Article 45 RGPD : les décisions d'adéquation décryptées

L’article 45 du RGPD est la voie royale des transferts internationaux : quand un pays tiers bénéficie d’une décision d’adéquation de la Commission européenne, vos données peuvent y circuler sans formalité supplémentaire — pas de clauses contractuelles, pas de Transfer Impact Assessment, pas d’autorisation préalable. Mais cette simplicité est trompeuse. Depuis l’arrêt Schrems I en 2015, et plus encore depuis Schrems II en 2020, les décisions d’adéquation sont devenues le terrain juridique le plus instable du droit européen des données. Voici son décryptage paragraphe par paragraphe, tel que je l’applique en mission depuis vingt ans.

Ce que dit l’article 45 du RGPD

L’Art. 45 s’intitule « Transferts fondés sur une décision d’adéquation ». Il ouvre le chapitre V du RGPD (Art. 44 à 50) consacré aux transferts vers les pays tiers et les organisations internationales. Il compte neuf paragraphes :

• le principe directeur : un transfert vers un pays tiers couvert par une décision d’adéquation ne nécessite aucune autorisation spécifique (Art. 45(1)) ;
• les éléments d’évaluation que la Commission doit examiner — état de droit, fondamentaux, accès des autorités publiques, autorités de contrôle indépendantes, engagements internationaux (Art. 45(2)) ;
• la procédure d’adoption par acte d’exécution et la clause de réexamen périodique tous les quatre ans (Art. 45(3)) ;
• la surveillance continue par la Commission (Art. 45(4)) ;
• la faculté d’abrogation, de modification ou de suspension d’une décision d’adéquation (Art. 45(5)) ;
• la consultation préalable du pays tiers concerné avant abrogation (Art. 45(6)) ;
• les conséquences pratiques d’une abrogation sur les transferts en cours (Art. 45(7)) ;
• la publication au Journal officiel de la liste des pays adéquats (Art. 45(8)) ;
• le maintien transitoire des décisions adoptées sous l’ancienne directive 95/46/CE (Art. 45(9)).

L’article ne définit pas en lui-même un standard de protection. Il fixe une procédure et une conséquence juridique. Le standard substantiel — « niveau de protection essentiellement équivalent » — est entièrement issu de la jurisprudence de la Cour de justice. C’est la clé pour comprendre la fragilité chronique des décisions d’adéquation.

Art. 45(1) : le principe directeur

Le paragraphe 1 énonce la règle : « Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique. »

Trois conséquences pratiques en découlent. D’abord, l’effet juridique : un transfert couvert par une décision d’adéquation est juridiquement assimilé à un transfert intra-UE — il n’exige ni clauses contractuelles types, ni BCR, ni TIA, ni autorisation de la CNIL. Ensuite, le périmètre matériel : la Commission peut adopter une décision pour un pays entier, mais aussi pour un territoire (Île de Man, Jersey, Guernesey) ou pour un ou plusieurs secteurs déterminés (typiquement, le cas américain : seules les entreprises certifiées DPF sont couvertes). Enfin, le niveau de protection doit être « adéquat » — un standard que la CJUE interprète comme « essentiellement équivalent » à celui du droit de l’Union, depuis l’arrêt C-362/14 Schrems I du 6 octobre 2015 (point 73).

Ce standard d’« équivalence essentielle » ne signifie pas une identité parfaite. La CJUE admet des différences techniques, à condition que le niveau de protection global reste comparable. Mais elle exige que les garanties matérielles (consentement, finalité, proportionnalité, droits des personnes) et les voies de recours effectives soient présentes. C’est sur ce double critère que le Safe Harbor (Schrems I) puis le Privacy Shield (Schrems II) ont été invalidés.

Art. 45(2) : les six éléments d’évaluation

Le paragraphe 2 énumère les éléments que la Commission doit examiner avant d’adopter une décision d’adéquation. Ils se regroupent en trois grandes familles.

Art. 45(2)(a) — l’état de droit et l’accès des autorités publiques

Premier critère, le plus dense : « l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle […], les règles professionnelles et les mesures de sécurité […], les dispositions et instruments par voie desquels les données à caractère personnel sont accessibles aux autorités publiques, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires. »

Sous une formulation administrative, ce paragraphe renferme le cœur du contentieux Schrems. Il vise notamment l’accès des services de renseignement aux données. La CJUE a jugé dans C-311/18 Schrems II du 16 juillet 2020 que la Section 702 du FISA et l’Executive Order 12333 américains permettaient une surveillance qui n’était pas « limitée à ce qui est strictement nécessaire » — d’où l’invalidation du Privacy Shield. La même grille a été appliquée pour valider le EU-US Data Privacy Framework le 10 juillet 2023 : la Commission a estimé que l’Executive Order 14086 du 7 octobre 2022 et la création du Data Protection Review Court (DPRC) apportaient les garanties manquantes.

