Article 50 RGPD : la coopération internationale décryptée

L’article 50 du RGPD est l’angle mort du chapitre V. Quand on parle de transferts internationaux, l’attention se concentre sur les décisions d’adéquation (Art. 45), les clauses contractuelles types (Art. 46) ou les BCR (Art. 47). L’Art. 50, lui, organise un tout autre niveau : la coopération entre autorités de contrôle européennes et homologues de pays tiers — un cadre soft, sans force contraignante directe, mais qui détermine en pratique la rapidité d’une enquête transfrontalière, la qualité d’un dossier d’adéquation présenté à la Commission, ou encore la capacité de la CNIL à obtenir des informations sur un opérateur californien. Dans ma pratique, c’est l’article que les directions juridiques ignorent le plus longtemps — et qu’elles découvrent brutalement quand une procédure conjointe CNIL-FTC ou CNIL-PIPC est annoncée. Voici le décryptage paragraphe par paragraphe de l’Art. 50, et son utilité opérationnelle pour les entreprises françaises.

Ce que dit l’article 50 du RGPD

L’Art. 50 s’intitule « Coopération internationale dans le domaine de la protection des données à caractère personnel ». Il ferme le chapitre V (Art. 44 à 50) consacré aux transferts vers des pays tiers, après l’Art. 49 sur les dérogations. Le texte tient en quatre points, introduits par un chapeau unique qui désigne deux acteurs : la Commission européenne et les autorités de contrôle (la CNIL pour la France, et indirectement le CEPD comme structure de coordination).

Les quatre axes sont les suivants :

• Art. 50(a) : développer des mécanismes de coopération internationale destinés à faciliter l’application effective de la législation relative à la protection des données ;
• Art. 50(b) : fournir une assistance mutuelle internationale dans cette application, y compris par la notification, le renvoi des réclamations, l’assistance dans les enquêtes et l’échange d’informations, sous réserve de garanties appropriées ;
• Art. 50© : associer les parties prenantes concernées aux discussions et activités visant à favoriser la coopération internationale ;
• Art. 50(d) : favoriser l’échange et la documentation de la législation et des pratiques en matière de protection des données, y compris sur les conflits de juridiction avec les pays tiers.

Le considérant 116 éclaire l’esprit du texte : la globalisation des flux de données crée des « défis nouveaux » qui appellent une « coopération plus étroite » entre autorités de contrôle, malgré l’absence d’un cadre international contraignant équivalent au RGPD. L’Art. 50 ne crée donc pas de droits subjectifs pour les personnes concernées ni d’obligations pour les responsables de traitement. C’est une disposition programmatique qui structure l’action institutionnelle.

Art. 50(a) : développer des mécanismes de coopération internationale

Le premier axe est le plus large. Il englobe à la fois les instruments multilatéraux auxquels l’UE participe (Conseil de l’Europe, OCDE, Global Privacy Assembly) et les accords bilatéraux négociés autorité par autorité.

L’instrument multilatéral de référence reste la Convention 108 du Conseil de l’Europe (STE n° 108), adoptée le 28 janvier 1981, premier traité international juridiquement contraignant en matière de protection des données. Le Protocole d’amendement, dit « Convention 108+ » (STCE n° 223), ouvert à la signature le 10 octobre 2018, modernise le texte pour le mettre en cohérence avec le RGPD. Après ratification par 38 parties contractantes, ce protocole est entré en vigueur le 11 octobre 2023 dans les États qui l’ont ratifié. La France a déposé son instrument de ratification par décret du 16 janvier 2024. La Convention 108+ couvre aujourd’hui plus de 55 États (les 46 États membres du Conseil de l’Europe plus une dizaine d’États tiers comme le Cap-Vert, l’Île Maurice, l’Argentine, la Tunisie, le Mexique, le Maroc, le Sénégal). C’est, à ma connaissance, le seul instrument multilatéral véritablement opposable en matière de protection des données — et le seul que la Commission cite dans ses analyses d’adéquation au titre de l’Art. 45(2)©.

