EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32012D0484
2012/484/EU: Commission Implementing Decision of 21 August 2012 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequate protection of personal data by the Eastern Republic of Uruguay with regard to automated processing of personal data (notified under document C(2012) 5704) Text with EEA relevance
2012/484/UE: Décision d’exécution de la Commission du 21 août 2012 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la République orientale de l’Uruguay concernant le traitement automatisé des données à caractère personnel [notifiée sous le numéro C(2012) 5704] Texte présentant de l'intérêt pour l'EEE
2012/484/UE: Décision d’exécution de la Commission du 21 août 2012 constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la République orientale de l’Uruguay concernant le traitement automatisé des données à caractère personnel [notifiée sous le numéro C(2012) 5704] Texte présentant de l'intérêt pour l'EEE
OJ L 227, 23.8.2012, p. 11–14
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 17/12/2016
|
23.8.2012 |
FR |
Journal officiel de l'Union européenne |
L 227/11 |
DÉCISION D’EXÉCUTION DE LA COMMISSION
du 21 août 2012
constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la République orientale de l’Uruguay concernant le traitement automatisé des données à caractère personnel
[notifiée sous le numéro C(2012) 5704]
(Texte présentant de l'intérêt pour l'EEE)
(2012/484/UE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (1), et notamment son article 25, paragraphe 6,
après consultation du contrôleur européen de la protection des données (2),
considérant ce qui suit:
|
(1) |
La directive 95/46/CE fait obligation aux États membres de prévoir que le transfert de données à caractère personnel vers un pays tiers ne peut avoir lieu que si, sous réserve du respect, avant le transfert, des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. |
|
(2) |
La Commission peut constater qu’un pays tiers assure un niveau de protection adéquat. Dans ce cas, des données à caractère personnel peuvent être transférées à partir des États membres, sans qu’aucune garantie supplémentaire ne soit nécessaire. |
|
(3) |
Conformément à la directive 95/46/CE, le niveau de protection des données doit être apprécié au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et compte tenu de conditions déterminées, énumérées à son article 25. |
|
(4) |
En raison des différentes approches retenues par les pays tiers en matière de protection des données, l’appréciation de l’adéquation doit être réalisée et toute décision fondée sur l’article 25, paragraphe 6, de la directive 95/46/CE doit être arrêtée et mise en œuvre d’une façon qui ne crée pas de discrimination arbitraire ou injustifiée à l’égard des pays tiers où des conditions similaires existent ou entre ces pays tiers ni ne constitue une entrave déguisée au commerce eu égard aux engagements internationaux actuels de l’Union européenne. |
|
(5) |
La Constitution de la République orientale de l’Uruguay, promulguée en 1967, ne consacre pas expressément le droit au respect de la vie privée et le droit à la protection des données à caractère personnel. Son catalogue des droits fondamentaux ne constitue cependant pas une liste close puisque l’article 72 dispose que les droits, les devoirs et les garanties énumérés par la Constitution n’en excluent pas d’autres, inhérents à la personne humaine ou découlant de la forme républicaine du gouvernement. L’article 1er de la loi no 18.331 du 11 août 2008 relative à la protection des données à caractère personnel et au recours en «habeas data» (Ley No 18.331 de Protección de Datos Personales y Acción de «Habeas Data») affirme expressément que «le droit à la protection des données à caractère personnel est un droit inhérent à la personne humaine et par conséquent couvert par l’article 72 de la Constitution de la République». L’article 332 de la Constitution prévoit que l’application des dispositions de la Constitution qui reconnaissent des droits à la personne, ainsi que de celles qui confèrent des droits et imposent des obligations aux autorités publiques, ne sera pas empêchée par l’absence de réglementation spécifique; cette lacune sera comblée par le recours aux fondements de lois similaires, aux principes généraux du droit et aux doctrines généralement admises. |
