Article 49 RGPD : les dérogations aux transferts décryptées

L’article 49 du RGPD est l’instrument du dernier ressort. Quand aucune décision d’adéquation n’est disponible et qu’aucune garantie appropriée — clauses contractuelles types, BCR, code de conduite, certification — n’est en place, il reste sept dérogations qui permettent un transfert ponctuel hors Union européenne. Le piège est connu : ces dérogations sont la voie la plus rapide à invoquer, mais aussi la plus contrôlée. Le CEPD les interprète strictement, la CNIL les vérifie en contrôle, et les sanctions du plafond haut de l’Art. 83(5)© — 20 millions d’euros ou 4 % du chiffre d’affaires mondial — s’appliquent au moindre faux pas. Voici le décryptage paragraphe par paragraphe de l’Art. 49, tel que je l’utilise en mission depuis l’entrée en application du RGPD.

Ce que dit l’article 49 du RGPD

L’Art. 49 s’intitule « Dérogations pour des situations particulières ». Il clôt le chapitre V du RGPD (Art. 44 à 50) consacré aux transferts vers des pays tiers, après l’Art. 45 sur les décisions d’adéquation, l’Art. 46 sur les garanties appropriées et l’Art. 47 sur les BCR. Il compte six paragraphes :

• les sept dérogations mobilisables pour un transfert ponctuel et le transfert dit de dernier ressort fondé sur des intérêts légitimes impérieux (Art. 49(1)) ;
• l’exigence de garanties appropriées pour les transferts fondés sur l’intérêt public (Art. 49(2)) ;
• la non-application des dérogations contractuelles, vitales et résiduelles aux activités exercées par les autorités publiques dans l’exercice de leurs prérogatives (Art. 49(3)) ;
• la reconnaissance de l’intérêt public par le droit de l’Union ou de l’État membre (Art. 49(4)) ;
• la faculté pour les États membres de limiter expressément certaines catégories de transferts pour motifs importants d’intérêt public (Art. 49(5)) ;
• l’obligation de documentation dans le registre des activités de traitement (Art. 49(6)).

Le principe directeur posé dès l’Art. 44 est que tout transfert hors UE doit reposer en priorité sur une décision d’adéquation (Art. 45) ou des garanties appropriées (Art. 46-47). L’Art. 49 ne s’active qu’en l’absence de ces fondements. Cette hiérarchie a été confirmée par le CEPD dans ses Lignes directrices 2/2018 adoptées le 25 mai 2018 — référence quasi exclusive sur le sujet — qui imposent une lecture strictement interprétative de chaque dérogation. Pour le panorama complet, voir mon guide transfert de données hors UE.

Art. 49(1)(a) : le consentement explicite après information sur les risques

Première dérogation — la personne concernée a donné son consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert peut comporter en raison de l’absence de décision d’adéquation et de garanties appropriées.

Les conditions cumulatives sont strictes. Le consentement doit d’abord répondre aux exigences générales du RGPD (Art. 4(11) et Art. 7) : libre, spécifique, éclairé, univoque. Il doit ensuite être explicite au sens fort — distinct du consentement classique de l’Art. 6(1)(a), comparable à celui exigé par l’Art. 9(2)(a) pour les données sensibles. Une case pré-cochée, un opt-in implicite ou un consentement bundlé avec d’autres finalités sont disqualifiés.

L’information préalable doit être spécifique au transfert : pays de destination, finalité, nature des données, absence de cadre juridique équivalent, risques d’accès par des autorités étrangères (FISA Section 702, Executive Order 12333, lois locales), absence de voies de recours équivalentes, possibilité de retrait du consentement. Dans mon expérience, c’est le point qui fait le plus souvent défaut : la mention d’information renvoie à une clause générique « transferts hors UE » sans détailler les risques concrets pour le pays cible. Cela ne suffit pas.

Limite opérationnelle majeure rappelée par le CEPD : le consentement n’est pas adapté aux transferts répétitifs ou massifs. Il convient pour un transfert ponctuel — par exemple, un salarié en mission qui consent à la transmission de son dossier RH à une filiale étrangère — mais pas pour fonder un flux structurel de données clients vers un sous-traitant cloud non européen. Le retrait reste possible à tout moment (Art. 7(3)), ce qui rend la dérogation fragile par construction.