Aux côtés de la Convention 108+, les Lignes directrices de l’OCDE régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel (1980, révisées en 2013) constituent un cadre soft mais influent. Elles ont inspiré la majorité des cadres nationaux non européens et structurent les travaux de l’OECD Working Party on Data Governance and Privacy.

Au-delà de ces deux instruments, l’écosystème de coopération s’articule autour de quelques enceintes opérationnelles :

• la Global Privacy Assembly (GPA), anciennement Conférence internationale des commissaires à la protection des données (ICDPPC), réunit plus de 130 autorités membres. Elle adopte chaque année des résolutions sectorielles (IA générative en 2023, neuroprotection en 2024, etc.) qui ne lient personne mais orientent les positions des autorités nationales ;
• le Global Privacy Enforcement Network (GPEN), créé en 2010 sous l’impulsion de l’OCDE, organise les « sweeps » coordonnés annuels (audits techniques simultanés de cookies, d’API mobiles, de chatbots) ;
• le Common Thread Network (CTN), qui réunit les autorités du Commonwealth ;
• le réseau APPA (Asia-Pacific Privacy Authorities), point de contact incontournable pour la coopération avec l’Australie, la Nouvelle-Zélande, Singapour ou Hong Kong ;
• l’International Working Group on Data Protection in Technology (IWGDPT, dit « Groupe de Berlin »), qui rédige des prises de position sur les sujets techniques émergents.

La CNIL participe activement à toutes ces enceintes. Son rapport annuel 2024 mentionne plus de 100 actes de coopération internationale par an, y compris des présidences de groupes de travail (CNIL préside par exemple le groupe « stratégie » de la GPA depuis 2023).

Art. 50(b) : fournir une assistance mutuelle internationale

Le deuxième axe est plus opérationnel. Il vise quatre activités explicites : la notification, le renvoi des réclamations, l’assistance dans les enquêtes et l’échange d’informations. Toutes sont soumises à une réserve essentielle : « sous réserve de garanties appropriées pour la protection des données à caractère personnel et des autres libertés et droits fondamentaux ». Autrement dit, la coopération internationale ne peut pas devenir une voie de contournement des chapitres V (transferts) et III (droits) du RGPD.

C’est une nuance critique. Quand la CNIL échange avec la FTC américaine ou avec l’autorité brésilienne ANPD des informations relatives à une enquête, elle ne peut le faire que dans les limites des Art. 44 à 49. Le CEPD a précisé dans ses Lignes directrices 02/2018 sur les dérogations Art. 49 (adoptées le 25 mai 2018) que l’Art. 49(1)(d) « motifs importants d’intérêt public » peut servir de fondement résiduel aux échanges entre autorités de contrôle, mais à des conditions strictes : reconnaissance de l’intérêt public dans le droit national ou européen (Art. 49(4)), proportionnalité, encadrement par écrit.

En pratique, les principaux outils bilatéraux sont :

• les Memorandums of Understanding (MoU) signés par le CEPD avec des homologues structurants : MoU avec la Personal Information Protection Commission (PIPC) coréenne signé le 4 avril 2022 dans le cadre de la décision d’adéquation Corée du Sud du 17 décembre 2021 ; MoU avec la Personal Information Protection Commission (PPC) japonaise du 19 juillet 2017 (renouvelé en 2023) ; coopération informelle structurée avec l’Information Commissioner’s Office (ICO) britannique post-Brexit, dans l’attente du renouvellement de la décision d’adéquation UK ;
• les accords bilatéraux signés par la CNIL : avec l’Autorité argentine d’accès à l’information publique (AAIP), avec la Commission d’accès à l’information du Québec (CAI), avec le Préposé fédéral à la protection des données et à la transparence (PFPDT) suisse, avec l’INPDP tunisienne, avec la CIL burkinabè, avec l’INAI mexicain, avec la Data Protection Office mauricienne. La CNIL accompagne par ce biais la francophonie institutionnelle (réseau AFAPDP — Association francophone des autorités de protection des données personnelles) ;
• les dialogues réguliers Commission–FTC américaine, structurés par la Trans-Atlantic Data Policy Forum (instituée par le sommet UE-USA de juin 2021) et par les revues annuelles du Data Privacy Framework (DPF) au titre de l’Art. 45(3) ;
• le G7 Data Protection and Privacy Authorities Roundtable, créé en septembre 2021 à l’initiative de l’ICO britannique, qui réunit les autorités du G7 plus le CEPD. Les déclarations communes du G7 Roundtable ont structuré les positions de fond sur l’IA générative (déclaration du 21 juin 2023 à Tokyo, déclaration du 10 octobre 2024 à Rome).

