Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 9 mai 2026
Accueil/RGPD/Article 44 RGPD : le principe général des transferts
RGPD

Article 44 RGPD : le principe général des transferts

Article 44 RGPD : principe général des transferts hors UE, transferts ultérieurs et équivalence essentielle. Schrems II, TIA, sanctions et chantiers.

Par Thiebaut DevergrannePublie le 7 mai 2026Mis a jour le 7 mai 202616 min de lecture
Sommaire
  1. Ce que dit l’article 44 du RGPD
  2. La notion de transfert : ce que dit le CEPD
  3. L’application au responsable et au sous-traitant
  4. Le verrou des transferts ultérieurs (« onward transfers »)
  5. L’impératif d’effet utile (deuxième phrase de l’Art. 44)
  6. Articulation avec Art. 45, 46, 47 et 49
  7. La pratique CNIL : ce qui est contrôlé
  8. Six chantiers pour mettre en œuvre l’Art. 44
  9. Sanctions : l’Art. 44 au plafond haut
  10. Ce qu’il faut retenir
  11. FAQ

L’article 44 du RGPD est le pilier qui ouvre le chapitre V — celui que tout le monde cite, que peu lisent vraiment, et que la CNIL utilise systématiquement comme premier visa dans ses contrôles « transferts ». Il tient en deux phrases, mais il commande l’ensemble des articles 45 à 49 : décisions d’adéquation, clauses contractuelles types, BCR, dérogations. Surtout, il pose deux règles dont la portée a été révolutionnée par l’arrêt Schrems II : la chaîne s’étend aux transferts ultérieurs et le niveau de protection garanti par le RGPD ne doit jamais être compromis, quel que soit l’instrument utilisé. Voici son décryptage paragraphe par paragraphe, tel que je l’applique en mission depuis vingt ans de conseil sur les flux internationaux.

Ce que dit l’article 44 du RGPD

L’Art. 44 s’intitule « Principe général applicable aux transferts ». Il ouvre le chapitre V du RGPD (Art. 44 à 50) et conditionne l’ensemble des mécanismes de transfert international. Bien que d’apparence brève — un paragraphe unique — il pose quatre règles structurantes :

  • la soumission de tout transfert vers un pays tiers ou une organisation internationale aux conditions du chapitre V ;
  • l’application aux deux acteurs : responsable du traitement et sous-traitant ;
  • l’extension aux transferts ultérieurs depuis le pays tiers vers un autre pays tiers ou une organisation internationale ;
  • l’impératif d’effet utile : aucune des dispositions du chapitre V ne peut être appliquée d’une manière qui compromettrait le niveau de protection du RGPD.

Le manquement à l’Art. 44 relève du plafond haut de l’Art. 83(5)© : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Pour le panorama des mécanismes opérationnels, voir mon guide transfert de données hors UE.

La notion de transfert : ce que dit le CEPD

Le RGPD ne définit pas le mot « transfert » — c’est l’une des plus grandes lacunes textuelles du règlement. Le Comité européen de la protection des données (CEPD) a comblé cette lacune dans ses Lignes directrices 05/2021 adoptées dans leur version finale le 14 février 2023, après une consultation publique de plus d’un an. Trois critères cumulatifs y sont posés pour qualifier un transfert international au sens de l’Art. 44.

Premier critère : l’exportateur (responsable ou sous-traitant) doit être soumis au RGPD pour le traitement concerné, soit par établissement dans l’Union (Art. 3(1)), soit par ciblage de personnes situées dans l’Union (Art. 3(2)).

Deuxième critère : il doit y avoir une mise à disposition des données par cet exportateur à un autre responsable ou sous-traitant — l’importateur. Le CEPD précise que cela peut prendre la forme d’une transmission active, d’un accès à distance, ou de la simple possibilité d’accéder aux données. Un cas est exclu : la communication par la personne concernée elle-même, qui n’est pas un « transfert » au sens de l’Art. 44 (cf. CJUE C-101/01 Lindqvist du 6 novembre 2003 sur la pré-version directive 95/46/CE, dont la solution est transposable).

Troisième critère : l’importateur doit se trouver dans un pays tiers ou être une organisation internationale. La notion de pays tiers correspond à tout État situé en dehors de l’Espace économique européen (EEE) — les 27 États membres plus l’Islande, le Liechtenstein et la Norvège. La notion d’organisation internationale renvoie à l’Art. 4(26) : organisation et organismes subordonnés relevant du droit international public, ou tout autre organisme créé par accord entre deux ou plusieurs pays.

