Décision de la Commission

du 26 juillet 2000

relative à la constatation, conformément à la directive 95/46/CE du Parlement européen et du Conseil, du caractère adéquat de la protection des données à caractère personnel en Suisse

[notifiée sous le numéro C(2000) 2304]

(Texte présentant de l'intérêt pour l'EEE)

(2000/518/CE)

LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,

vu le traité instituant la Communauté européenne,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(1), et notamment son article 25, paragraphe 6,

considérant ce qui suit:

(1) Conformément à la directive 95/46/CE, les États membres sont tenus de veiller à ce que les transferts de données à caractère personnel vers un pays tiers n'aient lieu que si le pays tiers en question assure un niveau de protection adéquat et si les lois des États membres qui mettent en oeuvre d'autres dispositions de la directive sont respectées avant le transfert.

(2) La Commission peut constater qu'un pays tiers assure un niveau de protection adéquat. Dans ce sens, des données à caractère personnel peuvent être transférées à partir des États membres, sans qu'aucune garantie supplémentaire ne soit nécessaire.

(3) Conformément à la directive 95/46/CE, le niveau de protection des données à caractère personnel doit être apprécié au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et compte tenu de conditions déterminées. Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par ladite directive a donné des indications sur ces évaluations(2).

(4) Compte tenu des différentes approches retenues par les pays tiers en matière de protection des données à caractère personnel, il convient de faire en sorte que l'évaluation du caractère adéquat de cette protection et l'application de toute décision au titre de l'article 25, paragraphe 6, de la directive 95/46/CE ne créent pas de discrimination arbitraire ou injustifiée à l'égard de pays tiers où des conditions similaires existent ou entre les pays tiers, et ne constituent pas une entrave déguisée aux échanges eu égard aux engagements internationaux actuels de la Communauté.

(5) La Confédération suisse dispose, en matière de protection des données à caractère personnel, de normes produisant des effets juridiques contraignants tant au niveau fédéral que cantonal.

(6) La constitution fédérale, modifiée par votation populaire le 18 avril 1999 et entrée en vigueur le 1er janvier 2000, donne à toute personne le droit au respect de sa vie privée et, en particulier, le droit d'être protégée contre l'emploi abusif des données qui la concernent. Sur la base de la constitution antérieure, qui ne contenait pas une telle disposition, le Tribunal fédéral a développé une jurisprudence fixant les principes généraux applicables aux traitements de données à caractère personnel en ce qui concerne notamment la qualité des données traitées, le droit d'accès des personnes concernées et le droit de demander la rectification ou la destruction des données. Ces principes sont contraignants tant au niveau fédéral que cantonal.

(7) La loi suisse sur la protection des données du 19 juin 1992 est entrée en vigueur le 1er juillet 1993. Les modalités d'application de certaines dispositions de la loi en ce qui concerne notamment le droit d'accès des personnes concernées, la déclaration des traitements à l'autorité de contrôle indépendante ou la communication de données à l'étranger, ont été fixées par ordonnances du Conseil fédéral. La loi s'applique aux traitements de données à caractère personnel effectués par les organes fédéraux et par l'ensemble du secteur privé, ainsi qu'aux traitements effectués par les organes cantonaux en exécution du droit fédéral, dans la mesure où ces traitements ne font pas l'objet de dispositions cantonales sur la protection des données.

(8) La plupart des cantons ont adopté une législation en matière de protection des données pour les domaines relevant de leurs compétences, lesquels concernent en particulier les hôpitaux publics, l'éducation, les impôts cantonaux directs et la police. Dans les autres cantons, les traitements sont régis par des actes de nature réglementaire ou par les principes de la jurisprudence cantonale. Quels que soient la source et le contenu des dispositions cantonales ou même en l'absence de dispositions cantonales, les principes constitutionnels doivent être respectés par les cantons. Dans leur domaine de compétence, les autorités cantonales peuvent être amenées à transférer des données à caractère personnel à des administrations publiques d'États limitrophes, principalement à des fins d'assistance mutuelle pour la sauvegarde d'intérêts publics importants ou, s'agissant des hôpitaux publics, en vue de protéger les intérêts essentiels des personnes concernées.

(9) Le 2 octobre 1997, la Suisse a ratifié la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement des données à caractère personnel (convention n° 108)(3) qui vise à renforcer la protection des données à caractère personnel et à assurer la libre circulation entre les parties contractantes, sous réserve de dérogations que celles-ci peuvent prévoir. Sans être directement applicable, la convention fixe des engagements internationaux aussi bien à l'égard de la fédération que des cantons. Ces engagements concernent non seulement les principes fondamentaux de la protection auxquels chaque partie contractante doit donner effet dans son droit interne, mais aussi les mécanismes de coopération entre les parties contractantes. En particulier, les autorités suisses compétentes doivent fournir aux autorités des autres parties contractantes qui en font la demande toute information sur le droit et la pratique administrative en matière de protection des données, ainsi que les informations concernant un traitement automatisé déterminé. Elles doivent également prêter assistance à toute personne résidant à l'étranger pour l'exercice de son droit d'être informée de l'existence de traitements de données la concernant, d'accéder aux données la concernant, d'en demander la rectification ou la destruction, et de disposer de voies de recours.