Ces canaux ne créent pas d’obligation contraignante d’échanger une information dans un délai donné. Ils définissent un cadre de confiance qui rend l’échange possible — et qui, dans la pratique, accélère considérablement les enquêtes conjointes type Clearview AI 2021-2024 (coopération CNIL/Garante/ICO/AP/Hellenic DPA, cumul ~90 M€), évoquées dans le commentaire de l’Art. 61 pour la coopération intra-UE et de l’Art. 62 pour les opérations conjointes.

Art. 50© : associer les parties prenantes

Le troisième axe est souvent négligé. Il vise les « relevant stakeholders » — entreprises, ONG, monde académique, organisations professionnelles — et postule que la coopération internationale ne peut pas se réduire au dialogue entre régulateurs. C’est la base juridique des consultations publiques internationales menées par le CEPD (par exemple la consultation publique 2023 sur les Lignes directrices 06/2023 sur les exigences de la décision d’adéquation EU-US DPF, ouverte aux contributions de 134 organisations dont 41 hors UE).

Concrètement, l’Art. 50© couvre :

• les consultations publiques ouvertes à l’international par la Commission et le CEPD ;
• les clinical case studies organisés en marge de la GPA et du G7 Roundtable ;
• les programmes d’échange de bonnes pratiques entre régulateurs (programme « Friends of GPA » pour les autorités émergentes) ;
• les actions de capacity building financées par la Commission via le programme PRIVANS (Promoting Privacy in non-EU Countries) pour les autorités africaines et latino-américaines.

Pour une entreprise française, ce levier reste sous-exploité. Participer à une consultation publique du CEPD ou de la GPA est une façon de structurer en amont la doctrine internationale qui finira par s’appliquer à vous. Les organisations sectorielles (Cigref, AFEP, MEDEF, France Digitale) le font régulièrement ; les directions juridiques d’ETI le font rarement, à tort.

Art. 50(d) : échange et documentation de la législation

Le quatrième axe est davantage technique. Il vise l’échange et la documentation de la législation des pays tiers — la condition préalable à toute évaluation d’adéquation par la Commission au titre de l’Art. 45(2) et à tout Transfer Impact Assessment par un exportateur de données au titre de l’Art. 46(1) après l’arrêt CJUE C-311/18 Schrems II du 16 juillet 2020.

L’Art. 50(d) mentionne explicitement les « conflits de juridiction avec les pays tiers ». Cette mention vise les situations où une législation étrangère impose à une entreprise européenne une obligation contraire au RGPD — typiquement, les injonctions extraterritoriales du CLOUD Act américain analysées dans le commentaire de l’Art. 48, les obligations de divulgation au titre du FISA Section 702 ou de l’Executive Order 12333, ou encore les obligations issues de la Data Security Law chinoise de 2021.

La documentation produite à ce titre prend trois formes principales :

• les rapports d’adéquation publiés par la Commission lors de l’adoption d’une décision Art. 45 (le rapport sur le EU-US Data Privacy Framework du 10 juillet 2023, le rapport Royaume-Uni du 28 juin 2021, le rapport Corée du Sud du 17 décembre 2021) ;
• les rapports annuels du CEPD qui consacrent un chapitre à la coopération internationale, recensant les MoU signés et les activités menées ;
• les avis du CEPD sur les transferts (Avis 28/2024 sur le « pay-or-okay », Avis 22/2024 sur l’AI Act), qui s’appuient sur des comparaisons internationales.

