Décision de la Commission

du 20 décembre 2001

constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la loi canadienne sur la protection des renseignements personnels et les documents électroniques

[notifiée sous le numéro C(2001) 4539]

(2002/2/CE)

LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,

vu le traité instituant la Communauté européenne,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(1), et notamment son article 25, paragraphe 6,

considérant ce qui suit:

(1) La directive 95/46/CE demande aux États membres de prévoir que le transfert de données à caractère personnel vers un pays tiers ne peut être effectué que si le pays tiers en question assure un niveau de protection adéquat et si les lois nationales mettant en oeuvre d'autres dispositions de la directive sont respectées avant le transfert.

(2) La Commission peut constater qu'un pays tiers assure un niveau de protection adéquat. Sur la base de ce constat, des données à caractère personnel peuvent être transférées à partir des États membres sans qu'aucune garantie supplémentaire ne soit nécessaire.

(3) La directive 95/46/CE demande que le niveau de protection des données soit apprécié au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et par rapport à certaines conditions. Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué par l'article 29 de la directive 95/46/CE, a donné des indications au sujet de cette appréciation(2).

(4) En raison des différentes approches retenues par les pays tiers en matière de protection des données, l'appréciation de l'adéquation doit être réalisée et toute décision fondée sur l'article 25, paragraphe 6, de la directive 95/46/CE arrêtée et mise en oeuvre d'une façon qui ne crée pas de discrimination arbitraire ou injustifiée à l'égard des pays tiers où des conditions similaires existent ou entre les pays tiers, ni ne constituent une entrave déguisée au commerce eu égard aux engagements internationaux actuels de la Communauté.

(5) La loi canadienne sur la protection des renseignements personnels et les documents électroniques (ci-après dénommée "la loi canadienne") du 13 avril 2000(3) s'applique aux organisations du secteur privé qui collectent, utilisent ou communiquent des données personnelles dans le cadre d'activités commerciales. Elle entre en vigueur en trois étapes:

Depuis le 1er janvier 2001, la loi canadienne s'applique aux renseignements personnels autres que les renseignements personnels en matière de santé, recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par des entreprises fédérales Ces organisations appartiennent à des secteurs tels que les lignes de transport aérien, les banques, les stations de radiodiffusion et de télédiffusion, le transport interprovincial et les télécommunications. La loi canadienne s'applique également à l'ensemble des organisations qui communiquent des renseignements personnels moyennant contrepartie au-delà des frontières provinciales ou nationales ainsi qu'aux renseignements personnels recueillis, utilisés ou communiqués par les mêmes organisations au sujet de leurs employés.

À compter du 1er janvier 2002, la loi canadienne s'appliquera aux renseignements personnels sur la santé pour les organisations et les activités visées à la première étape.

À compter du 1er janvier 2004, la loi canadienne s'appliquera à la collecte, à l'utilisation et à la communication dans le cadre de cette activité commerciale que celle-ci relève du gouvernement fédéral ou non. La loi canadienne ne s'appliquera pas aux institutions fédérales régies par la loi fédérale sur la protection des renseignements personnels ou aux organisations régies par le secteur public au niveau provincial, ni aux activités à but non lucratif et aux oeuvres charitables à moins qu'elles ne soient de nature commerciale. En outre, elle ne s'appliquera pas aux données relatives à l'emploi utilisées à des fins non commerciales autre que celles qui concernent les employés des entreprises fédérales. Le Commissaire fédéral canadien à la protection de la vie privée peut fournir de plus amples informations à ce sujet.

(6) Respectant le droit des provinces à légiférer dans leur domaine de compétence, la loi dispose que, lors de l'adoption de lois provinciales essentiellement similaires, une dérogation peut être accordée à des organisations ou activités visées par la législation provinciale sur la vie privée. Conformément au paragraphe 26 (2) de la loi canadienne, le gouverneur en conseil peut "s'il est convaincu qu'une loi provinciale essentiellement similaire à la présente partie s'applique à une organisation - ou catégorie d'organisations ou à une activité - ou catégorie d'activités -, exclure l'organisation, l'activité ou la catégorie de l'application de la présente partie à l'égard de la collecte, de l'utilisation ou de la communication de renseignements personnels qui s'effectue à l'intérieur de la province en cause". Le gouverneur en conseil (cabinet fédéral canadien) décide par décret en conseil des exclusions pour les lois essentiellement similaires.

(7) À chaque fois qu'une province adoptera une loi essentiellement similaire, les organisations, catégories d'organisations ou activités couvertes seront exclues de l'application du droit fédéral pour les transactions intraprovinciales; la loi fédérale continuera de s'appliquer à toutes les collectes, utilisations et communications interprovinciales et internationales de renseignements personnels ainsi qu'à tous les cas où les provinces n'ont pas adopté, en tout ou en partie, de loi essentiellement similaire.

(8) Le 29 juin 1984, le Canada a formellement adhéré aux Lignes directrices de l'OCDE régissant la protection de la vie privée et les flux transfrontières de données de 1980. Il a également souscrit aux Lignes directrices des Nations unies relatives au traitement électronique des données à caractère personnel, adoptées par l'Assemblée générale le 14 décembre 1990.

(9) La loi canadienne énonce l'ensemble des principes de base nécessaires à un niveau de protection adéquat pour les personnes physiques, même si elle prévoit des exceptions et des restrictions en vue de protéger des intérêts publics majeurs et de reconnaître certaines informations qui existent dans le domaine public. L'application de ces normes est garantie par des recours judiciaires et par un contrôle indépendant exercé par les autorités, telles que le Commissaire fédéral à la protection de la vie privée investi de pouvoirs d'enquête et d'exécution. En outre, les dispositions de la loi canadienne relatives à la responsabilité civile s'appliquent en cas de traitement illégal qui porte préjudice aux personnes concernées.

