Décision de la Commission

du 27 décembre 2004

modifiant la décision 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers

[notifiée sous le numéro C(2004) 5271]

(Texte présentant de l'intérêt pour l'EEE)

(2004/915/CE)

LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,

vu le traité instituant la Communauté européenne,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [1], et notamment son article 26, paragraphe 4,

considérant ce qui suit:

(1) Afin de faciliter les flux de données provenant de la Communauté, il est souhaitable que les responsables du traitement des données puissent effectuer les transferts de données globalement, conformément à un ensemble unique de règles de protection des données. En l’absence de normes universelles en matière de protection des données, les clauses contractuelles types constituent un outil important pour permettre le transfert des données à caractère personnel provenant de tous les États membres conformément à un ensemble de règles commun. La décision 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE [2] établit à cet effet un ensemble modèle de clauses contractuelles types qui offre des garanties adéquates pour le transfert de données vers des pays tiers.

(2) Une expérience considérable a été accumulée depuis l’adoption de ladite décision. En outre, une coalition d’associations professionnelles [3] a soumis un autre ensemble de clauses contractuelles types conçu pour offrir un niveau de protection des données équivalent à celui offert par l’ensemble de clauses contractuelles types figurant dans la décision 2001/497/CE mais en recourant à des mécanismes différents.

(3) Étant donné que l’utilisation de clauses contractuelles types pour les transferts de données internationaux est volontaire et que les clauses contractuelles types ne sont qu’une possibilité parmi d’autres prévues par la directive 95/46/CE pour transférer légalement des données à caractère personnel vers un pays tiers, les exportateurs de données dans la Communauté et les importateurs de données dans les pays tiers devraient avoir la faculté de sélectionner l’un des ensembles de clauses contractuelles types ou de choisir une autre base juridique pour le transfert des données. Comme chaque ensemble complet forme un modèle, les exportateurs de données ne devraient pas être autorisés à modifier ces ensembles ou à la fusionner, en totalité ou en partie, de quelque manière que ce soit.

(4) Les clauses contractuelles types soumises par les associations professionnelles visent à renforcer l’utilisation de clauses contractuelles par des mécanismes tels que l’assouplissement des exigences de vérification ou l’établissement de règles plus détaillées en ce qui concerne le droit d’accès.

(5) De plus, en tant qu’alternative au système de responsabilité solidaire prévu dans la décision 2001/497/CE, l’ensemble présentement soumis contient un régime de responsabilité reposant sur des obligations de diligence, selon lequel l’exportateur et l’importateur des données sont responsables, vis-à-vis des personnes concernées, de leurs manquements respectifs à leurs obligations contractuelles; l’exportateur de données est également responsable s’il n’a pas entrepris de démarches raisonnables pour s’assurer que l’importateur de données est à même de satisfaire aux obligations juridiques qui lui incombent en vertu des clauses (culpa in eligendo) et, à ce titre, la personne concernée peut exercer un recours contre l’exportateur de données. L’application de la clause I, point b), du nouvel ensemble de clauses contractuelles types revêt une importance particulière à cet égard, notamment en ce qui concerne la possibilité pour l’exportateur de données de procéder à des vérifications au siège de l’importateur de données ou de demander à celui-ci de prouver qu’il dispose de ressources financières suffisantes pour assumer ses responsabilités.

(6) En ce qui concerne l’exercice des droits du tiers bénéficiaire par les personnes concernées, une implication plus importante de l’exportateur de données dans le règlement des plaintes des personnes concernées est prévue, l’exportateur de données étant tenu de prendre contact avec l’importateur de données et, si nécessaire, de faire appliquer le contrat dans un délai normal d’un mois. Si l’exportateur de données refuse de faire appliquer le contrat et que le manquement de l’importateur de données se poursuit, la personne concernée peut faire valoir les clauses à l’encontre de l’importateur de données et, en fin de compte, le poursuivre devant une juridiction communautaire. Cette acceptation de juridiction et l’engagement de se conformer à la décision d’un tribunal compétent ou de l’autorité en charge de la protection des données ne remet en cause aucun des droits procéduraux des importateurs de données établis dans des pays tiers, notamment en ce qui concerne les recours.

(7) Toutefois, afin de prévenir les abus de cette flexibilité accrue, il convient de prévoir que les autorités en charge de la protection des données puissent plus aisément interdire ou suspendre les transferts de données sur la base du nouvel ensemble de clauses contractuelles types dans les cas où l’exportateur de données refuse de prendre des mesures appropriées pour faire valoir les obligations contractuelles à l’encontre de l’importateur de données ou lorsque ce dernier refuse de coopérer de bonne foi avec les autorités compétentes en matière de contrôle de la protection des données.

(8) L’utilisation des clauses contractuelles types se fera sans préjudice de l’application des dispositions nationales adoptées en vertu de la directive 95/46/CE ou de la directive 2002/58/CE [4] concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), notamment en ce qui concerne l’envoi de communications commerciales aux citoyens de l’Union européenne.

