag order qui interdit au prestataire d’informer son client. C’est précisément pour cela que les clauses contractuelles de transparence et la localisation des données et des clés chez un opérateur non soumis au droit américain sont les seules vraies parades. Le contrat n’écarte pas l’obligation US, mais il sécurise la documentation côté responsable européen.

Le transfert d’une subpoena via mon avocat américain est-il couvert par l’Art. 48 ?

Non. Le passage par un avocat ne change ni la nature de la demande, ni l’absence de fondement MLAT. La transmission de données européennes pour répondre à une subpoena directe expose le responsable du traitement à une violation de l’Art. 48 et de l’Art. 83(5)©. La voie correcte consiste à demander à l’autorité américaine de saisir le ministère français de la Justice via le canal MLAT, ou à invoquer de façon strictement encadrée la dérogation Art. 49(1)(e) avec une mini-TIA documentée et des données minimisées.

Le règlement e-evidence change-t-il la donne pour les autorités américaines ?

Pas directement. Le règlement (UE) 2023/1543 du 12 juillet 2023, applicable à compter du 18 août 2026, organise un canal direct entre autorités judiciaires des États membres — pas avec des autorités de pays tiers. Une extension à des pays tiers nécessite des accords spécifiques. Les négociations UE–US sur un accord exécutif fondé sur la 18 U.S. Code § 2523 (introduite par le CLOUD Act) sont ouvertes mais aucun accord n’est ratifié à ce jour.

Une décision d’adéquation comme l’EU-US Data Privacy Framework neutralise-t-elle le risque Art. 48 ?

Non. La décision d’adéquation 2023/1795 du 10 juillet 2023 fonde le flux structurel vers les opérateurs américains certifiés DPF. Elle ne dispense pas pour autant l’opérateur européen de respecter l’Art. 48 si une autorité américaine adresse une injonction directe. Le DPF est lui-même fondé sur l’Executive Order 14086 et sur la Data Protection Review Court, dont la solidité est contestée et qui pourrait être abrogée par une administration américaine successive — c’est l’objet du contentieux Schrems III pendant. Voir mon décryptage de l’Art. 45 sur les décisions d’adéquation.

Peut-on stocker des données européennes chez un fournisseur américain en chiffrant tout côté client ?

C’est la voie technique la plus solide, à condition que le fournisseur ne dispose à aucun moment des clés en clair et que le contrat exclue toute opération sur les données déchiffrées. Cette architecture (bring your own key avec HSM hors champ américain, ou confidential computing) déplace le débat : si l’opérateur américain ne peut techniquement pas exécuter une injonction, le risque CLOUD Act devient théorique. Mais la mise en œuvre est exigeante, doit être auditée, et reste à documenter dans la TIA et dans le registre au titre de l’Art. 24.

---

Vous gérez des transferts de données vers des prestataires soumis au CLOUD Act, au FISA ou à des lois extraterritoriales équivalentes ? Recevez nos analyses conformité chaque semaine — inscrivez-vous à la newsletter donneespersonnelles.fr.