Art. 45(2)(b) — les autorités de contrôle indépendantes

Deuxième critère : « l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers […] qui sont chargées d’assurer le respect des règles en matière de protection des données et de les faire appliquer […], notamment par des pouvoirs adéquats d’enquête et de sanction. »

Sans autorité de contrôle indépendante et dotée de pouvoirs effectifs, pas d’adéquation. C’est l’une des raisons pour lesquelles certaines candidatures d’États qui disposaient d’une législation moderne — mais d’une autorité administrative faible ou rattachée à l’exécutif — ont été refusées ou ajournées.

Art. 45(2)© — les engagements internationaux

Troisième critère : « les engagements internationaux pris par le pays tiers […], ainsi que les autres obligations découlant d’accords ou d’instruments juridiquement contraignants et de sa participation à des systèmes multilatéraux ou régionaux. »

Ce critère valorise la Convention 108+ du Conseil de l’Europe (Convention pour la protection des personnes à l’égard du traitement des données à caractère personnel, version modernisée en 2018). Beaucoup de pays adéquats sont parties à cette convention — ce qui constitue un signal d’alignement structurel.

Art. 45(3) : la procédure d’adoption et la clause de réexamen

Le paragraphe 3 organise la procédure : la Commission adopte un acte d’exécution (procédure de comitologie de l’Art. 93(2)) qui « précise son champ d’application territorial et sectoriel ». L’acte « prévoit un mécanisme d’examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l’organisation internationale. »

Cette clause de réexamen quadriennal est une innovation du RGPD par rapport à la directive 95/46/CE. Elle a déjà donné lieu à des rapports de revue : la Commission a publié en 2023 son rapport de revue sur les onze décisions adoptées sous l’ancienne directive, et a confirmé leur maintien moyennant des ajustements pour certains pays. Le DPF connaîtra son premier réexamen en juillet 2027 (quatre ans après son adoption). Ce mécanisme transforme la décision d’adéquation en un acte conditionnel et réversible — pas en une garantie pérenne.

Art. 45(4) : la surveillance continue

Le paragraphe 4 oblige la Commission à « surveiller, de manière permanente, les évolutions dans les pays tiers […] qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 ». C’est cette obligation qui justifie les rapports périodiques de la Commission, mais aussi les enquêtes ad hoc déclenchées par des évolutions législatives (réforme du droit de la surveillance dans un pays adéquat, par exemple).

En pratique, c’est le rôle du CEPD qui est central. Il publie systématiquement un avis avant l’adoption d’une décision d’adéquation et peut alerter la Commission lorsque des évolutions préoccupantes surviennent dans un pays adéquat.

Art. 45(5) : abrogation, modification, suspension

Le paragraphe 5 prévoit : « Lorsque les informations disponibles, en particulier à l’issue du réexamen visé au paragraphe 3, révèlent qu’un pays tiers […] n’assure plus un niveau de protection adéquat […], la Commission, par voie d’actes d’exécution, abroge, modifie ou suspend la décision visée au paragraphe 3 […], sans effet rétroactif. »

Trois leviers : abrogation totale, modification (par exemple restriction sectorielle), suspension. Le caractère « sans effet rétroactif » est essentiel : une abrogation ne remet pas en cause la légalité des transferts effectués avant son entrée en vigueur — mais elle bloque les flux nouveaux. C’est cette logique qui s’est appliquée pour le Safe Harbor (Schrems I), puis pour le Privacy Shield (Schrems II) : l’invalidation par la CJUE a produit un effet immédiat, et les exportateurs ont dû basculer en urgence sur les CCT. La même séquence pourrait survenir pour le DPF — d’où l’importance, en pratique, de maintenir des CCT prêtes à l’emploi en parallèle.

Art. 45(6) à (8) : consultation, transferts résiduels, publication

Le paragraphe 6 organise une procédure de consultation préalable : la Commission « entame des consultations avec le pays tiers […] en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5. »

Le paragraphe 7 préserve les autres voies : « Une décision adoptée en vertu du paragraphe 5 […] est sans préjudice des transferts […] effectués […] en vertu des articles 46 à 49. » Autrement dit, l’abrogation d’une décision d’adéquation ne ferme pas l’ensemble des transferts vers le pays concerné — elle réoriente vers les CCT, BCR ou dérogations.

