32003D0821

2003/821/CE: Décision de la Commission du 21 novembre 2003 constatant le niveau de protection adéquat des données à caractère personnel à Guernesey (Texte présentant de l'intérêt pour l'EEE) [notifiée sous le numéro C(2003) 4309]

Journal officiel n° L 308 du 25/11/2003 p. 0027 - 0028


Décision de la Commission

du 21 novembre 2003

constatant le niveau de protection adéquat des données à caractère personnel à Guernesey

[notifiée sous le numéro C(2003) 4309]

(Texte présentant de l'intérêt pour l'EEE)

(2003/821/CE)

LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,

vu le traité instituant la Communauté européenne,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(1), et notamment son article 25, paragraphe 6,

vu l'avis du groupe de protection des personnes à l'égard du traitement des données à caractère personnel(2),

considérant ce qui suit:

(1) La directive 95/46/CE demande aux États membres de prévoir que le transfert de données à caractère personnel vers un pays tiers ne peut être effectué que si le pays tiers en question assure un niveau de protection adéquat et si les lois nationales mettant en oeuvre d'autres dispositions de la directive sont respectées avant le transfert.

(2) La Commission peut constater qu'un pays tiers assure un niveau de protection adéquat. Sur la base de ce constat, des données à caractère personnel peuvent être transférées à partir des États membres sans qu'aucune garantie supplémentaire ne soit nécessaire.

(3) La directive 95/46/CE demande que le niveau de protection des données soit apprécié au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transfert de données et par rapport à certaines conditions, énumérées à son article 25, paragraphe 2.

(4) En raison des différentes approches retenues par les pays tiers en matière de protection des données, l'appréciation de l'adéquation doit être réalisée et toute décision fondée sur l'article 25, paragraphe 6, de la directive 95/46/CE arrêtée et mise en oeuvre d'une façon qui ne crée pas de discrimination arbitraire ou injustifiée à l'égard des pays tiers où des conditions similaires existent ou entre les pays tiers ni ne constitue une entrave déguisée au commerce eu égard aux engagements internationaux actuels de la Communauté.

(5) Le bailliage de Guernesey est l'une des dépendances de la Couronne britannique (il ne fait pas partie du Royaume-Uni et n'est pas une colonie) qui jouit d'une totale indépendance, sauf en matière de relations internationales et de défense, domaines qui sont de la compétence du gouvernement du Royaume-Uni. En conséquence, le bailliage de Guernesey est considéré comme un pays tiers au sens de la directive.

(6) Avec effet à compter d'août 1987, la ratification par le Royaume-Uni de la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement des données à caractère personnel (convention n° 108) a été étendue au bailliage de Guernesey.

(7) En ce qui concerne le bailliage de Guernesey, les normes juridiques applicables à la protection des données à caractère personnel basées sur les normes définies par la directive 95/46/CE ont été introduites par la loi sur la protection des données (bailliage de Guernesey) de 2001 [Data Protection (Bailiwick of Guernsey) Law, 2001)] qui est entrée en vigueur le 1er août 2002.

(8) Seize actes réglementaires (orders) ont également été adoptés à Guernesey en 2002; ils établissent les dispositions spécifiques concernant des questions telles que l'accès, le traitement de données sensibles et la notification à l'autorité de protection des données. Ces actes complètent la loi.

(9) Les normes de droit applicables à Guernesey englobent tous les principes fondamentaux nécessaires pour constater un niveau de protection adéquat des personnes physiques. L'application de ces normes est garantie par les recours juridictionnels et par le contrôle indépendant exercé par les autorités, telles que le commissaire à la protection des données doté de pouvoirs d'investigation et d'intervention.

(10) Il convient de considérer en conséquence que Guernesey assure un niveau de protection adéquat des données à caractère personnel, tel que mentionné par la directive 95/46/CE.