Conséquence pratique majeure : dès qu’un sous-traitant établi en France utilise un sous-sous-traitant indien pour son support de niveau 1, c’est un transfert. Dès qu’un éditeur SaaS européen autorise l’accès à distance de ses ingénieurs depuis le Brésil, c’est un transfert. Dès qu’une filiale américaine accède au CRM hébergé sur un cloud européen, c’est un transfert. La géographie de l’hébergement ne fait pas tout — l’accès à distance suffit.

L’application au responsable et au sous-traitant

L’Art. 44 vise expressément « le responsable du traitement et le sous-traitant ». Cette double inscription a une portée concrète qu’il faut comprendre.

Pour le responsable, l’Art. 44 fonde une obligation de résultat sur la légitimité du transfert. Il doit avoir choisi l’instrument adéquat (adéquation, garantie appropriée, dérogation) avant que le transfert ne commence. C’est cette obligation qui justifie la cartographie des flux exigée par l’Art. 30 et par l’Art. 5(2) accountability.

Pour le sous-traitant, l’Art. 44 fonde une obligation autonome. Le sous-traitant ne peut pas se réfugier derrière les instructions de son donneur d’ordre. Ce point est essentiel : si le sous-traitant transfère vers un sous-sous-traitant pays tiers sans instrument valide, sa responsabilité est directement engagée même si le contrat de sous-traitance ne le mentionne pas. La CNIL a sanctionné cette logique dans la délibération SAN-2024-001 Hubside.Store du 4 avril 2024 (525 000 €) où le défaut de cartographie des sous-traitants ultérieurs a constitué un manquement structurel — Art. 28 et Art. 44 conjugués.

L’articulation avec l’Art. 28 est ici décisive. Les clauses contractuelles obligatoires Art. 28(3) doivent prévoir la chaîne des transferts : pays d’établissement des sous-sous-traitants, autorisation préalable du responsable, instruments mobilisés. Sans cette traçabilité, l’Art. 44 ne peut pas être respecté en pratique.

Le verrou des transferts ultérieurs (« onward transfers »)

C’est l’innovation majeure de l’Art. 44 par rapport à la directive 95/46/CE. Le texte soumet aux conditions du chapitre V « les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale ».

Concrètement, la chaîne ne se rompt pas à la frontière européenne. Si vous transférez vers les États-Unis sous DPF, et que votre destinataire américain retransfère ensuite vers son partenaire en Inde, ce second transfert reste régi par le RGPD via l’instrument que vous avez retenu. C’est ce mécanisme qui explique :

  • la clause 8.7 des CCT 2021/914 (décision d’exécution du 4 juin 2021) qui impose à l’importateur de ne retransférer qu’à un destinataire lié par les mêmes garanties ou bénéficiant d’un autre fondement valide ;
  • l’élément 6 des BCR (Art. 47) qui exige une opposabilité de la chaîne complète ;
  • la garantie de protection contre le retransfert dans le DPF américain (principe « Accountability for Onward Transfer ») ;
  • les Recommandations 1/2022 du CEPD du 14 juin 2023 spécifiquement consacrées aux transferts ultérieurs.

Pour le praticien, cela signifie qu’il est inutile de signer des CCT solides avec un prestataire américain si le prestataire retransfère ensuite à un sous-traitant chinois sans clause équivalente. La conformité d’un transfert se mesure jusqu’au dernier maillon de la chaîne. C’est ce point qu’a sanctionné le CEPD dans sa décision contraignante 1/2023 du 13 avril 2023 ayant abouti à l’amende de 1,2 milliard d’euros contre Meta : la rétention des données dans le périmètre américain n’éteignait pas la chaîne d’analyse.

L’impératif d’effet utile (deuxième phrase de l’Art. 44)

La deuxième phrase de l’Art. 44 — « Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis » — est le verrou qu’a activé la CJUE dans Schrems II (C-311/18 du 16 juillet 2020).

La Cour a jugé que le standard d’équivalence essentielle posé par Schrems I (C-362/14 du 6 octobre 2015) ne s’applique pas seulement aux décisions d’adéquation Art. 45, mais à tous les instruments du chapitre V. Une CCT valide « en principe » ne suffit pas : il faut vérifier, au cas par cas, que le pays de destination n’a pas un cadre juridique qui prive l’instrument de son effet utile. Notamment, l’accès des autorités publiques étrangères aux données — typiquement la FISA Section 702 et l’Executive Order 12333 aux États-Unis — peut neutraliser une garantie contractuelle.