(10) Les normes applicables en Suisse englobent tous les principes fondamentaux nécessaires pour constater un niveau de protection adéquat des personnes physiques, même si des dérogations et des limitations sont également prévues pour la sauvegarde d'intérêts publics importants. L'application de ces normes est garantie par les recours juridictionnels et par le contrôle indépendant exercé par les autorités, notamment par le préposé fédéral doté de pouvoirs d'investigation et d'intervention. Par ailleurs, les dispositions du droit suisse relatives à la responsabilité civile s'appliquent en cas de traitement illicite portant préjudice aux personnes concernées.

(11) Dans un souci de transparence et en vue de permettre aux autorités compétentes des États membres d'assurer la protection des individus en ce qui concerne le traitement des données à caractère personnel, il est nécessaire d'indiquer dans la présente décision dans quelles circonstances exceptionnelles la suspension de certains flux de données peut être justifiée, même lorsque le niveau de protection assuré a été jugé adéquat.

(12) Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué à l'article 29 de la directive 95/46/CE a rendu un avis(4) sur le niveau de protection assuré par la législation suisse; il en a été tenu compte lors de l'élaboration de la présente décision.

(13) Les mesures prises par la présente décision sont conformes à l'avis du comité institué à l'article 31 de la directive 95/46/CE,

A ARRÊTÉ LA PRÉSENTE DÉCISION:

Article premier

Aux fins de l'article 25, paragraphe 2, de la directive 95/46/CE, la Suisse est considérée comme offrant un niveau de protection adéquat des données à caractère personnel transférées à partir de la Communauté pour toutes les activités entrant dans le champ d'application de ladite directive.

Article 2

La présente décision concerne uniquement le caractère adéquat de la protection assurée en Suisse en vue de répondre aux exigences de l'article 25, paragraphe 1, de la directive 95/46/CE et n'affecte pas l'application d'autres conditions ou restrictions transposant d'autres dispositions de ladite directive qui se rapportent au traitement de données à caractère personnel dans les États membres.

Article 3

1. Sans préjudice de leurs pouvoirs de prendre des mesures visant à assurer le respect des dispositions nationales adoptées en application de dispositions autres que celles de l'article 25 de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent pour suspendre les transferts de données à un destinataire situé en Suisse afin de protéger les personnes en ce qui concerne le traitement de leurs données à caractère personnel dans les cas suivants:

a) lorsqu'une autorité suisse compétente a constaté que le destinataire ne respecte pas les normes applicables en matière de protection ou

b) lorsqu'il est très probable que les normes de protection n'ont pas été respectées, qu'il y a tout lieu de croire que l'autorité suisse compétente ne prend pas ou ne prendra pas en temps voulu les mesures qui s'imposent pour régler l'affaire en question, que la poursuite du transfert entraînerait un risque imminent de grave préjudice pour les personnes concernées et que les autorités compétentes de l'État membre se sont raisonnablement efforcées dans ces circonstances d'avertir le responsable du traitement établi en Suisse et de lui donner la possibilité de répondre.

La suspension cesse dès que le respect des normes de protection est assuré et que l'autorité compétente concernée dans la Communauté en est avertie.

2. Les États membres informent sans tarder la Commission des mesures adoptées au titre du paragraphe 1.

3. Les États membres et la Commission s'informent muellement des cas dans lesquels les mesures prises par les organismes chargés de veiller au respect des normes de protection en Suisse ne suffisent pas à assurer ce respect.

4. Si les informations collectées en application des paragraphes 1, 2 et 3 montrent qu'un organisme chargé de faire respecter les normes de protection en Suisse ne remplit pas efficacement sa mission, la Commission en informe l'autorité suisse compétente et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31 de la directive 95/46/CE en vue d'abroger ou de suspendre la présente décision ou d'en limiter la portée.

Article 4

1. La présente décision peut être adaptée à tout moment à la lumière de l'expérience tirée de son application ou en cas de modification de la législation suisse.

La Commission évalue, sur la base des informations disponibles, la mise en oeuvre de la présente décision trois ans après sa notification aux États membres et communique au comité institué à l'article 31 de la directive 95/46/CE toute constatation pertinente, et notamment tout élément susceptible d'avoir une incidence sur l'évaluation faite à l'article 1er de la présente décision du niveau de protection adéquat assuré en Suisse au sens de l'article 25 de la directive 95/46/CE et tout élément montrant que la présente décision est appliquée de façon discriminatoire.

2. La Commission présente, si nécessaire, un projet des mesures à prendre conformément à la procédure visée à l'article 31 de la directive 95/46/CE.

Article 5

Les États membres prennent toutes les mesures nécessaires pour se conformer à la présente décision au plus tard quatre-vingt-dix jours après la date de sa notification aux États membres.

Article 6

Les États membres sont destinataires de la présente décision.

Fait à Bruxelles, le 26 juillet 2000.

Par la Commission

Frederik Bolkestein

Membre de la Commission

(1) JO L 281 du 23.11.1995, p. 31.

(2) Avis 12/98, adopté par le groupe le 24 juillet 1998: "Transferts de données personnelles vers des pays tiers: Application des articles 25 et 26 de la directive relative à la protection des données" (DG MARKT D/5025/98), disponible sur le site Web "Europa" de la Commission - http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

(3) http://conventions.coe.int/treaty/EN/cadreintro.htm

(4) Avis n° 5/99, adopté par le groupe le 7 juin 1999 (DG MARKT 5054/99), disponible sur le site Web "Europa" de la Commission indiqué à la note 2 de bas de page.