Le paragraphe 8 impose à la Commission de « publier, au Journal officiel de l’Union européenne et sur son site web, la liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté qu’un niveau de protection adéquat est, ou n’est plus, assuré ». C’est cette liste qui fait foi opérationnellement — c’est elle que je consulte en premier face à un nouveau flux.

Art. 45(9) : la clause transitoire

Le paragraphe 9 prévoit que les décisions adoptées sous la directive 95/46/CE « demeurent en vigueur tant qu’elles n’ont pas été modifiées, remplacées ou abrogées par une décision de la Commission ». Ces décisions historiques (Argentine 2003, Canada 2001, Suisse 2000, etc.) restent applicables, sous réserve des ajustements opérés à l’issue du réexamen 2023.

Liste des décisions d’adéquation en vigueur

Au 1ᵉʳ mai 2026, les pays et territoires bénéficiant d’une décision d’adéquation sont les suivants :

• Andorre (décision 2010/625/UE) ;
• Argentine (décision 2003/490/CE, modifiée en 2024) ;
• Brésil (décision adoptée en janvier 2026) ;
• Canada — limitée aux organismes commerciaux soumis à la LPRPDE (décision 2002/2/CE) ;
• Corée du Sud (décision 2021/1772 du 17 décembre 2021) ;
• États-Unis — Data Privacy Framework, limité aux entreprises certifiées (décision 2023/1795 du 10 juillet 2023) ;
• Guernesey (décision 2003/821/CE) ;
• Île de Man (décision 2004/411/CE) ;
• Îles Féroé (décision 2010/146/UE) ;
• Japon (décision 2019/419 du 23 janvier 2019) ;
• Jersey (décision 2008/393/CE) ;
• Nouvelle-Zélande (décision 2013/65/UE) ;
• Royaume-Uni (décision 2021/1772, renouvelée en 2025) ;
• Suisse (décision 2000/518/CE, ajustée à l’issue du réexamen 2023) ;
• Uruguay (décision 2012/484/UE).

Cette liste est dynamique — la consulter sur le site de la Commission avant chaque cartographie de flux est une discipline élémentaire. Voir aussi mon guide transfert de données hors UE pour le panorama complet des mécanismes Art. 44-49.

Schrems I et Schrems II : la jurisprudence structurante

Aucun article du RGPD ne fait référence explicite à la jurisprudence Schrems — et pourtant, c’est elle qui structure aujourd’hui l’application de l’Art. 45. Trois arrêts clés :

• CJUE C-362/14 Schrems I du 6 octobre 2015 : invalide la décision Safe Harbor 2000/520/CE et fixe le standard de l’« équivalence essentielle » du niveau de protection ;
• CJUE C-311/18 Schrems II du 16 juillet 2020 : invalide la décision Privacy Shield 2016/1250 et exige une analyse concrète de l’effectivité des garanties au regard du droit local ;
• CJUE C-817/19 Ligue des droits humains du 21 juin 2022 : applique la grille adéquation au transfert de données PNR vers le Canada et impose des restrictions sectorielles.

La conséquence opérationnelle de cette jurisprudence est claire : toute décision d’adéquation peut être invalidée. Le risque n’est pas hypothétique. Le DPF fait déjà l’objet de recours pendants devant la CJUE (procédures introduites par NOYB et par des parlementaires européens). Un « Schrems III » pourrait survenir entre 2026 et 2028. La prudence opérationnelle commande donc de maintenir un dispositif de repli sur les CCT 2021/914 pour l’ensemble des flux US, même couverts par le DPF.

Le cas américain : le Data Privacy Framework décrypté

Le EU-US Data Privacy Framework mérite un traitement spécifique parce qu’il concerne 80 % des flux US des entreprises françaises. Adopté par la décision d’exécution 2023/1795 de la Commission du 10 juillet 2023, il succède au Privacy Shield invalidé par Schrems II.

Trois caractéristiques en font un instrument à manier avec précaution. D’abord, il est sectoriel et auto-certifié : seules les entreprises américaines inscrites sur la liste DPF tenue par le Department of Commerce sont couvertes. Si votre prestataire (CRM, SaaS, hébergeur) n’est pas certifié DPF — ce qui reste fréquent —, le DPF ne s’applique pas et vous devez basculer sur les CCT au sens de l’Art. 46(2)© avec Transfer Impact Assessment.

