EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32016D2295

Décision d'exécution (UE) 2016/2295 de la Commission du 16 décembre 2016 modifiant les décisions 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE et 2011/61/UE, et les décisions d'exécution 2012/484/UE et 2013/65/UE constatant, conformément à l'article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par certains pays [notifiée sous le numéro C(2016) 8353] (Texte présentant de l'intérêt pour l'EEE )

C/2016/8353

OJ L 344, 17.12.2016, p. 83–91 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec_impl/2016/2295/oj

17.12.2016   

FR

Journal officiel de l'Union européenne

L 344/83


DÉCISION D'EXÉCUTION (UE) 2016/2295 DE LA COMMISSION

du 16 décembre 2016

modifiant les décisions 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE et 2011/61/UE, et les décisions d'exécution 2012/484/UE et 2013/65/UE constatant, conformément à l'article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par certains pays

[notifiée sous le numéro C(2016) 8353]

(Texte présentant de l'intérêt pour l'EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1), et notamment son article 25, paragraphe 6,

après consultation du Contrôleur européen de la protection des données,

considérant ce qui suit:

(1)

Dans son arrêt du 6 octobre 2015 dans l'affaire C-362/14, Maximillian Schrems/Data Protection Commissioner (2), la Cour de justice de l'Union européenne a constaté qu'en adoptant l'article 3 de la décision 2000/520/CE (3), la Commission a outrepassé la compétence qui lui est attribuée à l'article 25, paragraphe 6, de la directive 95/46/CE, lu à la lumière de la Charte des droits fondamentaux de l'Union européenne, et a déclaré que l'article 3 de la décision était de ce fait invalide.

(2)

L'article 3, paragraphe 1, premier alinéa, de la décision 2000/520/CE fixait les conditions restrictives dans lesquelles les autorités nationales de contrôle pouvaient décider de suspendre les flux de données vers une entreprise américaine autocertifiée, nonobstant la constatation par la Commission du caractère adéquat du niveau de protection.

(3)

Dans son arrêt Schrems, la Cour de justice a précisé que les autorités nationales de contrôle demeurent compétentes pour contrôler le transfert de données à caractère personnel vers un pays tiers ayant fait l'objet d'une décision de la Commission constatant le caractère adéquat du niveau de protection (aussi appelée «décision d'adéquation») et que cette dernière n'est pas compétente pour réduire les pouvoirs reconnus par l'article 28 de la directive 95/46/CE. Aux termes de cet article, les autorités en question disposent, notamment, de pouvoirs d'investigation, tels que celui de recueillir toutes les informations nécessaires à l'accomplissement de leur mission de contrôle, de pouvoirs effectifs d'intervention, tels que celui d'interdire temporairement ou définitivement un traitement de données, et du pouvoir d'ester en justice (4).

(4)

La Cour de justice a rappelé dans l'arrêt Schrems que, conformément à l'article 25, paragraphe 6, second alinéa, de la directive 95/46/CE, les États membres et leurs organes doivent prendre les mesures nécessaires pour se conformer aux actes des institutions de l'Union, car ces derniers jouissent, en principe, d'une présomption de légalité et produisent, dès lors, des effets juridiques aussi longtemps qu'ils n'ont pas été retirés, annulés dans le cadre d'un recours en annulation ou déclarés invalides à la suite d'un renvoi préjudiciel ou d'une exception d'illégalité.

(5)

En conséquence, une décision d'adéquation de la Commission adoptée sur le fondement de l'article 25, paragraphe 6, de la directive 95/46/CE a un caractère contraignant pour tous les organes des États membres destinataires, y compris leurs autorités de surveillance indépendantes, en ce qu'elle a pour effet d'autoriser des transferts de données à caractère personnel depuis les États membres vers le pays tiers visé par celle-ci (5). Il s'ensuit que les autorités nationales de contrôle, ne sauraient adopter des mesures contraires à une décision d'adéquation de la Commission, telles que des actes déclarant cette décision invalide ou des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n'assure pas un niveau de protection adéquat. Comme l'a précisé l'arrêt Schrems, cela n'empêche pas une autorité nationale de contrôle d'examiner la demande d'une personne relative au niveau de protection de ses données à caractère personnel assuré dans un pays tiers visé par une décision d'adéquation de la Commission et, si elle l'estime pertinent, d'engager un recours devant les juridictions nationales afin que ces dernières, si elles partagent les doutes de cette autorité quant à la validité de la décision de la Commission, procèdent à un renvoi préjudiciel aux fins de l'examen de la validité de cette décision (6).

(6)

Les décisions de la Commission 2000/518/CE (7), 2002/2/CE (8), 2003/490/CE (9), 2003/821/CE (10), 2004/411/CE (11), 2008/393/CE (12), 2010/146/UE (13), 2010/625/UE (14) et 2011/61/UE (15), et les décisions d'exécution de la Commission 2012/484/UE (16) et 2013/65/UE (17) de la Commission, qui sont des décisions d'adéquation, prévoient une limitation des pouvoirs des autorités nationales de contrôle qui est comparable à celle figurant à l'article 3, paragraphe 1, premier alinéa, de la décision 2000/520/CE, déclarée invalide par la Cour de justice.