(10) Afin de contribuer à la transparence et en vue de garantir la capacité des autorités compétentes au sein des États membres d'assurer la protection des personnes physiques à l'égard du traitement des données à caractère personnel, il convient de préciser dans la décision les circonstances exceptionnelles dans lesquelles la suspension de flux particuliers de données peut être justifiée, indépendamment de la constatation du niveau de protection adéquat.

(11) Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué par l'article 29 de la directive 95/46/CE, a rendu un avis sur le niveau de protection assuré par la loi canadienne; il en a été tenu compte lors de l'élaboration de la présente décision(4).

(12) Les mesures prévues par la présente décision sont conformes à l'avis du comité institué par l'article 31 de la directive 95/46/CE,

A ARRÊTÉ LA PRÉSENTE DÉCISION:

Article premier

Aux fins de l'article 25, paragraphe 2, de la directive 95/46/CE, le Canada est considéré comme assurant un niveau de protection adéquat des données à caractère personnel transférées de la Communauté aux destinataires assujettis à la loi sur la protection des renseignements personnels et les documents électroniques (ci-après dénommée "la loi canadienne").

Article 2

La présente décision concerne uniquement le niveau de protection adéquat assuré au Canada par la loi canadienne en vue de répondre aux exigences de l'article 25, paragraphe 1, de la directive 95/46/CE et n'a aucune influence sur d'autres conditions ou restrictions mettant en application d'autres dispositions de la directive qui s'appliquent au traitement de données à caractère personnel dans les États membres.

Article 3

1. Sans préjudice des pouvoirs leur permettant de prendre les mesures pour assurer le respect des dispositions nationales adoptées conformément aux dispositions autres que l'article 25 de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent actuellement pour suspendre le transfert de données vers un destinataire établi au Canada dont les activités relèvent du champ d'application de la loi canadienne afin de protéger les personnes physiques à l'égard du traitement des données à caractère personnel qui les concernent dans les cas suivants:

a) une autorité canadienne compétente a constaté que le destinataire ne respecte pas les normes applicables en matière de protection;

b) il est très probable que les normes de protection ne sont pas respectées; il y a tout lieu de croire que l'autorité canadienne compétente ne prend pas ou ne prendra pas, en temps voulu, les mesures qui s'imposent pour régler l'affaire en question; la poursuite du transfert entraînerait un risque imminent de grave préjudice pour les personnes concernées et les autorités compétentes de l'État membre se sont raisonnablement efforcées dans ces circonstances d'avertir le responsable du traitement au Canada et de lui donner la possibilité de répondre.

La suspension du transfert cesse dès que les normes de protection sont assurées et que l'autorité compétente concernée dans la Communauté en est avertie.

2. Les États membres informent sans tarder la Commission des mesures adoptées sur la base du paragraphe 1.

3. Les États membres et la Commission s'informent aussi mutuellement des cas dans lesquels les mesures prises par les autorités canadiennes chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

4. Si les informations collectées en application des paragraphes 1, 2 et 3 montrent qu'un quelconque organisme chargé de faire respecter les normes de protection au Canada ne remplit pas efficacement sa mission, la Commission en informe l'autorité canadienne compétente et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.

Article 4

1. La présente décision pourra être adaptée à tout moment à la lumière de l'expérience tirée de son application ou en cas de modification de la législation canadienne, y compris les dispositions reconnaissant le caractère essentiellement similaire d'une loi provinciale. La Commission évalue sur la base des informations disponibles la mise en oeuvre de la présente décision trois ans après sa notification aux États membres et fera part de toute constatation appropriée au comité institué par l'article 31 de la directive 95/46/CE, et notamment de tout élément susceptible d'avoir une incidence sur l'appréciation au titre de l'article 1er de la présente décision du niveau de protection adéquat au Canada au sens de l'article 25 de la directive 95/46/CE et de tout élément montrant que la décision est appliquée de façon discriminatoire.

2. La Commission présente, si nécessaire, un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE.

Article 5

Les États membres prennent toutes les mesures nécessaires pour se conformer à la présente décision dans les quatre-vingt-dix jours à compter de sa notification aux États membres.

Article 6

Les États membres sont destinataires de la présente décision.

Fait à Bruxelles, le 20 décembre 2001.

Par la Commission

Frederik Bolkestein

Membre de la Commission

(1) JO L 281 du 23.11.1995, p. 31.

(2) WP 12: Transferts de données personnelles vers les pays tiers: application des articles 25 et 26 de la directive communautaire sur la protection des données, avis émis par le groupe de travail le 24 juillet 1998, disponible à l'adresse suivante: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12fr.pdf

(3) L'édition électronique (papier et Internet) de la loi est disponible à l'adresse suivante: http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-E.html et http://www.parl.gc.ca/36/2/parlbus/chambus/house/bills/government/C-6/C-6_4/C-6_cover-F.html. Les versions imprimées sont disponibles à Travaux publics et services gouvernementaux Canada - Publications, Ottawa, Canada K1A 0S9.

(4) Avis 2/2001 sur le niveau de protection garanti par la loi canadienne sur la protection des renseignements personnels et les documents électroniques, groupe "article 39" du 26 janvier 2001, disponible à l'adresse suivante: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp39fr.pdf