(11) Afin de contribuer à la transparence et en vue de garantir la capacité des autorités compétentes au sein des États membres d'assurer la protection des personnes physiques à l'égard du traitement de leurs données à caractère personnel, il convient de préciser les circonstances exceptionnelles dans lesquelles la suspension de flux particuliers de données peut être justifiée, indépendamment de la constatation du niveau de protection adéquat.

(12) Les mesures prévues à la présente décision sont conformes à l'avis du comité institué par l'article 31, paragraphe 1, de la directive 95/46/CE,

A ARRÊTÉ LA PRÉSENTE DÉCISION:

Article premier

Aux fins de l'article 25, paragraphe 2, de la directive 95/46/CE, le bailliage de Guernesey est considéré comme assurant un niveau de protection adéquat des données à caractère personnel transférées de la Communauté.

Article 2

La présente décision ne concerne que le niveau de protection adéquat assuré à Guernesey en vue de répondre aux exigences de l'article 25, paragraphe 1, de la directive 95/46/CE et n'a aucune influence sur d'autres conditions ou restrictions mettant en application d'autres dispositions de la directive qui s'appliquent au traitement de données à caractère personnel dans les États membres.

Article 3

1. Sans préjudice des pouvoirs leur permettant de prendre les mesures pour assurer le respect des dispositions nationales adoptées conformément aux dispositions autres que l'article 25 de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent actuellement pour suspendre le transfert de données vers un destinataire établi à Guernesey afin de protéger les personnes physiques à l'égard du traitement de données à caractère personnel qui les concerne dans les cas suivants:

a) une autorité compétente de Guernesey a constaté que le destinataire ne respecte pas les normes applicables en matière de protection;

b) il est probable que les normes de protection ne sont pas respectées; il y a tout lieu de croire que l'autorité compétente de Guernesey ne prend pas ou ne prendra pas, en temps voulu, les mesures qui s'imposent pour régler l'affaire en question; la poursuite du transfert entraînerait un risque imminent de grave préjudice pour les personnes concernées et les autorités compétentes de l'État membre se sont raisonnablement efforcées dans ces circonstances d'avertir le responsable du traitement à Guernesey et de lui donner la possibilité de répondre.

2. La suspension du transfert cesse dès que les normes de protection sont assurées et que l'autorité compétente dans les États membres concernés en est avertie.

Article 4

1. Les États membres informent sans tarder la Commission des mesures adoptées sur la base de l'article 3.

2. Les États membres et la Commission s'informent aussi mutuellement des cas dans lesquels les mesures prises par les autorités chargées de veiller au respect des normes de protection à Guernesey ne suffisent pas à assurer le respect.

3. Si les informations collectées au titre de l'article 3 et des paragraphes 1 et 2 du présent article montrent qu'un quelconque organisme chargé de faire respecter les normes de protection à Guernesey ne remplit pas efficacement sa mission, la Commission en informe l'autorité compétente de Guernesey et, si nécessaire, présente un projet de mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.

Article 5

La Commission évalue la mise en oeuvre de la présente décision et fera part de toute constatation appropriée au comité institué par l'article 31 de la directive 95/46/CE, et notamment de tout élément susceptible d'avoir une incidence sur l'appréciation au titre de l'article 1er de la présente décision du niveau de protection adéquat à Guernesey au sens de l'article 25 de la directive 95/46/CE et de tout élément montrant que la décision est appliquée de façon discriminatoire.

Article 6

Les États membres prennent toutes les mesures nécessaires pour se conformer à la décision dans les quatre mois à compter de sa notification.

Article 7

Les États membres sont destinataires de la présente décision.

Fait à Bruxelles, le 21 novembre 2003.

Par la Commission

Frederik Bolkestein

Membre de la Commission

(1) JO L 281 du 23.11.1995, p. 31.

(2) Avis 5/2003 relatif au niveau de protection des données à caractère personnel à Guernesey, adopté par le groupe le 13 juin 2003, disponible à l'adresse: http://europa.eu.int/comm/ internal_market/privacy/docs/ wpdocs/2003/wp79_fr.pdf