Art. 49(1)(b) : la nécessité contractuelle avec la personne concernée

Deuxième dérogation — le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée.

Le test est celui de la stricte nécessité. Le CEPD l’interprète comme le test de l’Art. 6(1)(b) : le transfert doit être objectivement indispensable à l’exécution du contrat. Une réservation hôtelière à l’étranger qui exige la transmission du nom et de la date d’arrivée à l’établissement non-UE est couverte. Une externalisation comptable vers un prestataire non-UE alors qu’un prestataire européen équivalent existe ne l’est pas — la nécessité doit être appréciée par rapport à l’objet du contrat avec la personne, pas par rapport au choix d’organisation interne du responsable.

Comme le rappelle le CEPD, cette dérogation suppose un lien direct et étroit entre le transfert et la finalité contractuelle. Et surtout, elle n’autorise que des transferts occasionnels — pas des flux systémiques. Si l’opérateur transfère systématiquement les données de tous ses clients vers un même destinataire pays tiers pour exécuter ses contrats types, la voie correcte est l’Art. 46 (clauses contractuelles types entre responsable et destinataire), pas l’Art. 49(1)(b).

Art. 49(1)© : la nécessité contractuelle dans l’intérêt de la personne concernée

Troisième dérogation — le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée, entre le responsable du traitement et une autre personne physique ou morale.

C’est la dérogation typique des transferts tripartites où la personne concernée est tiers bénéficiaire. Exemple classique : un employeur qui souscrit une police d’assurance santé groupe auprès d’un assureur dont le ré-assureur est établi hors UE — la transmission des données nominatives des salariés au ré-assureur est nécessaire à un contrat conclu dans leur intérêt. Autre exemple : le transfert d’informations à une banque correspondante non-UE pour permettre un virement international demandé par le client.

Mêmes limites qu’au point (b) : interprétation stricte, caractère occasionnel et lien direct avec l’intérêt de la personne. Le CEPD précise expressément dans les Lignes directrices 2/2018 que ces dérogations contractuelles ne couvrent pas les transferts intra-groupe massifs ni les externalisations cloud structurelles, qui doivent reposer sur l’Art. 46 ou l’Art. 47.

Art. 49(1)(d) : les motifs importants d’intérêt public

Quatrième dérogation — le transfert est nécessaire pour des motifs importants d’intérêt public.

L’intérêt public doit être reconnu par le droit de l’Union ou le droit de l’État membre auquel le responsable est soumis (Art. 49(4)). C’est une dérogation sérieuse mais étroite : elle s’applique aux échanges entre autorités fiscales internationales, aux transferts en matière de santé publique (alertes pandémiques, pharmacovigilance), aux échanges en matière de lutte contre la criminalité organisée ou le blanchiment, aux coopérations en matière de sécurité aérienne. Elle ne fonde pas des intérêts privés ni des intérêts économiques d’un opérateur, même important.

Trois critères cumulatifs à retenir, posés par le CEPD : la nature publique de l’intérêt en cause, sa reconnaissance par un texte de l’Union ou national, et la nécessité du transfert pour servir cet intérêt. Le caractère « important » doit ressortir du texte de référence — il ne se présume pas. Sur ce fondement, le transfert de données structurelles est admis dès lors qu’il est encadré par le texte qui consacre l’intérêt public — c’est précisément ce que prévoit l’Art. 49(4) discuté plus bas.

Art. 49(1)(e) : la constatation, l’exercice ou la défense de droits en justice

Cinquième dérogation — le transfert est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.

Cette dérogation couvre les besoins probatoires et procéduraux : production d’éléments dans le cadre d’une procédure judiciaire ou administrative, transmission à un avocat ou à un expert établi dans un pays tiers, échanges en arbitrage international, réponse à une demande de discovery dans un litige américain (sous réserve toutefois des règles spécifiques applicables et des limites posées par le règlement (UE) 2018/1725 et la jurisprudence récente sur les blocking statutes). Elle est aussi mobilisée pour les enquêtes internes transfrontalières menées par un cabinet d’avocats non-UE.