(9) Sur cette base, les garanties contenues dans les clauses contractuelles types soumises peuvent être considérées comme adéquates au sens de l’article 26, paragraphe 2, de la directive 95/46/CE.

(10) Le groupe de travail sur la protection des personnes à l’égard du traitement des données à caractère personnel institué en vertu de l’article 29 de la directive 95/46/CE a émis un avis [5] sur le niveau de protection assuré par les clauses contractuelles types soumises, dont il a été tenu compte.

(11) Afin d'évaluer l'effet des amendements à la décision 2001/497/CE, il convient que la Commission les évaluent trois ans après leur notification aux États membres.

(12) La décision 2001/497/CE doit être modifiée en conséquence.

(13) Les mesures prévues par la présente décision sont conformes à l’avis du comité institué en vertu de l’article 31 de la directive 95/46/CE,

A ARRÊTÉ LA PRÉSENTE DÉCISION:

Article premier

La décision 2001/497/CE est modifiée comme suit:

1) À l’article 1er, le paragraphe suivant est ajouté:

"Les responsables du traitement des données peuvent choisir entre les ensembles I et II de l’annexe. Ils ne peuvent toutefois pas modifier les clauses ni combiner des clauses individuelles ou les ensembles."

2) À l’article 4, les paragraphes 2 et 3 sont remplacés par les paragraphes 2 et 3 suivants:

"2. Aux fins du paragraphe 1, lorsque le responsable du traitement des données offre des garanties adéquates sur la base des clauses contractuelles types contenues dans l’ensemble II de l’annexe, les autorités compétentes en matière de protection des données peuvent exercer les pouvoirs dont elles disposent pour interdire ou suspendre les flux de données dans les cas suivants:

a) refus de l’importateur de données de coopérer de bonne foi avec les autorités compétentes ou de se conformer aux obligations clairement énoncées dans le contrat;

b) refus de l’exportateur de données de prendre des mesures appropriées pour faire valoir le contrat à l’encontre de l’importateur de données dans le délai normal d’un mois après avoir reçu la notification de l’autorité compétente.

Aux fins du premier alinéa, le refus de mauvaise foi ou le refus d’appliquer le contrat par l’importateur de données ne couvre pas les cas où la coopération ou l’application entrerait en conflit avec les exigences impératives de la législation nationale le concernant et qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique sur la base de l’un des intérêts énumérés à l’article 13, paragraphe 1, de la directive 95/46/CE, notamment les sanctions reconnues sur le plan international, les obligations de déclaration fiscale et les obligations de déclaration dans le cadre de la lutte contre le blanchiment d’argent.

Aux fins du point a) du premier alinéa, la coopération peut inclure, en particulier, la soumission pour vérification des moyens de traitement des données de l’importateur de données ou l’obligation de se soumettre à l’avis de l’autorité de contrôle de la protection des données dans la Communauté.

3. L’interdiction ou la suspension visée aux paragraphes 1 et 2 est levée dès que les raisons qui la motivaient disparaissent.

4. Lorsque les États membres adoptent des mesures conformément aux paragraphes 1 et 2, ils en informent sans délai la Commission, qui transmet l’information aux autres États membres."

3) À l'article 5, la première phrase est remplacée par le texte suivant:

"La Commission évaluera l'effet de cette décision sur la base des informations disponibles trois ans après sa notification aux États membres ainsi qu'après la notification de tout amendement qui pourrait y être apporté."

4) L’annexe est modifiée comme suit:

1. Après le titre, les termes "ENSEMBLE I" sont insérés.

2. Le texte figurant à l’annexe de la présente décision est ajouté.

Article 2

La présente décision s’applique à compter du 1er avril 2005.

Article 3

Les États membres sont destinataires de la présente décision.

Fait à Bruxelles, le 27 décembre 2004.

Par la Commission

Charlie McCreevy

Membre de la Commission

--------------------------------------------------

[1] JO L 281 du 23.11.1995, p. 31. Directive modifiée par le règlement (CE) no 1883/2003 (JO L 284 du 31.10.2003, p. 1).

[2] JO L 181 du 4.7.2001, p. 19.

[3] La Chambre de commerce internationale (ICC), l’Association des entreprises japonaises en Europe (JBCE), l’Association européenne des technologies de l’information et des communications (EICTA), le Comité UE de la Chambre de commerce américaine en Belgique (Amcham), la Confédération de l’industrie britannique (CBI), La Table ronde internationale de la communication (ICRT) et la Fédération des associations européennes de vente directe (FEDMA).

[4] JO L 201 du 31.7.2002, p. 37.

[5] Avis no 8/2003, disponible sur: http://europa.eu.int/comm/privacy

--------------------------------------------------

+++++ ANNEX 1 +++++