C’est de cette deuxième phrase de l’Art. 44 que découle l’obligation de Transfer Impact Assessment (TIA) formalisée par les Recommandations 01/2020 du CEPD adoptées dans leur version finale le 18 juin 2021. Le TIA suit six étapes : identification des transferts (1), identification des instruments mobilisés (2), évaluation des lois et pratiques du pays de destination (3), identification des mesures supplémentaires (4), formalisation procédurale (5), réévaluation périodique (6). C’est aujourd’hui le premier point que la CNIL contrôle en mission « transferts ».

L’arrêt CJUE C-340/21 NAP du 14 décembre 2023 a confirmé en parallèle que la charge de la preuve repose sur le responsable : c’est à lui de démontrer qu’il a évalué et garanti l’effet utile. Une absence de TIA documenté constitue un manquement Art. 44 + Art. 5(2) accountability.

Articulation avec Art. 45, 46, 47 et 49

L’Art. 44 ne fait que poser le principe. Les conditions concrètes sont distribuées entre les articles suivants, dans une hiérarchie que le CEPD a confirmée à plusieurs reprises :

  • Premier niveau — la décision d’adéquation (Art. 45). Mécanisme prioritaire et le plus simple : la Commission européenne reconnaît qu’un pays tiers offre un niveau de protection essentiellement équivalent. Au 1er mai 2026, 15 pays bénéficient d’une décision d’adéquation : Andorre, Argentine, Brésil, Canada, Corée du Sud, États-Unis (DPF), Guernesey, Île de Man, Îles Féroé, Japon, Jersey, Nouvelle-Zélande, Royaume-Uni, Suisse, Uruguay.
  • Deuxième niveau — les garanties appropriées (Art. 46). En l’absence d’adéquation, six instruments standards (CCT 2021/914, BCR-procédure légère après agrément, accord international, code de conduite EU Cloud CoC, certification, instrument entre autorités publiques) et deux instruments soumis à autorisation (clauses ad hoc, arrangements administratifs).
  • Troisième niveau — les BCR (Art. 47). Règles d’entreprise contraignantes pour les transferts intra-groupe, après instruction par la CNIL chef de file et avis du CEPD.
  • Quatrième niveau — les dérogations (Art. 49). Voie résiduelle pour les transferts ponctuels : consentement explicite, nécessité contractuelle, intérêt public, droits en justice, intérêts vitaux, registres publics, et le « transfert de dernier ressort » sur intérêts légitimes impérieux.

L’Art. 44 commande une lecture combinée de ces niveaux. Si une décision d’adéquation existe, l’exportateur ne peut pas se rabattre arbitrairement sur les CCT pour obtenir plus de souplesse contractuelle — il doit se conformer à l’instrument disponible. Inversement, en l’absence d’adéquation, il ne peut pas systématiquement invoquer l’Art. 49 : ces dérogations sont d’interprétation stricte (Lignes directrices 2/2018 du CEPD).

La pratique CNIL : ce qui est contrôlé

Dans mon expérience de mission, sept points de contrôle reviennent systématiquement quand la CNIL active le visa Art. 44 :

  1. La cartographie des transferts (Art. 30 + Art. 5(2)) : la liste des destinataires pays tiers est-elle exhaustive et à jour ? Inclut-elle les sous-traitants ultérieurs ?
  2. La qualification de l’instrument : pour chaque flux, l’instrument retenu est-il identifié (adéquation, CCT module 1/2/3/4, BCR, dérogation Art. 49) ?
  3. Le TIA documenté : pour les transferts hors adéquation, l’évaluation du cadre juridique du pays tiers est-elle formalisée ?
  4. Les mesures supplémentaires : si le TIA conclut à une faiblesse, des mesures techniques (chiffrement, pseudonymisation, fragmentation) ou organisationnelles ont-elles été mises en place ?
  5. L’information des personnes (Art. 13/Art. 14) : la mention transferts précise-t-elle les pays, l’instrument et la possibilité d’obtenir copie des garanties ?
  6. La traçabilité contractuelle (Art. 28) : les sous-sous-traitants sont-ils autorisés et liés par les mêmes obligations ?
  7. La réévaluation : un calendrier de revue périodique est-il prévu (notamment après évolution législative dans le pays tiers ou décision CJUE) ?