Limite essentielle : la dérogation ne couvre pas les transferts préventifs sans procédure ouverte ni perspective concrète. Une simple anticipation d’un litige hypothétique ne suffit pas. Le CEPD exige un lien direct entre le transfert et la procédure, actuelle ou imminente. La dérogation autorise des transferts au-delà du caractère ponctuel — tant qu’ils restent strictement liés à la procédure en cause.

Art. 49(1)(f) : la protection des intérêts vitaux

Sixième dérogation — le transfert est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement.

C’est la dérogation médicale d’urgence : transfert d’un dossier médical pour un patient inconscient hospitalisé à l’étranger, transmission de données cliniques entre établissements lors d’un rapatriement sanitaire, échanges en cas d’épidémie. La condition cumulative est forte : il faut à la fois un risque vital et une incapacité à consentir. Si la personne peut consentir, c’est l’Art. 49(1)(a) qui s’applique. Si l’urgence vitale n’est pas caractérisée, c’est l’Art. 46 qui doit être mobilisé.

En pratique, cette dérogation est mobilisée par les hôpitaux, les compagnies d’assurance santé internationales, les services de rapatriement et les laboratoires impliqués dans la pharmacovigilance. Elle se prête mal à un usage commercial.

Art. 49(1)(g) : les registres publics consultables

Septième dérogation — le transfert s’effectue au départ d’un registre qui, conformément au droit de l’Union ou de l’État membre, est destiné à fournir des informations au public et est ouvert à la consultation du public en général ou de toute personne justifiant d’un intérêt légitime.

Sont visés les registres tels que le registre du commerce et des sociétés, le registre des bénéficiaires effectifs, les registres immobiliers, certains fichiers professionnels publics. Le transfert depuis un tel registre vers un destinataire pays tiers est licite, mais deux conditions encadrent strictement la dérogation : les conditions légales de consultation prévues par le droit de l’Union ou national doivent être remplies par le destinataire ; le transfert ne peut pas porter sur la totalité des données ni sur des catégories entières du registre. Cette dernière limite est essentielle : elle interdit le scraping massif de registres publics européens à destination d’un service de profilage non-UE.

Le transfert de dernier ressort — Art. 49(1) deuxième alinéa

L’alinéa final du paragraphe 1 ouvre une voie résiduelle quand aucune des sept dérogations précédentes n’est applicable. Il pose six conditions cumulatives, particulièrement strictes :

• le transfert doit être non répétitif ;
• il doit ne concerner qu’un nombre limité de personnes concernées ;
• il doit être nécessaire aux fins d’intérêts légitimes impérieux poursuivis par le responsable du traitement, sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée ;
• le responsable doit avoir évalué toutes les circonstances entourant le transfert et fourni, sur la base de cette évaluation, des garanties appropriées ;
• le responsable doit informer l’autorité de contrôle (la CNIL en France) du transfert ;
• le responsable doit informer la personne concernée du transfert et des intérêts légitimes impérieux poursuivis, en plus des informations dues au titre des Art. 13 et 14.

Le CEPD interprète cette voie comme un dispositif d’exception absolue. Dans les Lignes directrices 2/2018, il rappelle qu’elle ne peut servir qu’en présence d’un véritable « impérieux » au sens fort — un risque concret pour le responsable du traitement qu’aucun autre instrument ne permet de couvrir. Et il impose une double notification systématique (autorité + personne) qui dissuade les usages opportunistes. En pratique, cette voie est utilisée moins de cinq fois par an par les opérateurs français les plus matures.

Art. 49(2) : intérêt public et garanties appropriées

Le paragraphe 2 dispose que les transferts fondés sur le point (g) du paragraphe 1 — registres publics — ne peuvent porter sur la totalité des données ni sur des catégories entières des données figurant dans le registre. C’est la confirmation textuelle de la limite anti-scraping évoquée plus haut.