Le résultat le plus tangible de l’Art. 50(d) est la liste actualisée des 15 pays adéquats au 1er mai 2026 : Andorre, Argentine, Brésil (depuis janvier 2026), Canada, Corée du Sud, États-Unis (DPF), Guernesey, Île de Man, Îles Féroé, Japon, Jersey, Nouvelle-Zélande, Royaume-Uni, Suisse, Uruguay. Chacune de ces décisions est le fruit d’années de coopération bilatérale et de documentation au titre de l’Art. 50(d).

Trois limites structurelles à connaître

L’Art. 50 souffre de trois limites que tout praticien doit avoir en tête.

Première limite : la nature non contraignante. L’Art. 50 ne crée ni droits subjectifs ni obligations directes. Une personne concernée ne peut pas saisir un juge sur le fondement de l’Art. 50. Une entreprise ne peut pas reprocher à la CNIL un manquement à l’Art. 50. Le CJUE n’a, à ma connaissance, jamais rendu de décision interprétant directement l’Art. 50 — au contraire de l’Art. 45 (Schrems I et II) ou de l’Art. 46 (Schrems II).

Deuxième limite : l’asymétrie d’application. Le RGPD oblige la CNIL et le CEPD à coopérer ; aucune disposition équivalente n’oblige la FTC américaine, l’OAIC australienne ou la PIPC coréenne à le faire en retour. Cette asymétrie est gérée par les MoU bilatéraux, mais elle reste structurelle. En particulier, aucun MoU n’a été signé avec la FTC — la coopération transatlantique repose sur des canaux informels et politiques (Trans-Atlantic Data Policy Forum), pas sur un instrument juridique.

Troisième limite : la contrainte Schrems II. Depuis l’arrêt CJUE C-311/18 du 16 juillet 2020, tout transfert de données vers un pays tiers — y compris dans le cadre d’une coopération entre autorités — suppose une évaluation de l’équivalence essentielle du droit du pays tiers. Lorsque la CNIL transmet à l’ANPD brésilienne le dossier d’une réclamation impliquant des données personnelles européennes, elle doit vérifier que la transmission est encadrée par une dérogation Art. 49 et, le cas échéant, par des garanties supplémentaires. L’Art. 50 ne suffit pas, à lui seul, à fonder un transfert.

Plan opérationnel : quatre chantiers pour valoriser l’Art. 50

Bien qu’il s’adresse aux institutions, l’Art. 50 produit des effets concrets pour les entreprises. Voici les quatre chantiers que je recommande à mes clients.

Chantier 1 — Veille des décisions internationales structurantes. Les décisions de la PIPC coréenne, de l’ANPD brésilienne (depuis l’adéquation de janvier 2026), de l’OAIC australienne et de l’ICO britannique sont désormais des sources doctrinales que la CNIL et le CEPD intègrent à leurs propres travaux. Une veille mensuelle de leurs publications anglophones, articulée à la veille CEPD habituelle, permet d’anticiper les positions futures du CEPD avec 6 à 12 mois d’avance.

Chantier 2 — Cartographie des flux vers des pays « adéquats » non européens. L’extension de la liste des pays adéquats (Brésil en janvier 2026, élargissement attendu du DPF) modifie la qualification juridique de flux historiquement encadrés par CCT ou BCR. Mettre à jour la cartographie des flux et bascule éventuelle vers le fondement Art. 45 simplifie le dispositif contractuel et libère les ressources du Transfer Impact Assessment (Art. 46).