|
(6) |
Les normes juridiques applicables à la protection des données à caractère personnel en République orientale de l’Uruguay se fondent dans une large mesure sur les normes énoncées dans la directive 95/46/CE et figurent dans la loi no 18.331 du 11 août 2008 relative à la protection des données à caractère personnel et au recours en «habeas data». Elles couvrent les personnes physiques et morales. |
|
(7) |
Cette loi est en outre complétée par le décret no 414/009 du 31 août 2009, qui a été adopté afin d’en clarifier divers aspects et pour établir les règles détaillées de l’organisation, des pouvoirs et du fonctionnement de l’autorité de surveillance chargée de la protection des données. Dans son préambule, ce décret énonce qu’il convient de mettre en adéquation le droit interne dans ce domaine avec le régime juridique comparable le plus largement accepté, essentiellement celui consacré par les pays européens à travers la directive 95/46/CE. |
|
(8) |
Des dispositions relatives à la protection des données figurent également dans diverses lois particulières qui créent et régissent des bases de données, notamment les lois réglementant certains registres publics (actes publics, propriété industrielle et marques, actes personnels, actes fonciers et immobiliers, titres miniers ou données financières). La loi no 18.331 continue de régir les questions qui ne sont pas couvertes par ces lois particulières, conformément à l’article 332 de la Constitution. |
|
(9) |
Les normes juridiques applicables en République orientale de l’Uruguay à la protection des données reprennent l’ensemble des principes de base nécessaires à un niveau de protection adéquat pour les personnes physiques, et prévoient aussi des exceptions et des limitations en vue de protéger des intérêts publics majeurs. Les normes juridiques applicables à la protection des données et leurs exceptions reflètent les principes édictés par la directive 95/46/CE. |
|
(10) |
L’application de ces normes juridiques en matière de protection des données est garantie par des recours administratifs et juridictionnels, en particulier par le recours en «habeas data» qui permet à la personne concernée de traduire le responsable de base de données en justice afin de faire valoir son droit d’accès, de rectification et de suppression des données, et par un contrôle indépendant exercé par l’autorité de surveillance, l’Unité de régulation et de contrôle des données personnelles [Unidad Reguladora y de Control de Datos Personales (URCDP)], dotée de pouvoirs d’investigation, d’intervention et de sanction conformément à l’article 28 de la directive 95/46/CE, et agissant en totale indépendance. En outre, toute partie intéressée a le droit d’introduire un recours en justice afin d’obtenir réparation de préjudices résultant d’un traitement illicite de ses données personnelles. |
|
(11) |
Les autorités uruguayennes de protection des données ont fourni des explications et donné des assurances sur la façon dont le droit uruguayen doit être interprété et ont confirmé que la législation uruguayenne en matière de protection des données était appliquée suivant cette interprétation. Les autorités uruguayennes de protection des données ont en particulier expliqué que, conformément à l’article 332 de la Constitution, la loi no 18.331 continuait de régir les questions qui ne sont pas couvertes par les lois particulières qui créent et réglementent certaines bases de données. Elles ont aussi précisé qu’en ce qui concerne les listes de données mentionnées à l’article 9, paragraphe C, de la loi no 18.331, dont le traitement ne requiert pas le consentement préalable de la personne concernée, la loi s’appliquait aussi, notamment les principes de proportionnalité et de finalité et les droits des personnes concernées, et que ces listes étaient soumises au contrôle de l’autorité de protection des données. En ce qui concerne le principe de transparence, les autorités uruguayennes de protection des données ont indiqué que l’obligation de fournir les informations nécessaires à la personne concernée s’appliquait en toutes circonstances. S’agissant du droit d’accès, les autorités de protection des données ont précisé qu’il suffisait à la personne concernée d’apporter la preuve de son identité pour soumettre une demande. Les autorités uruguayennes de protection des données ont expliqué que les exceptions au principe applicable aux transferts internationaux prévues à l’article 23, paragraphe 1, de la loi no 18.331 ne pouvaient être interprétées comme ayant un champ d’application plus large que celles prévues à l’article 26, paragraphe 1, de la directive 95/46/CE. |