(7)

Eu égard à l'arrêt Schrems et conformément à l'article 266 du traité, les dispositions de ces décisions limitant les pouvoirs des autorités nationales de contrôle devraient donc être remplacées.

(8)

Dans l'arrêt Schrems, la Cour a également précisé que, le niveau de protection assuré par un pays tiers étant susceptible d'évoluer, il incombe à la Commission, après l'adoption d'une décision au titre de l'article 25, paragraphe 6, de la directive 95/46/CE, de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit (18). Compte tenu des conclusions dudit arrêt concernant l'accès des autorités publiques aux données à caractère personnel, le droit et les pratiques régissant cet accès devraient également faire l'objet d'un contrôle.

(9)

Par conséquent, pour les pays ayant fait l'objet d'une décision constatant le caractère adéquat du niveau de protection, la Commission suivra de manière permanente, sur le plan du droit et des pratiques, les évolutions susceptibles d'entraver le fonctionnement de telles décisions, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel.

(10)

Pour que le fonctionnement des décisions actuellement en vigueur constatant le caractère adéquat du niveau de protection puisse être contrôlé efficacement, la Commission devrait être informée par les États membres des mesures pertinentes prises par les autorités nationales de contrôle.

(11)

Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué par l'article 29 de la directive 95/46/CE, a rendu un avis qui a été pris en compte lors de l'élaboration de la présente décision.

(12)

Les mesures prévues dans la présente décision sont conformes à l'avis du comité institué par l'article 31, paragraphe 1, de la directive 95/46/CE.

(13)

Il convient donc de modifier les décisions 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE et 2011/61/UE, et les décisions d'exécution 2012/484/UE et 2013/65/UE en conséquence,

A ADOPTÉ LA PRÉSENTE DÉCISION:

Article premier

La décision 2000/518/CE est modifiée comme suit:

1)

L'article 3 est remplacé par le texte suivant:

«Article 3

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers la Suisse afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.»

2)

L'article 3 bis suivant est inséré:

«Article 3 bis

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique suisse susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si la Suisse continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités suisses chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques suisses responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité suisse compétente et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 2

La décision 2002/2/CE est modifiée comme suit:

1)

L'article 3 est remplacé par le texte suivant:

«Article 3

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers un destinataire au Canada dont les activités relèvent de la loi canadienne sur la protection des renseignements personnels et les documents électroniques, afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.»

2)

L'article 3 bis suivant est inséré:

«Article 3 bis

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique canadien susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si le Canada continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités canadiennes chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques canadiennes responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations couvertes par les paragraphes 2 et 3 du présent article, la Commission en informe l'autorité canadienne compétente et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 3

La décision 2003/490/CE est modifiée comme suit:

1)

L'article 3 est remplacé par le texte suivant:

«Article 3

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers l'Argentine afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.»

2)

L'article 3 bis suivant est inséré:

«Article 3 bis

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique argentin susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si l'Argentine continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités argentines chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques argentines responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité argentine compétente et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 4

Les articles 3 et 4 de la décision 2003/821/CE sont remplacés par le texte suivant:

«Article 3

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers le Bailliage de Guernesey afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 4

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique de Guernesey susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si Guernesey continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités de Guernesey chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques de Guernesey responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité compétente de Guernesey et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 5

Les articles 3 et 4 de la décision 2004/411/CE sont remplacés par le texte suivant:

«Article 3

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers l'Île de Man afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 4

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique de l'Île de Man susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si l'Île de Man continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités de l'Île de Man chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques de l'Île de Man responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité compétente de l'Île de Man et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 6

Les articles 3 et 4 de la décision 2008/393/CE sont remplacés par le texte suivant:

«Article 3

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers Jersey afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 4

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique de Jersey susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si Jersey continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les autorités de Jersey chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques de Jersey responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité compétente de Jersey et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 7

Les articles 3 et 4 de la décision 2010/146/UE sont remplacés par le texte suivant:

«Article 3

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers un destinataire aux Îles Féroé dont les activités relèvent de la loi des Îles Féroé sur le traitement des données à caractère personnel, afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 4

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique féroïen susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si les Îles Féroé continuent d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités féroïennes chargées de faire respecter les normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques féroïennes responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité compétente féroïenne et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 8

Les articles 3 et 4 de la décision 2010/625/UE sont remplacés par le texte suivant:

«Article 3

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers l'Andorre afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 4

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique andorran susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si l'Andorre continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités andorranes chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques andorranes responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité compétente andorrane et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 9

Les articles 3 et 4 de la décision 2011/61/UE sont remplacés par le texte suivant:

