Le 4 novembre 2025, le Comité européen de la protection des données (CEPD) a adopté son avis sur le projet de décision d’adéquation de la Commission européenne concernant le Brésil, au titre du Règlement général sur la protection des données (RGPD).

Au-delà de ce cas particulier, il est utile de revenir sur la logique générale des décisions d’adéquation, leur fondement, leur portée juridique, leurs effets concrets, et la distinction entre adéquation complète et adéquation partielle.

1. Un mécanisme clé du RGPD pour encadrer les transferts internationaux

Le RGPD prévoit que tout transfert vers un pays tiers doit garantir un niveau de protection substantiellement équivalent à celui assuré par le droit européen.

L’article 45 du RGPD constitue le cœur de ce dispositif : il permet à la Commission européenne d’adopter une décision d’adéquation lorsqu’elle estime qu’un pays, un territoire ou une organisation internationale offre ce niveau de protection équivalent.

Cette reconnaissance officielle a un effet juridique majeur : les transferts de données vers ce pays peuvent se faire librement, sans autorisation préalable, ni clauses contractuelles types, ni mécanismes additionnels. En d’autres termes, la décision d’adéquation agit comme une reconnaissance de confiance mutuelle entre l’Union et le pays concerné.

Avant toute adoption, la Commission procède à une évaluation exhaustive du cadre juridique, institutionnel et pratique du pays tiers. Les critères, énumérés à l’article 45 §2 du RGPD, couvrent notamment :

  • le respect des droits fondamentaux et de l’État de droit ;
  • les règles applicables en matière de protection des données, y compris les principes de finalité, proportionnalité et sécurité
  • l’existence d’une autorité de contrôle indépendante, dotée de pouvoirs effectifs ;
  • les voies de recours offertes aux personnes concernées ;
  • et, depuis l’affaire Schrems II, la proportionnalité des pouvoirs d’accès des autorités publiques aux données transférées.

Une fois cette analyse conduite, le Comité européen de la protection des données (CEPD) rend un avis consultatif. Si celui-ci est favorable, le projet est soumis à un comité des représentants des États membres, puis la Commission adopte formellement la décision, publiée au Journal officiel de l’Union européenne.

Ces décisions font ensuite l’objet d’un réexamen périodique, en général tous les quatre ans, pour vérifier que le niveau de protection reste conforme aux exigences européennes.

2. Les pays reconnus adéquats et la notion d’adéquation partielle

Depuis 2000, la Commission européenne a progressivement bâti un réseau mondial de pays reconnus “adéquats”, facilitant les flux de données tout en préservant les droits fondamentaux.

À date, bénéficient d’une décision d’adéquation complète : Andorre, Argentine, Îles Féroé, Guernesey, Israël, Île de Man, Jersey, Japon, Nouvelle-Zélande, République de Corée, Suisse, Uruguay et Royaume-Uni. À ces pays s’ajoutent deux cas d’adéquation partielle : le Canada et les États-Unis.

  • L’adéquation complète : une reconnaissance globale

L’adéquation complète signifie que l’ensemble des transferts de données vers le pays concerné peuvent s’effectuer sans encadrement supplémentaire. Le pays dispose d’un régime global de protection jugé « essentiellement équivalent » au RGPD.

C’est le cas, par exemple, du Japon, pour lequel la Commission a adopté en 2019 une décision d’adéquation réciproque (les transferts UE ↔ Japon sont mutuellement reconnus comme sûrs). La Corée du Sud a également obtenu cette reconnaissance en 2022, après des réformes substantielles de sa législation nationale.

  • L’adéquation partielle : reconnaissance sectorielle ou conditionnelle

Certaines décisions d’adéquation ne couvrent qu’une partie du système juridique d’un pays ou certains acteurs spécifiques. On parle alors d’adéquation partielle.

Le Canada en est l’exemple classique : la décision d’adéquation ne s’applique qu’aux organisations commerciales régies par la loi fédérale PIPEDA (Personal Information Protection and Electronic Documents Act). Les organismes publics, provinciaux ou les entreprises non assujetties à PIPEDA restent exclus du champ de la décision. Les transferts vers ces entités nécessitent donc la mise en œuvre d’autres garanties (clauses contractuelles types ou règles d’entreprise contraignantes).