|
(12) |
La présente décision tient compte de ces explications et de ces assurances et se fonde sur elles. |
|
(13) |
La République orientale de l’Uruguay est par ailleurs un État partie à la convention américaine relative aux droits de l’homme («pacte de San José») adoptée le 22 novembre 1969 et entrée en vigueur le 18 juillet 1978 (3). L’article 11 de ladite convention consacre le droit au respect de la vie privée et son article 30 prévoit que les restrictions qui, conformément à la convention, peuvent s’exercer sur la jouissance ou l’exercice des droits et libertés consacrés par la convention, ne peuvent s’appliquer sauf conformément aux lois promulguées pour des raisons d’intérêt général et conformément à la finalité visée par l’instauration de ces restrictions (article 30). En outre, la République orientale de l’Uruguay a accepté la compétence de la Cour interaméricaine des droits de l’homme. De surcroît, lors de la 1118e réunion des délégués des ministres du Conseil de l’Europe, qui s’est tenue le 6 juillet 2011, les délégués ont invité la République orientale de l’Uruguay à adhérer à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE no 108) et à son protocole additionnel (STE no 118), après l’avis favorable rendu par le comité consultatif (4) compétent. |
|
(14) |
Il convient de considérer en conséquence que la République orientale de l’Uruguay assure un niveau de protection adéquat des données à caractère personnel, tel que mentionné par la directive 95/46/CE. |
|
(15) |
La présente décision concerne le niveau de protection adéquat assuré dans la République orientale de l’Uruguay en vue de répondre aux exigences de l’article 25, paragraphe 1, de la directive 95/46/CE. Elle ne doit influer en rien sur d’autres conditions ou restrictions mettant en application d’autres dispositions de la directive qui s’appliquent au traitement des données à caractère personnel au sein des États membres. |
|
(16) |
Dans un souci de transparence et en vue de permettre aux autorités compétentes des États membres d’assurer la protection des personnes physiques à l’égard du traitement des données à caractère personnel, il convient de préciser dans quelles circonstances exceptionnelles la suspension de certains flux de données peut être justifiée, indépendamment de la constatation d’un niveau de protection adéquat. |
|
(17) |
La Commission doit surveiller la mise en œuvre de la présente décision et faire part de toute constatation appropriée au comité institué par l’article 31 de la directive 95/46/CE. Cette surveillance doit porter, entre autres, sur le régime de la République orientale de l’Uruguay applicable aux transferts dans le cadre des traités internationaux. |
|
(18) |
Le groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué en vertu de l’article 29 de la directive 95/46/CE a émis un avis favorable sur le caractère adéquat du niveau de protection des données à caractère personnel, qui a été pris en considération lors de la préparation de la présente décision d’exécution (5). |
|
(19) |
Les mesures prévues dans la présente décision sont conformes à l’avis du comité institué par l’article 31, paragraphe 1, de la directive 95/46/CE, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article 1
1. Aux fins de l’article 25, paragraphe 2, de la directive 95/46/CE, la République orientale de l’Uruguay est considérée comme assurant un niveau de protection adéquat des données à caractère personnel transférées à partir de l’Union européenne.
2. L’autorité de contrôle compétente de la République orientale de l’Uruguay pour l’application des normes juridiques en matière de protection des données dans la République orientale de l’Uruguay est indiquée dans l’annexe de la présente décision.