«Article 3

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers l'État d'Israël afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 4

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique israélien susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si l'État d'Israël continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités israéliennes chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques israéliennes responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité compétente israélienne et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 10

Les articles 2 et 3 de la décision d'exécution 2012/484/UE sont remplacés par le texte suivant:

«Article 2

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers la République orientale de l'Uruguay afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 3

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique de la République orientale de l'Uruguay susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si la République orientale de l'Uruguay continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités de la République orientale de l'Uruguay chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques uruguayennes responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité compétente uruguayenne et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 11

Les articles 2 et 3 de la décision d'exécution 2013/65/UE sont remplacés par le texte suivant:

«Article 2

Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers la Nouvelle-Zélande afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 3

1.   La Commission suit, de manière permanente, les évolutions de l'ordre juridique néo-zélandais susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si la Nouvelle-Zélande continue d'assurer un niveau de protection adéquat des données à caractère personnel.

2.   Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités néo-zélandaises chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.

3.   Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques néo-zélandaises responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature.

4.   Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité compétente néo-zélandaise et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.»

Article 12

Les États membres sont destinataires de la présente décision.

Fait à Bruxelles, le 16 décembre 2016.

Par la Commission

Věra JOUROVÁ

Membre de la Commission


(1)  JO L 281 du 23.11.1995, p. 31.

(2)  ECLI:EU:C:2015:650.

(3)  Décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique (JO L 215 du 25.8.2000, p. 7).

(4)  Arrêt Schrems, points 40 et suivants et points 101 à 103.

(5)  Arrêt Schrems, points 51, 52 et 62.

(6)  Arrêt Schrems, points 52, 62 et 65.

(7)  Décision 2000/518/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la constatation du caractère adéquat de la protection des données à caractère personnel en Suisse (JO L 215 du 25.8.2000, p. 1).

(8)  Décision 2002/2/CE de la Commission du 20 décembre 2001 conformément à la directive 95/46/CE du Parlement européen et du Conseil constatant le niveau de protection adéquat des données à caractère personnel assuré par la loi canadienne sur la protection des renseignements personnels et les documents électroniques (JO L 2 du 4.1.2002, p. 13).

(9)  Décision 2003/490/CE de la Commission du 30 juin 2003 conformément à la directive 95/46/CE du Parlement européen et du Conseil constatant le niveau de protection adéquat des données à caractère personnel assuré par l'Argentine (JO L 168 du 5.7.2003, p. 19).

(10)  Décision 2003/821/CE de la Commission du 21 novembre 2003 constatant le niveau de protection adéquat des données à caractère personnel à Guernesey (JO L 308 du 25.11.2003, p. 27).

(11)  Décision 2004/411/CE de la Commission du 28 avril 2004 constatant le niveau de protection adéquat des données à caractère personnel dans l'Île de Man (JO L 151 du 30.4.2004, p. 48).

(12)  Décision 2008/393/CE de la Commission du 8 mai 2008 conformément à la directive 95/46/CE du Parlement européen et du Conseil constatant le niveau de protection adéquat des données à caractère personnel assuré à Jersey (JO L 138 du 28.5.2008, p. 21).

(13)  Décision 2010/146/UE de la Commission du 5 mars 2010 conformément à la directive 95/46/CE du Parlement européen et du Conseil constatant le niveau de protection adéquat assuré par la loi des Îles Féroé relative au traitement des données à caractère personnel (JO L 58 du 9.3.2010, p. 17).

(14)  Décision 2010/625/UE de la Commission du 19 octobre 2010 conformément à la directive 95/46/CE du Parlement européen et du Conseil constatant le niveau de protection adéquat des données à caractère personnel assuré en Andorre (JO L 277 du 21.10.2010, p. 27).

(15)  Décision 2011/61/UE de la Commission du 31 janvier 2011 conformément à la directive 95/46/CE du Parlement européen et du Conseil constatant le niveau de protection adéquat des données à caractère personnel assuré par l'État d'Israël concernant le traitement automatisé des données à caractère personnel (JO L 27 du 1.2.2011, p. 39).

(16)  Décision 2012/484/UE de la Commission du 21 août 2012 conformément à la directive 95/46/CE du Parlement européen et du Conseil constatant le niveau de protection adéquat des données à caractère personnel assuré par la République orientale de l'Uruguay concernant le traitement automatisé des données à caractère personnel (JO L 227 du 23.8.2012, p. 11).

(17)  Décision 2013/65/UE de la Commission du 19 décembre 2012 conformément à la directive 95/46/CE du Parlement européen et du Conseil constatant le niveau de protection adéquat des données à caractère personnel assuré par la Nouvelle-Zélande (JO L 28 du 30.1.2013, p. 12).

(18)  Arrêt Schrems, point 76. Une telle vérification s'impose, en tout état de cause, lorsque la Commission a connaissance d'informations faisant naître un doute justifié à cet égard.


Top