Art. 49(3) : les autorités publiques exclues des trois dérogations

Le paragraphe 3 exclut expressément les autorités publiques agissant dans l’exercice de leurs prérogatives de puissance publique du bénéfice des dérogations 49(1)(a) consentement, 49(1)(b) contrat avec la personne, 49(1)© contrat dans l’intérêt de la personne, ainsi que du transfert de dernier ressort de l’alinéa final.

L’idée est que la puissance publique ne saurait fonder ses transferts sur une logique contractuelle ou consentuelle vis-à-vis de l’administré. Elle doit reposer sur les fondements d’intérêt public (49(1)(d)), de défense de droits en justice (49(1)(e)) ou d’intérêts vitaux (49(1)(f)) — ou bien sur les Art. 45 / 46 / 47.

Art. 49(4) : la reconnaissance de l’intérêt public par l’Union ou l’État membre

Le paragraphe 4 précise que l’intérêt public au sens du paragraphe 1, point (d), doit être reconnu par le droit de l’Union ou par le droit de l’État membre auquel le responsable est soumis. C’est la base de rattachement légal : un opérateur ne peut pas se déclarer lui-même garant d’un intérêt public. Il doit pouvoir produire le texte — règlement, directive, loi, décret — qui consacre l’intérêt public en cause.

Art. 49(5) : la faculté nationale de limitation des transferts

Le paragraphe 5 dispose qu’en l’absence de décision d’adéquation, le droit de l’Union ou de l’État membre peut, pour des motifs importants d’intérêt public, fixer expressément des limites au transfert de catégories spécifiques de données vers un pays tiers ou une organisation internationale. Les États membres sont tenus de notifier ces dispositions à la Commission.

En droit français, cette faculté est mobilisée notamment par la loi Informatique et Libertés pour des fichiers sensibles (santé, sécurité publique) et par certaines législations sectorielles (secret défense, données stratégiques nationales). C’est aussi sur ce fondement qu’a été construit le débat autour du cloud souverain et de la qualification SecNumCloud.

Art. 49(6) : la documentation au registre Art. 30

Le paragraphe 6 impose que le responsable du traitement documente l’évaluation et les garanties appropriées mises en œuvre pour les transferts du dernier ressort dans le registre des activités de traitement au sens de l’Art. 30.

C’est la concrétisation de l’accountability (Art. 5(2) et Art. 24). En contrôle, la CNIL exige un volet « transferts » documenté pour chaque traitement concerné : fondement Art. 49 invoqué, motivation factuelle, évaluation des risques, garanties techniques et organisationnelles complémentaires (chiffrement, pseudonymisation, contrôle d’accès), preuve de l’information de la personne et de l’autorité quand applicable. C’est précisément cette cartographie que Legiscope structure pour les opérateurs multi-flux.

Plan opérationnel : six chantiers pour mobiliser l’Art. 49 sans risque

Sur le terrain, je recommande un dispositif en six chantiers chaque fois qu’un transfert ne peut pas s’appuyer sur une décision d’adéquation ou des garanties appropriées.

Chantier 1 — qualification. Identifier précisément la dérogation candidate. L’erreur la plus fréquente est de cocher « consentement » par défaut alors qu’aucune information préalable spécifique aux risques n’a été délivrée. Le test : pourrais-je produire la mention d’information consentement-transfert exigée par le CEPD pour ce transfert précis ?

Chantier 2 — caractérisation du caractère occasionnel. Vérifier que le transfert n’est ni répétitif, ni massif, ni structurel. Si oui, basculer sur l’Art. 46 (CCT, BCR, code de conduite, certification). L’Art. 49 n’est pas une voie de contournement.

Chantier 3 — évaluation des risques et garanties complémentaires. Documenter une mini-TIA (Transfer Impact Assessment) sur le modèle des Recommandations 01/2020 du CEPD, même quand aucune CCT n’est signée. Identifier les risques liés au pays cible (FISA, EO 12333, lois locales), prévoir des garanties techniques (chiffrement de bout en bout, pseudonymisation, contrôles d’accès renforcés) et organisationnelles (contractuelles, formation).

Chantier 4 — information renforcée des personnes concernées. Ajouter aux mentions Art. 13 et 14 une notice spécifique transfert : pays cible, finalité, fondement Art. 49 invoqué, risques, voies de recours, modalités de retrait du consentement. Pour la voie résiduelle de l’alinéa final, la mention doit également exposer les intérêts légitimes impérieux poursuivis.