Article 2
1. Sans préjudice des pouvoirs leur permettant de prendre des mesures pour assurer le respect des dispositions nationales adoptées conformément aux dispositions autres que l’article 25 de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent actuellement pour suspendre le transfert de données vers un destinataire établi en République orientale de l’Uruguay afin de protéger les personnes physiques à l’égard du traitement de données à caractère personnel qui les concerne dans les cas suivants:
|
a) |
une autorité compétente uruguayenne a constaté que le destinataire ne respecte pas les normes applicables en matière de protection; ou |
|
b) |
il est probable que les normes de protection ne sont pas respectées; il y a tout lieu de croire que l’autorité compétente uruguayenne ne prend pas ou ne prendra pas, en temps voulu, les mesures qui s’imposent pour régler le problème; la poursuite du transfert entraînerait un risque imminent de grave préjudice pour les personnes concernées, et les autorités compétentes de l’État membre se sont raisonnablement efforcées, dans ces circonstances, d’avertir le responsable du traitement dans la République orientale de l’Uruguay et de lui donner la possibilité de répondre. |
2. La suspension du transfert cesse dès que les normes de protection sont assurées et que l’autorité compétente dans les États membres concernés en est avertie.
Article 3
1. Les États membres informent sans tarder la Commission des mesures adoptées sur la base de l’article 2.
2. Les États membres et la Commission s’informent mutuellement des cas dans lesquels les mesures prises par les autorités de la République orientale de l’Uruguay chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.
3. Si les informations collectées au titre de l’article 2 et des paragraphes 1 et 2 du présent article montrent qu’un quelconque organisme chargé de faire respecter les normes de protection dans la République orientale de l’Uruguay ne remplit pas efficacement sa mission, la Commission en informe l’autorité compétente uruguayenne et, si nécessaire, présente un projet de mesures à prendre conformément à la procédure visée à l’article 31, paragraphe 2, de la directive 95/46/CE en vue d’annuler ou de suspendre la présente décision ou d’en limiter la portée.
Article 4
La Commission évalue la mise en œuvre de la présente décision et fait part de toute constatation appropriée au comité institué par l’article 31 de la directive 95/46/CE, et notamment de tout élément susceptible d’avoir une incidence sur l’appréciation faite à l’article 1er de la présente décision du niveau de protection adéquat assuré dans la République orientale de l’Uruguay au sens de l’article 25 de la directive 95/46/CE, ainsi que de tout élément montrant que la décision est appliquée de façon discriminatoire.
Article 5
Les États membres prennent toutes les mesures nécessaires pour se conformer à la décision dans les [trois mois] à compter de sa notification.
Article 6
Les États membres sont destinataires de la présente décision.
Fait à Bruxelles, le 21 août 2012.
Par la Commission
Viviane REDING
Vice-président
(1) JO L 281 du 23.11.1995, p. 31.
(2) Lettre du 31 août 2011.
(3) Organisation des États américains; O.E.A, recueil des traités no 36, 1144 U.N.T.S. 123. http://www.oas.org/juridico/english/treaties/b-32.html.
(4) Conseil de l’Europe: https://wcd.coe.int/ViewDoc.jsp?Ref=CM/Del/Dec(2011)1118/10.3&Language=lanFrench&Ver=original&Site=CM&BackColorInternet=DBDCF2&BackColorIntranet=FDC864&BackColorLogged=FDC864.
(5) Avis 6/2010 sur le niveau de protection des données à caractère personnel dans la République orientale de l’Uruguay. Disponible à l’adresse: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp177_fr.pdf.
ANNEXE
Autorité de contrôle compétente visée à l’article 1er, paragraphe 2, de la présente décision:
|
Unidad Reguladora y de Control de Datos Personales (URCDP), |
|
Andes 1365, Piso 8 |
|
Tél. +598 2901 2929 Int. 1352 |
|
11.100 Montevideo |
|
URUGUAY |
Adresse électronique de contact: http://www.datospersonales.gub.uy/sitio/contactenos.aspx.
Adresse électronique pour le dépôt de plaintes: http://www.datospersonales.gub.uy/sitio/denuncia.aspx.
Site internet: http://www.datospersonales.gub.uy/sitio/index.aspx.