Chantier 3 — Participation aux consultations publiques internationales. Les consultations du CEPD, de la GPA et du G7 Roundtable sont ouvertes aux contributions externes. Pour une entreprise sectoriellement exposée (IA générative, cloud, biométrie, télécommunications), c’est l’opportunité de structurer en amont la doctrine qui s’appliquera dans 18-36 mois. Le coût est faible (note de 5-10 pages), le retour est élevé.

Chantier 4 — Préparation aux opérations conjointes internationales. Les enquêtes Clearview AI 2021-2024, Meta transferts 2023 et plus récemment les enquêtes coordonnées sur les modèles d’IA générative (task force CEPD ChatGPT depuis 2023, opérations conjointes G7 sur les chatbots en 2024) montrent que les opérations conjointes ne se limitent plus au cadre intra-UE de l’Art. 62. Documenter en amont les bases légales, les flux, les sous-traitants ultérieurs et les politiques de modération multi-juridictionnelles est devenu la seule façon de tenir une posture défensive cohérente face à des autorités CNIL, ICO, FTC et PIPC saisies en parallèle.

Articulation avec les autres dispositions

L’Art. 50 est l’angle externe d’un dispositif plus large. Il complète :

• l’Art. 44 qui pose le principe général des transferts vers des pays tiers ;
• l’Art. 45 qui définit les décisions d’adéquation — fondement contractuel mobilisable grâce au travail de coopération mené sous l’Art. 50 ;
• l’Art. 46 qui définit les garanties appropriées et le Transfer Impact Assessment ;
• l’Art. 48 qui encadre les injonctions étrangères et le CLOUD Act — les conflits de juridiction visés par l’Art. 50(d) ;
• l’Art. 49 qui définit les dérogations applicables aux transferts ponctuels — y compris aux échanges entre autorités sous Art. 50(b) ;
• l’Art. 57(1)(s) qui charge la CNIL de favoriser la coopération internationale ;
• l’Art. 58(1)(f) qui ouvre aux autorités le pouvoir d’obtenir l’accès à toutes les données nécessaires à l’exécution de leurs missions, y compris dans un cadre transfrontalier ;
• l’Art. 61 sur l’assistance mutuelle intra-UE — le pendant interne de l’Art. 50(b) ;
• l’Art. 62 sur les opérations conjointes intra-UE — le pendant interne des opérations conjointes internationales coordonnées au sein du G7 Roundtable et de la GPA ;
• l’Art. 70(1)(u) qui charge le CEPD d’encourager l’élaboration de codes de conduite et de mécanismes de certification, y compris à dimension internationale.

L’article 8 de la loi Informatique et Libertés (LIL) reprend les missions internationales de la CNIL en droit français, en cohérence avec l’Art. 50 et l’Art. 57(1)(s) du RGPD.

Ce qu’il faut retenir

• L’Art. 50 RGPD structure la coopération internationale entre la Commission, le CEPD, la CNIL et les autorités de pays tiers, autour de quatre axes : mécanismes de coopération, assistance mutuelle, association des parties prenantes, échange et documentation.
• L’instrument multilatéral central est la Convention 108+ du Conseil de l’Europe, entrée en vigueur le 11 octobre 2023 et ratifiée par la France par décret du 16 janvier 2024.
• L’écosystème opérationnel s’articule autour de la Global Privacy Assembly (GPA), du Global Privacy Enforcement Network (GPEN), du réseau APPA, du G7 Roundtable des autorités de protection des données et des Lignes directrices de l’OCDE.
• Les MoU bilatéraux du CEPD avec la PIPC coréenne (2022), la PPC japonaise (2017-2023) et les accords de la CNIL avec le Québec, la Suisse, l’Argentine et plusieurs autorités francophones structurent la coopération concrète. Aucun MoU n’existe avec la FTC américaine — la coopération transatlantique reste politique et informelle.
• L’Art. 50 n’a pas d’effet juridique direct : pas de droits subjectifs pour les personnes concernées, pas d’obligations pour les responsables de traitement, pas de jurisprudence CJUE directe à ce jour.
• Pour les entreprises, l’enjeu opérationnel est triple : veille des décisions étrangères structurantes, cartographie des flux vers les pays adéquats, et participation aux consultations internationales pour structurer en amont la doctrine future du CEPD.