Chantier 5 — notification à la CNIL pour la voie résiduelle. Si l’alinéa final de l’Art. 49(1) est invoqué, préparer une note de notification à la CNIL : description du transfert, évaluation, garanties, intérêts légitimes impérieux, mention d’information délivrée. À transmettre avant le transfert.

Chantier 6 — documentation au registre. Mettre à jour le registre des activités de traitement : champ « transferts hors UE » avec base juridique Art. 49 précisée, documentation conservée. Cohérence à vérifier avec les contrats de sous-traitance et la cartographie des destinataires.

Sanctions et contrôle CNIL

L’Art. 49 ne fait pas l’objet d’une jurisprudence directe abondante de la CJUE : l’arrêt C-311/18 Schrems II du 16 juillet 2020 rappelle néanmoins, dans son point 202, que les dérogations de l’Art. 49 sont d’interprétation stricte et ne sauraient se substituer aux mécanismes des Art. 45 et 46 pour les transferts structurels. C’est la trame interprétative reprise par toutes les autorités européennes.

Côté CNIL, plusieurs décisions récentes pénalisent indirectement un usage abusif de l’Art. 49 — typiquement, un opérateur qui documente un fondement consentement Art. 49(1)(a) sans information spécifique aux risques. Les cadres de référence à connaître :

• CNIL SAN-2024-001 Hubside du 4 avril 2024 (525 000 €) retient au titre des circonstances aggravantes une cartographie défaillante des transferts ;
• mise en demeure CNIL Google Analytics du 10 février 2022 : illustration directe des limites posées par Schrems II au consentement Art. 49(1)(a) pour des transferts massifs et répétés ;
• décisions homologues de la DSB autrichienne du 22 décembre 2021, du Garante italien du 23 juin 2022 et du Datatilsynet danois du 21 septembre 2022 confirmant la coordination européenne.

La sanction relève du plafond haut de l’Art. 83(5)© : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Et la responsabilité solidaire des co-responsables au sens de l’Art. 26 s’applique pleinement quand plusieurs entités fondent leurs transferts sur le même dispositif Art. 49.

Articulation avec les autres articles

L’Art. 49 ne s’applique jamais seul. Son écosystème normatif est dense :

• l’Art. 44 — principe général du chapitre V et hiérarchie des fondements ;
• l’Art. 45 — décisions d’adéquation, fondement à privilégier ;
• l’Art. 46 — garanties appropriées (CCT, codes de conduite, certifications) ;
• l’Art. 47 — règles d’entreprise contraignantes pour les groupes ;
• les Art. 13 et 14 — information de la personne concernée, complétée par l’information renforcée Art. 49(1)(a) ;
• l’Art. 30 — registre des activités de traitement, où l’Art. 49(6) impose la documentation des transferts ;
• l’Art. 7 — conditions du consentement applicable au point (a) ;
• l’Art. 9(2)(a) — consentement explicite, dont le standard inspire la lecture du « consentement explicite » Art. 49(1)(a) ;
• l’Art. 5(2) et l’Art. 24 — accountability et charge de la preuve ;
• l’Art. 32 — mesures de sécurité techniques et organisationnelles, mobilisées en garanties complémentaires ;
• l’Art. 35 — AIPD pour les flux à risque significatif ;
• l’Art. 83(5)© — plafond haut des sanctions.

Ce qu’il faut retenir

• L’Art. 49 RGPD organise sept dérogations aux transferts hors UE et un transfert de dernier ressort, à mobiliser uniquement quand aucune décision d’adéquation (Art. 45) ni aucune garantie appropriée (Art. 46 ou Art. 47) n’est disponible.
• Les dérogations sont d’interprétation stricte (Lignes directrices CEPD 2/2018, CJUE C-311/18 Schrems II) : elles n’autorisent que des transferts occasionnels et exigent un lien direct avec la finalité invoquée.
• Le consentement Art. 49(1)(a) suppose une information préalable spécifique aux risques (pays cible, accès des autorités étrangères, absence de voies de recours équivalentes) et reste exposé au retrait à tout moment (Art. 7(3)).
• Le transfert de dernier ressort (alinéa final) impose six conditions cumulatives strictes — non répétitivité, nombre limité de personnes, intérêts légitimes impérieux, évaluation documentée, garanties appropriées, double information CNIL/personne — et reste un dispositif d’exception.
• Tout transfert fondé sur l’Art. 49 doit être documenté dans le registre des activités de traitement (Art. 30 et Art. 49(6)) : base juridique, motivation, évaluation des risques, garanties techniques. À défaut, sanction du plafond haut Art. 83(5)©.

