Navigation path

Left navigation

Additional tools

Other available languages: EN DE

IP/01/851

Bruxelles, le 18 juin 2001

Protection des données: la Commission approuve des clauses contractuelles types pour les transferts de données vers des pays tiers

La Commission européenne a adopté une décision définissant des clauses contractuelles types qui assureront un niveau de protection adéquat des données à caractère personnel transférées de l'UE vers des pays tiers. La décision fait obligation aux États membres de reconnaître que les sociétés ou organismes utilisant de telles clauses types dans des contrats relatifs à des transferts de données à caractère personnel vers des pays tiers assurent un "niveau de protection adéquat" des données. En vertu de la directive de l'UE relative à la protection des données (95/46/CE), toutes les données à caractère personnel transférées vers des pays tiers doivent bénéficier d'un "niveau de protection adéquat". L'utilisation de ces clauses contractuelles types sera volontaire, mais offrira aux sociétés et aux organismes un moyen simple de respecter leur obligation d'assurer un "niveau de protection adéquat" aux données à caractère personnel transférées vers des pays tiers qui n'ont pas été reconnus par la Commission comme assurant à ces données un niveau de protection adéquat. À ce jour, seuls la Suisse, la Hongrie et le système américain de la "sphère de sécurité" ont été reconnus comme offrant une protection adéquate (voir IP/00/865).

M. Frits Bolkestein, membre de la Commission responsable du marché intérieur, a déclaré: "Cette nouvelle mesure pratique permettra aux sociétés et aux organismes de se conformer plus facilement à l'obligation d'assurer un "niveau de protection adéquat" aux données à caractère personnel transférées de la Communauté vers le reste du monde, tout en préservant le droit des personnes à la protection de leur vie privée".

Les clauses contractuelles types contiennent une déclaration juridiquement exécutoire ("garantie") par laquelle aussi bien l'"exportateur de données" que l'"importateur de données" s'engagent à traiter les données dans le respect de certaines règles fondamentales de protection des données et reconnaissent que les personnes peuvent faire valoir les droits que leur confère le contrat.

La décision de la Commission oblige les États membres à reconnaître les clauses contractuelles annexées à la décision comme assurant un niveau de protection adéquat et comme respectant les exigences de la directive afférentes au transfert de données vers des pays tiers qui n'assurent pas un niveau de protection adéquat des données à caractère personnel. Toutefois, l'usage des clauses contractuelles types n'est pas obligatoire pour les entreprises, pas plus qu'il ne constitue la seule manière de transférer de manière licite des données vers des pays tiers.

Les clauses ajoutent une nouvelle possibilité à celles qu'offrait déjà la directive sur la protection des données, qui prévoit plusieurs cas où des données peuvent être transférées même à des pays dont le régime de protection des données n'est pas approprié. Il s'agit notamment des cas où des personnes ont indubitablement donné leur consentement au transfert de données en dehors de l'UE et où le transfert est nécessaire en vue de la conclusion ou de l'exécution d'un contrat dans l'intérêt des personnes concernées. En outre, les autorités responsables de la protection des données dans les États membres peuvent autoriser de tels transferts au cas par cas, lorsqu'elles ont acquis la conviction que les données bénéficient d'un "niveau de protection adéquat".

Le recours aux clauses contractuelles n'est pas nécessaire lors du transfert de données vers la Suisse ou la Hongrie, dont la Commission reconnaît que les régimes de protection des données offrent un niveau de protection adéquat; de même, le recours à ces clauses n'est pas nécessaire dans le cas d'un transfert de données à des sociétés américaines adhérant aux principes de la "sphère de sécurité" publiés par le ministère du commerce des États-Unis.

Les autorités de contrôle des États membres conservent la faculté d'interdire ou de suspendre des flux de données dans des circonstances exceptionnelles, mais la décision a pour effet de les empêcher de refuser des transferts de données effectués au titre de contrats qui contiennent les clauses contractuelles types approuvées par la Commission. De même, la décision n'empêche pas les autorités de contrôle nationales d'autoriser d'autres conventions contractuelles ad hoc pour l'exportation de données en dehors de l'UE sur la base de la législation nationale, dans la mesure où ces autorités ont acquis la conviction que les contrats en cause assurent un niveau de protection adéquat des données.

Cette décision ne constitue qu'un premier pas dans l'élaboration de solutions contractuelles en tant qu'instruments "sur mesure" de transfert de données à caractère personnel au niveau mondial. La Commission entend adopter des décisions distinctes concernant des types spécifiques de transferts et de situations. Elle consulte actuellement les États membres et les autorités de contrôle au sujet d'un nouveau projet de décision concernant des clauses contractuelles types pour le transfert de données à caractère personnel de responsables du traitement de données (c'est-à-dire toute personne ou tout organisme déterminant "les objectifs et les moyens du traitement") établis dans la Communauté vers des sous-traitants de données (assurant le traitement de données pour le compte du responsable du traitement) établis dans des pays tiers.

L'harmonisation des règles de protection des données dans l'UE vise à assurer la libre circulation des informations (y compris les données à caractère personnel) entre les États membres, tout en garantissant à toute personne concernée un niveau de protection élevé. Dans le cas des pays tiers, la directive 95/46/CE enjoint aux États membres de n'autoriser les transferts de données à caractère personnel que si ces données bénéficient d'un "niveau de protection adéquat", sauf si l'une des dérogations spécifiques, peu nombreuses, est applicable. En l'absence de telles règles, les normes élevées de protection des données établies par la directive seraient rapidement vidées de leur contenu, en raison de la facilité avec laquelle des données peuvent être échangées à l'aide des réseaux internationaux.

La directive prescrit l'application des principes généraux suivants:

  • les données à caractère personnel doivent être collectées uniquement à des fins spécifiées, explicites et légitimes;

  • les personnes concernées doivent être informées de l'objectif de la collecte et de l'identité du responsable du traitement des données;

  • toute personne concernée doit avoir un droit d'accès à ses données, ainsi que le droit de modifier ou d'effacer les données incorrectes;

  • en cas de problème, les personnes concernées doivent disposer de voies de recours appropriées, y compris la possibilité de se voir accorder une indemnisation ou des dommages-intérêts par les juridictions compétentes.

On trouvera des informations supplémentaires sur cette décision et les clauses contractuelles types, y compris les échanges de lettres avec des associations professionnelles et les ministères américains du commerce et des finances, sur le site Europa, à l'adresse suivante:

http://ec.europa.eu/internal_market/en/media/dataprot/news/index.htm

Voir également MEMO/01/228 pour les réponses à des questions fréquemment posées au sujet des clauses contractuelles types.


Side Bar

My account

Manage your searches and email notifications


Help us improve our website