FAQ

L’article 50 RGPD impose-t-il des obligations aux entreprises ?

Non. L’Art. 50 s’adresse exclusivement à la Commission européenne et aux autorités de contrôle (la CNIL pour la France, le CEPD au niveau européen). Il n’impose aucune obligation directe aux responsables de traitement ni aux sous-traitants. Son impact pour les entreprises est indirect : il structure les décisions d’adéquation au titre de l’Art. 45 et la doctrine internationale qui influencera, à terme, les positions du CEPD applicables aux entreprises.

Quelle différence entre la Convention 108 et la Convention 108+ ?

La Convention 108 (1981) est le premier traité international juridiquement contraignant en matière de protection des données. La Convention 108+ est le protocole d’amendement (STCE n° 223), ouvert à la signature le 10 octobre 2018, qui modernise le texte pour le mettre en cohérence avec le RGPD. Le Protocole est entré en vigueur le 11 octobre 2023 dans les États ratifiants. La France l’a ratifié par décret du 16 janvier 2024. La Convention 108+ couvre aujourd’hui plus de 55 États, dont une dizaine hors Conseil de l’Europe.

Pourquoi le CEPD n’a-t-il pas signé de MoU avec la FTC américaine ?

Pour une raison structurelle : la FTC américaine n’est pas une autorité de protection des données mais une autorité de concurrence et de protection des consommateurs, dont la compétence en matière de vie privée repose sur sa capacité à poursuivre les pratiques « unfair or deceptive » (Section 5 du FTC Act). Cette compétence n’est ni générale, ni équivalente à celle d’une autorité RGPD. La coopération transatlantique passe donc par des canaux politiques : le Trans-Atlantic Data Policy Forum institué en juin 2021 et les revues annuelles du EU-US Data Privacy Framework au titre de l’Art. 45(3).

Une autorité étrangère peut-elle obtenir des données auprès de la CNIL via l’article 50 ?

Oui, mais à des conditions strictes. Tout échange d’informations entre la CNIL et une autorité de pays tiers constitue un transfert au sens de l’Art. 44 et doit être fondé sur l’un des instruments du chapitre V : décision d’adéquation (Art. 45), garanties appropriées (Art. 46) ou dérogations (Art. 49). Le CEPD a indiqué dans ses Lignes directrices 02/2018 que l’Art. 49(1)(d) « motifs importants d’intérêt public » peut servir de fondement résiduel, à condition que l’intérêt public soit reconnu par le droit de l’Union ou de l’État membre (Art. 49(4)).

Comment une entreprise peut-elle tirer profit de l’article 50 ?

Quatre leviers concrets. D’abord, une veille mensuelle des décisions de la PIPC coréenne, de l’ICO britannique et de l’ANPD brésilienne anticipe avec 6 à 12 mois d’avance les positions futures du CEPD. Ensuite, la cartographie des flux vers les pays adéquats non européens (15 pays au 1er mai 2026) permet de simplifier le dispositif contractuel quand un flux passe de CCT à fondement Art. 45. Troisièmement, la participation aux consultations publiques du CEPD et de la GPA permet de structurer en amont la doctrine future. Enfin, la préparation aux opérations conjointes internationales (G7, GPEN sweeps, task force IA générative) impose une documentation accountability multi-juridictionnelle qui devient un standard de marché.

Vous gérez des flux internationaux complexes (US, UK, Brésil, Corée, Japon) et vous voulez aligner votre dispositif Art. 45/46/47/49 sur les évolutions de la coopération internationale ? Recevez chaque semaine mes analyses pratiques de conformité — décisions CNIL, jurisprudence CJUE, recommandations CEPD, MoU du CEPD avec les autorités de pays tiers — directement dans votre boîte mail. Abonnez-vous à la newsletter.