Ensuite, il repose sur l’Executive Order 14086 du 7 octobre 2022, instrument de droit interne américain qui peut être abrogé par un futur président. Cette fragilité institutionnelle est documentée. Les décisions d’adéquation européennes (Royaume-Uni, Suisse, Japon, Corée) reposent sur des lois nationales, beaucoup plus stables.

Enfin, le DPF crée un Data Protection Review Court (DPRC) chargé d’examiner les plaintes de citoyens européens sur l’accès des services de renseignement américains à leurs données. Le DPRC est rattaché au Department of Justice — son indépendance fait l’objet de critiques recurrentes. C’est probablement le point de contestation principal d’un futur Schrems III.

Mon conseil pratique : vérifier sur dpf.gov la certification de chaque prestataire US au moment de la contractualisation, et conserver des CCT signées en parallèle comme filet de sécurité. C’est le type de cartographie que Legiscope automatise — l’identification du fondement juridique applicable, le suivi des certifications DPF, et la production des CCT modèles si la couverture DPF est absente ou incertaine.

Plan opérationnel pour appliquer l’article 45

Sur le terrain, je structure l’application Art. 45 en cinq étapes que je conseille systématiquement.

Étape 1 — cartographier les transferts. Mettre à jour le registre des activités de traitement en identifiant, par traitement, les pays de destination et les sous-traitants concernés. Identifier en particulier les transferts ultérieurs (un éditeur SaaS européen qui sous-traite à un acteur hors UE).

Étape 2 — vérifier la couverture par adéquation. Pour chaque pays de destination, consulter la liste de la Commission. Pour les États-Unis spécifiquement, vérifier la certification DPF du prestataire sur dpf.gov, ainsi que les catégories de données couvertes (HR data, données personnelles standard).

Étape 3 — documenter le fondement juridique. Inscrire dans le registre Art. 30 la base juridique du transfert : « décision d’adéquation [pays] (décision XXXX/XXX) » ou « DPF certification active n° XXXX ». Cette traçabilité est exigée par l’Art. 24 (accountability).

Étape 4 — informer les personnes concernées. L’Art. 13(1)(f) et l’Art. 14(1)(f) imposent de mentionner dans la politique de confidentialité l’existence d’un transfert et son fondement juridique (« décision d’adéquation »). Cette mention est systématiquement vérifiée par la CNIL en contrôle.

Étape 5 — surveiller la pérennité de la décision. Mettre en place une veille sur les évolutions du cadre juridique du pays de destination (recours pendants devant la CJUE, rapports de réexamen de la Commission) et préparer un plan de bascule vers les CCT en cas d’abrogation. Cette anticipation a sauvé beaucoup d’organisations en juillet 2020 lors de Schrems II.

Sanctions et risques

L’Art. 45 ne définit pas en lui-même un manquement sanctionnable — il fixe un régime favorable : si la décision d’adéquation est valide et applicable, le transfert est licite. Le risque survient en cas d’erreur de qualification : prétendre se fonder sur une décision d’adéquation alors que le pays n’en bénéficie pas, ou que le prestataire américain n’est pas certifié DPF, expose au plafond haut de l’Art. 83(5)© — 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

La mise en demeure publique CNIL du 10 février 2022 (Google Analytics) reposait précisément sur cette logique : l’éditeur du site se croyait protégé par les CCT, mais la CNIL a constaté que les mesures supplémentaires Schrems II faisaient défaut. La même grille s’applique aujourd’hui à toute organisation qui invoquerait à tort la couverture DPF d’un prestataire non certifié.

Le second risque est l’effet abrogation. En cas d’invalidation d’une décision d’adéquation par la CJUE (ou d’abrogation par la Commission), les transferts perdent leur base juridique du jour au lendemain. Sans plan de bascule préparé, l’organisation est en infraction caractérisée — c’est ce qui s’est passé en juillet 2020 avec Schrems II et le Privacy Shield.