La mise en demeure publique de la CNIL contre un site utilisant Google Analytics du 10 février 2022 est l’exemple canonique : la CNIL a jugé que le simple recours à GA, en l’absence de mesures supplémentaires opposables au FISA Section 702, constituait un manquement à l’Art. 44 lu à la lumière de Schrems II. Les décisions homologues rendues en parallèle — DSB Autriche du 22 décembre 2021, Garante italien du 23 juin 2022, Datatilsynet danois du 21 septembre 2022 — ont cristallisé une doctrine européenne convergente.

À noter : la décision AEPD Glovoapp du 10 mai 2022 (2,5 millions d’euros) et la décision du Datatilsynet norvégien Grindr du 13 décembre 2021 (15,5 millions de couronnes norvégiennes, soit environ 1,3 million d’euros) ont confirmé que les transferts non encadrés sont sanctionnés au plafond haut, indépendamment du caractère intentionnel ou négligent.

Six chantiers pour mettre en œuvre l’Art. 44

Voici le plan opérationnel que je déploie chez les clients en mission « transferts internationaux ». Il a fait ses preuves auprès de PME comme d’ETI, et il sécurise l’essentiel.

Chantier 1 — Cartographie complète des flux. Lister tous les outils, sous-traitants, applicatifs SaaS, hébergeurs cloud, services tiers utilisés. Identifier pour chacun le pays d’établissement, les pays d’hébergement, et les pays d’accès distant. Cette cartographie alimente le registre des activités de traitement et constitue la base documentaire de l’accountability.

Chantier 2 — Qualification juridique flux par flux. Pour chaque transfert identifié, déterminer le mécanisme : adéquation Art. 45, CCT Art. 46(2)©, BCR Art. 47, dérogation Art. 49. Documenter le module CCT applicable (1, 2, 3 ou 4). Vérifier que l’instrument est signé, daté et opposable.

Chantier 3 — Transfer Impact Assessment. Pour chaque transfert hors adéquation, conduire un TIA selon la méthodologie Recommandations 01/2020 CEPD. Six étapes formalisées par écrit. Conservation au moins 5 ans (durée raisonnable de prescription).

Chantier 4 — Mesures supplémentaires. Si le TIA révèle un risque résiduel, déployer des mesures techniques (chiffrement de bout en bout avec gestion locale des clés, pseudonymisation forte) ou organisationnelles (politique de réponse aux demandes d’autorités étrangères, contestation systématique). Documenter leur mise en œuvre.

Chantier 5 — Sécurisation contractuelle. Mettre à jour les contrats Art. 28 pour intégrer les CCT en annexe, exiger la cartographie des sous-traitants ultérieurs, prévoir le droit d’audit, formaliser les notifications de demandes d’autorités étrangères. Migrer toutes les anciennes CCT 2010 vers les CCT 2021/914 — la période transitoire s’achève depuis le 27 décembre 2022.

Chantier 6 — Information et veille. Réviser les mentions Art. 13/14 pour citer les pays, l’instrument utilisé et le droit d’obtenir copie. Mettre en place une veille sur les évolutions législatives du pays tiers (notamment États-Unis et Schrems III pendant), les décisions CJUE et CEPD, les retraits ou modifications de décisions d’adéquation. Réévaluation annuelle au minimum.

C’est exactement ce type de cartographie continue que Legiscope automatise pour ses clients — détection des nouveaux flux, alerte sur la couverture juridique, traçabilité des CCT et TIA.

Sanctions : l’Art. 44 au plafond haut

Le manquement à l’Art. 44 est puni au plafond haut de l’Art. 83(5)© : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Ce plafond reflète la gravité que le législateur européen a voulu attacher à la protection internationale des données.

L’individualisation est conduite selon les onze critères de l’Art. 83(2)(a)–(k) et la méthodologie des Lignes directrices 04/2022 du CEPD adoptées le 24 mai 2023 en cinq étapes. Dans la jurisprudence française récente, l’absence de mécanisme de transfert valable est traitée comme une circonstance aggravante structurelle, comparable au défaut de base légale.

La délibération SAN-2024-001 Hubside.Store du 4 avril 2024 (525 000 €) intègre explicitement l’absence de cartographie des sous-traitants ultérieurs dans son visa Art. 44. La mise en demeure publique CNIL Google Analytics du 10 février 2022 a déclenché une vague de décisions homologues européennes. La CJUE C-807/21 Deutsche Wohnen du 5 décembre 2023 a en parallèle clarifié que la responsabilité de la personne morale est directe — sans nécessité de prouver une faute d’un dirigeant identifié. L’addition fait que les transferts non conformes constituent aujourd’hui l’un des principaux postes d’exposition financière en matière de RGPD.