Les États-Unis, depuis 2023, bénéficient d’une adéquation sectorielle via le Data Privacy Framework (DPF). Seules les entreprises américaines qui se sont autocertifiées auprès du Department of Commerce et se sont engagées à respecter les principes du DPF peuvent recevoir des données personnelles depuis l’UE sans formalité supplémentaire. Les autres acteurs américains, notamment les entités publiques ou non inscrites au programme, ne sont pas couverts.

L’adéquation partielle permet ainsi une approche graduée : la Commission reconnaît un niveau de protection suffisant pour certains domaines, tout en exigeant des garanties supplémentaires pour les autres.

3. Les effets pratiques de ces décisions d’adéquation

Pour les entreprises européennes, la décision d’adéquation est synonyme de simplification et de prévisibilité. Elle supprime la nécessité de recourir à des clauses contractuelles types ou d’obtenir des autorisations spécifiques de la CNIL. Cela représente un gain considérable de sécurité juridique et une réduction significative des coûts de conformité.

D’un point de vue économique, ces décisions facilitent la circulation des données transfrontalières, essentielle à la fourniture de services numériques, au commerce électronique, à la recherche, ou encore à l’exploitation de solutions cloud. Elles contribuent également à renforcer la coopération réglementaire internationale, en incitant les pays tiers à aligner leur législation sur les standards européens.

Pour les personnes concernées, l’enjeu est tout aussi central : la décision d’adéquation garantit que leurs droits fondamentaux (accès, rectification, effacement, opposition, recours effectif) demeurent protégés même lorsque leurs données quittent le territoire de l’Union.

4. Les alternatives en l’absence d’adéquation

Lorsqu’un pays ne bénéficie pas d’une décision d’adéquation, les transferts de données restent possibles, mais sous réserve d’appliquer l’un des mécanismes prévus à l’article 46 du RGPD :

  • les clauses contractuelles types (SCC), adoptées par la Commission européenne ;
  • les règles d’entreprise contraignantes (BCR) pour les groupes multinationaux ;
  • ou des mécanismes de certification assortis d’engagements exécutoires.

En dernier recours, l’article 49 du RGPD prévoit des dérogations ponctuelles, par exemple en cas de consentement explicite de la personne concernée ou lorsque le transfert est nécessaire à l’exécution d’un contrat.

Toutefois, ces mécanismes exigent une évaluation du niveau de protection effectif dans le pays destinataire, notamment en matière d’accès aux données par les autorités publiques. L’arrêt Schrems II (CJUE, 16 juillet 2020, aff. C-311/18) a rappelé que ces garanties devaient être réelles, vérifiables et documentées.

5. Le Brésil : vers une nouvelle reconnaissance

Le Brésil illustre parfaitement la dynamique d’expansion du réseau d’adéquation européen. Sa loi de 2020, la Lei Geral de Proteção de Dados (LGPD), est largement inspirée du RGPD. Elle établit des principes équivalents (licéité, transparence, limitation des finalités, sécurité), reconnaît des droits individuels comparables et a créé une autorité indépendante, l’Autoridade Nacional de Proteção de Dados (ANPD).

En 2024, le Brésil a franchi une nouvelle étape en adoptant un règlement sur les transferts internationaux de données, permettant à son tour de reconnaître des pays étrangers comme adéquats au regard de la LGPD.

Le projet de décision d’adéquation pour le Brésil, examiné depuis septembre 2025, a reçu un avis favorable du CEPD le 4 novembre 2025. L’adoption finale par la Commission européenne pourrait intervenir prochainement.

Pour les entreprises européennes opérant en Amérique du Sud, cela signifiera une libéralisation complète des transferts de données et une réduction notable des contraintes contractuelles.

6. En conclusion

Les décisions d’adéquation sont bien plus qu’un outil technique du RGPD : elles incarnent la projection internationale du modèle européen de protection des données. Elles traduisent la volonté de l’Union de combiner ouverture économique et exigence de respect des droits fondamentaux.

Avec l’extension progressive du réseau d’adéquation et l’émergence de régimes partiels comme ceux du Canada ou des États-Unis, l’Europe développe une approche graduée, pragmatique et stratégique.

 

Pour les entreprises, comprendre et suivre ces décisions n’est plus une option mais une condition de maîtrise de la conformité internationale.