FAQ

Quelle différence entre le consentement Art. 6(1)(a) et le consentement Art. 49(1)(a) ?

Le consentement de l’Art. 6(1)(a) fonde la licéité du traitement ; celui de l’Art. 49(1)(a) fonde la licéité du transfert. Le second est explicite (standard renforcé proche de l’Art. 9(2)(a)) et exige une information préalable spécifique sur les risques liés au pays de destination — absence de cadre juridique équivalent, accès possible des autorités étrangères, voies de recours limitées. Un consentement valable au titre de l’Art. 6 ne suffit pas à fonder un transfert au titre de l’Art. 49.

L’Art. 49 peut-il fonder une externalisation cloud non-UE ?

Non, sauf cas très exceptionnels. Le CEPD précise dans ses Lignes directrices 2/2018 que les dérogations de l’Art. 49 ne couvrent que des transferts occasionnels et non massifs. Une externalisation cloud structurelle implique des transferts répétitifs et systémiques qui doivent reposer sur l’Art. 46 (clauses contractuelles types 2021/914) ou l’Art. 47 (BCR du fournisseur). Tenter de fonder un cloud non-UE sur l’Art. 49 est l’erreur la plus fréquemment relevée en contrôle CNIL.

La dérogation pour droits en justice (Art. 49(1)(e)) couvre-t-elle la discovery américaine ?

Partiellement. La dérogation autorise le transfert de pièces dans le cadre d’une procédure ouverte ou imminente, y compris à l’étranger. Mais elle s’articule avec d’autres règles : le règlement (UE) 2018/1725, la Convention de La Haye sur l’obtention des preuves, le règlement « blocking » UE 2271/96 pour certaines législations extraterritoriales, et le droit français de la preuve. Avant tout transfert massif sur ce fondement, je recommande une analyse pluridisciplinaire combinant droit des données et droit international privé.

Faut-il toujours informer la CNIL d’un transfert fondé sur l’Art. 49 ?

Non. La notification à la CNIL n’est obligatoire que pour le transfert de dernier ressort prévu par l’alinéa final de l’Art. 49(1) — celui fondé sur des intérêts légitimes impérieux quand aucune autre dérogation n’est applicable. Pour les sept dérogations standard (a) à (g), aucune notification préalable n’est requise, mais le transfert doit être documenté dans le registre des activités de traitement au titre de l’Art. 49(6).

Peut-on utiliser l’Art. 49(1)(a) consentement après l’arrêt Schrems II ?

Oui, mais avec une vigilance accrue. L’arrêt CJUE C-311/18 du 16 juillet 2020 ne remet pas en cause les dérogations de l’Art. 49 ; il rappelle simplement leur caractère exceptionnel. Le consentement Art. 49(1)(a) reste mobilisable pour des transferts ponctuels — par exemple un salarié qui consent à la transmission de ses données à une filiale étrangère pour une mission précise. Mais l’information préalable doit désormais inclure une mention claire sur les législations de surveillance étrangère (FISA Section 702, Executive Order 12333, équivalents non-UE) susceptibles d’affecter les données transférées. À défaut, le consentement n’est pas valablement éclairé.

---

Vous gérez plusieurs dizaines de flux internationaux et vous voulez savoir si vos fondements Art. 45/46/47/49 sont alignés avec le contrôle CNIL ? Recevez chaque semaine mes analyses pratiques de conformité — décisions CNIL, jurisprudence CJUE, recommandations CEPD — directement dans votre boîte mail. Abonnez-vous à la newsletter.