Articulation avec les autres articles

L’Art. 45 ne s’applique jamais seul. Il s’articule étroitement avec :

• l’Art. 5(2) et l’Art. 24 sur l’accountability — le responsable de traitement doit prouver le fondement juridique de chaque transfert ;
• l’Art. 28 — le contrat de sous-traitance doit mentionner les transferts hors UE et leur base ;
• l’Art. 30 — le registre doit identifier les pays de destination et le mécanisme applicable ;
• l’Art. 32 — les mesures de sécurité s’appliquent indépendamment du fondement Art. 45 ;
• l’Art. 35 — l’AIPD doit examiner le risque résiduel lié au transfert ;
• l’Art. 46 — fondement subsidiaire en l’absence ou en cas d’invalidation d’une décision d’adéquation ;
• les Art. 13(1)(f) et 14(1)(f) — obligation d’information sur les transferts ;
• l’Art. 49 — dérogations résiduelles pour les transferts non couverts.

Ce qu’il faut retenir

• L’Art. 45 RGPD organise les transferts vers des pays tiers couverts par une décision d’adéquation de la Commission européenne — la voie la plus simple, mais aussi la plus instable.
• Le standard appliqué par la Commission est celui de l’« équivalence essentielle » dégagé par la CJUE dans les arrêts Schrems I (C-362/14) et Schrems II (C-311/18).
• Au 1ᵉʳ mai 2026, 15 pays ou territoires bénéficient d’une adéquation, dont les États-Unis via le Data Privacy Framework (limité aux entreprises certifiées DPF), et le Brésil depuis janvier 2026.
• Une décision d’adéquation est réexaminée tous les quatre ans (Art. 45(3)) et peut être abrogée, modifiée ou suspendue (Art. 45(5)) — une éventualité qui s’est déjà concrétisée pour le Safe Harbor et le Privacy Shield.
• L’erreur de qualification (invoquer à tort une décision d’adéquation) relève du plafond haut de l’Art. 83(5)© — 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Maintenir des CCT de repli sur l’ensemble des flux DPF est aujourd’hui une mesure de prudence élémentaire.

FAQ

Quels sont les pays couverts par une décision d’adéquation en 2026 ?

Au 1ᵉʳ mai 2026, 15 pays ou territoires bénéficient d’une décision d’adéquation : Andorre, Argentine, Brésil, Canada (commercial uniquement), Corée du Sud, États-Unis (DPF — entreprises certifiées seulement), Guernesey, Île de Man, Îles Féroé, Japon, Jersey, Nouvelle-Zélande, Royaume-Uni, Suisse, Uruguay. La liste est tenue à jour par la Commission européenne — la consulter avant chaque cartographie de flux.

Le Data Privacy Framework couvre-t-il automatiquement tous les transferts vers les États-Unis ?

Non. Le DPF (décision 2023/1795 du 10 juillet 2023) ne s’applique qu’aux entreprises américaines auto-certifiées auprès du Department of Commerce et inscrites sur la liste tenue à dpf.gov. Pour tout flux vers une entreprise américaine non certifiée — ce qui reste fréquent —, vous devez recourir aux clauses contractuelles types de l’Art. 46(2)© avec un Transfer Impact Assessment.

Que se passe-t-il si une décision d’adéquation est invalidée par la CJUE ?

L’effet est immédiat. Les transferts perdent leur base juridique au jour de l’arrêt. C’est ce qui s’est passé en octobre 2015 (Schrems I — Safe Harbor) et en juillet 2020 (Schrems II — Privacy Shield). L’organisation doit basculer en urgence sur les clauses contractuelles types ou les BCR au sens de l’Art. 46. C’est pourquoi je recommande systématiquement de maintenir des CCT signées en parallèle pour les flux DPF — un éventuel Schrems III rendrait le basculement immédiat.

Faut-il faire un Transfer Impact Assessment quand un pays bénéficie d’une décision d’adéquation ?

Non. Le TIA est une obligation propre à l’Art. 46 issue de Schrems II. Quand une décision d’adéquation s’applique, la Commission a déjà examiné le niveau de protection du pays — elle joue le rôle de l’évaluateur. Vous devez en revanche documenter votre qualification au registre Art. 30 (référence de la décision, pays couvert, sous-traitant concerné) et informer les personnes au titre des Art. 13/14.

Comment savoir si une décision d’adéquation est encore en vigueur ?

Trois sources fiables. D’abord, la liste publiée par la Commission européenne (commission.europa.eu/law/law-topic/data-protection). Ensuite, le Journal officiel de l’Union européenne (Art. 45(8)). Enfin, les avis du CEPD publiés avant chaque adoption ou révision. Pour les entreprises US, vérifier la certification active sur dpf.gov — une certification expirée invalide le bénéfice du DPF, même si la décision Commission reste en vigueur.