Ce qu’il faut retenir

  • L’Art. 44 pose le principe général des transferts hors UE et conditionne tous les mécanismes des Art. 45 à 49. Sa violation est sanctionnée au plafond haut de l’Art. 83(5)© : 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
  • La notion de transfert obéit à trois critères cumulatifs posés par les Lignes directrices 05/2021 du CEPD : exportateur soumis au RGPD, mise à disposition à un importateur, importateur dans un pays tiers ou organisation internationale. L’accès à distance suffit à caractériser un transfert.
  • L’Art. 44 vise conjointement le responsable et le sous-traitant — chacun a une obligation autonome. La chaîne s’étend aux transferts ultérieurs : la conformité se mesure jusqu’au dernier maillon, pas au premier passage de frontière.
  • La deuxième phrase de l’Art. 44 — « le niveau de protection ne doit pas être compromis » — fonde, depuis Schrems II, l’obligation de Transfer Impact Assessment. C’est aujourd’hui le premier point de contrôle CNIL.
  • Le plan opérationnel se déploie en six chantiers : cartographie, qualification juridique, TIA, mesures supplémentaires, sécurisation contractuelle, information et veille. La migration vers les CCT 2021/914 est obligatoire depuis le 27 décembre 2022.

FAQ

Quelle est la différence entre l’Art. 44 et l’Art. 45 du RGPD ?

L’Art. 44 pose le principe général : tout transfert hors UE doit respecter les conditions du chapitre V. L’Art. 45 est l’un des instruments concrets — la décision d’adéquation prise par la Commission européenne. L’Art. 44 commande, l’Art. 45 met en œuvre. Sans respect de l’Art. 44, aucune disposition du chapitre V ne peut produire d’effet utile.

Un accès à distance depuis un pays tiers est-il un transfert au sens de l’Art. 44 ?

Oui. Le CEPD a explicitement confirmé dans ses Lignes directrices 05/2021 du 14 février 2023 que l’accès à distance — par un sous-traitant indien, un ingénieur établi aux États-Unis ou un développeur brésilien — constitue un transfert au sens de l’Art. 44. La géographie de l’hébergement ne fait pas tout : c’est la géographie de l’accès qui compte.

Les transferts intra-groupe sont-ils soumis à l’Art. 44 ?

Oui, sans exception. L’Art. 44 ne prévoit aucune dérogation pour les transferts au sein d’un même groupe d’entreprises. Les transferts entre la maison mère française et sa filiale américaine ou indienne doivent reposer sur un instrument valide — typiquement les CCT Art. 46(2)© ou les BCR Art. 47. Les BCR ont été conçues précisément pour répondre à ce besoin avec un seul instrument groupe.

Qu’est-ce qu’un transfert ultérieur (« onward transfer ») ?

C’est un transfert effectué depuis le pays tiers où vos données ont été transférées dans un premier temps, vers un autre pays tiers ou une organisation internationale. L’Art. 44 soumet expressément ces transferts ultérieurs aux conditions du chapitre V. La conformité d’un transfert ne se mesure pas à la première frontière franchie — elle se mesure jusqu’au dernier maillon de la chaîne. Les Recommandations 1/2022 du CEPD du 14 juin 2023 traitent spécifiquement de ce mécanisme.

Que change Schrems II pour l’application de l’Art. 44 ?

Avant Schrems II, on considérait souvent qu’une CCT signée suffisait à respecter l’Art. 44. Depuis l’arrêt CJUE C-311/18 du 16 juillet 2020, la deuxième phrase de l’Art. 44 — l’effet utile — exige une vérification cas par cas que le pays de destination n’a pas un cadre juridique qui prive l’instrument de sa portée. C’est l’origine de l’obligation de Transfer Impact Assessment formalisée par les Recommandations 01/2020 du CEPD du 18 juin 2021. Sans TIA documenté, un transfert reste techniquement non conforme — même CCT signées.

Articles lies

RGPD

Article 79 RGPD : recours juridictionnel contre le responsable

9 mai 2026 · 18 min
RGPD

Article 77 RGPD : porter réclamation auprès de la CNIL

8 mai 2026 · 18 min
RGPD

Article 78 RGPD : recours juridictionnel contre la CNIL

8 mai 2026 · 17 min