32001D0497

2001/497/CE: Décision de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE (Texte présentant de l'intérêt pour l'EEE) [notifiée sous le numéro C(2001) 1539]

Journal officiel n° L 181 du 04/07/2001 p. 0019 - 0031


Décision de la Commission

du 15 juin 2001

relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE

[notifiée sous le numéro C(2001) 1539]

(Texte présentant de l'intérêt pour l'EEE)

(2001/497/CE)

LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,

vu le traité instituant la Communauté européenne,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(1), et notamment son article 26, paragraphe 4,

considérant ce qui suit:

(1) Conformément à la directive 95/46/CE, les États membres sont tenus de veiller à ce qu'un transfert de données à caractère personnel vers un pays tiers ne puisse avoir lieu que si le pays en question assure un niveau de protection adéquat des données et si les lois des États membres, qui sont conformes aux autres dispositions de la directive, sont respectées avant le transfert.

(2) Toutefois, l'article 26, paragraphe 2, de la directive 95/46/CE prévoit que les États membres peuvent autoriser, sous certaines garanties, un transfert, ou un ensemble de transferts, de données à caractère personnel vers des pays tiers n'assurant pas un niveau de protection adéquat. Ces garanties doivent notamment résulter de clauses contractuelles appropriées.

(3) Conformément à la directive 95/46/CE, le niveau de protection des données doit s'apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts. Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel instauré au titre de ladite directive(2) a publié des lignes directrices afin de faciliter l'évaluation(3).

(4) L'article 26, paragraphe 2, de la directive 95/46/CE, qui assure la flexibilité à une organisation qui souhaite transférer des données vers des pays tiers, et l'article 6, paragraphe 4, qui prévoit des clauses contractuelles types, sont essentiels pour assurer le flux nécessaire de données à caractère personnel entre la Communauté et les pays tiers sans imposer de charges inutiles aux opérateurs économiques. Lesdits articles sont particulièrement importants étant donné que la Commission n'adoptera probablement des mécanismes attestant le niveau adéquat de protection des données, conformément à l'article 25, paragraphe 6, que pour un nombre limité de pays à court terme ou même à moyen terme.

(5) Les clauses contractuelles types ne constituent qu'une des diverses possibilités prévues par la directive 95/46/CE pour transférer de manière licite des données à caractère personnel conjointement à l'article 25 et à l'article 26, paragraphes 1 et 2. En intégrant ces clauses contractuelles dans un contrat, les organisations pourront transférer beaucoup plus aisément des données à caractère personnel vers des pays tiers. Les clauses contractuelles types ne concernent que la protection des données et l'exportateur et l'importateur sont libres d'inclure d'autres clauses à caractère commercial, comme des clauses d'assistance mutuelle en cas de litiges avec une personne concernée ou une autorité de contrôle, qu'ils jugent pertinentes pour le contrat à condition qu'elles ne contredisent pas les clauses contractuelles types.

(6) La présente décision ne doit pas affecter les autorisations nationales que les États membres peuvent délivrer conformément aux dispositions nationales mettant en oeuvre l'article 26, paragraphe 2, de la directive 95/46/CE. Les circonstances des transferts spécifiques peuvent amener les responsables du traitement des données à prévoir des garanties différentes au sens de l'article 26, paragraphe 2. En tout état de cause, la présente décision a pour seul effet d'obliger les États membres à ne pas refuser de reconnaître que les clauses contractuelles qui y sont décrites offrent des garanties adéquates et elle n'a donc aucun effet sur d'autres clauses contractuelles.

(7) Le champ d'application de la présente décision se limite à établir que les clauses reprises dans l'annexe peuvent être utilisées par un responsable du traitement établi dans la Communauté pour offrir des garanties suffisantes au sens de l'article 26, paragraphe 2, de la directive 95/46/CE. Le transfert de données à caractère personnel vers des pays tiers constitue un traitement dans un État membre dont la licéité est soumise au droit national. Dans l'exercice des fonctions et des pouvoirs qui leur sont conférés par l'article 28 de la directive 95/46/CE, les autorités de contrôle des États membres demeureront compétentes pour apprécier si l'exportateur de données a respecté le droit national mettant en oeuvre les dispositions de la directive 95/46/CE et, notamment, toute règle spécifique relative à l'obligation de fournir des informations au titre de la directive.

(8) La présente décision ne couvre pas le transfert de données à caractère personnel effectué par des responsables du traitement établis dans la Communauté vers des destinataires établis en dehors du territoire de la Communauté qui agissent exclusivement en tant que sous-traitants. Ces transferts n'exigent pas les mêmes garanties parce que le sous-traitant agit exclusivement pour le compte du responsable du traitement. La Commission estime qu'il est nécessaire d'aborder ce transfert dans une décision ultérieure.

(9) Il convient d'établir les informations minimales que les parties doivent prévoir dans le contrat qui a trait au transfert. Les États membres doivent conserver la faculté de spécifier les informations que les parties doivent fournir. L'application de la présente décision sera revue à la lumière de l'expérience acquise.

(10) La Commission examinera à l'avenir également si les clauses contractuelles types présentées par des organisations commerciales ou d'autres parties concernées offrent des garanties suffisantes conformément à l'article 26, paragraphe 2, de la directive 95/46/CE.

(11) Tandis que les parties doivent être libres de convenir des règles de protection des données de fond que l'importateur de données doit respecter, certains principes de protection des données doivent s'appliquer en tout état de cause.

(12) Les données ne doivent être traitées et ensuite utilisées ou être communiquées à d'autres qu'à des fins déterminées et ne doivent pas être conservées plus longtemps que nécessaire.

(13) Conformément à l'article 12 de la directive 95/46/CE, la personne concernée doit avoir un droit d'accès à toutes les données la concernant et, le cas échéant, un droit de rectification, d'effacement ou d'opposition à certaines données.

(14) D'autres transferts de données à caractère personnel à un autre responsable du traitement établi dans un pays tiers ne doivent être permis que sous certaines conditions, visant en particulier à garantir que les personnes concernées reçoivent des informations correctes et ont la possibilité de s'opposer, ou dans certains cas de retirer leur consentement.

(15) Outre l'appréciation de la conformité des transferts vers des pays tiers avec le droit national, les autorités de contrôle doivent également jouer un rôle clé dans ce mécanisme contractuel en garantissant la protection adéquate des données à caractère personnel après le transfert. Dans les circonstances particulières, les autorités de contrôle des États membres doivent conserver la faculté d'interdire ou de suspendre un transfert de données ou un ensemble de transferts basé sur des clauses contractuelles types dans les cas exceptionnels où il est établi qu'un transfert basé sur des termes contractuels risque d'altérer considérablement les garanties offrant un niveau de protection adéquat à la personne concernée.

(16) Les clauses contractuelles types doivent être exécutoires, non seulement par les organisations parties au contrat mais également par les personnes concernées, en particulier lorsque ces dernières subissent un dommage en raison d'une rupture du contrat.

(17) Le droit régissant le contrat doit être le droit de l'État membre dans lequel l'exportateur de données est établi qui autorise un tiers bénéficiaire à faire exécuter un contrat. Les personnes concernées doivent pouvoir être représentées par des associations ou d'autres organismes si elles le souhaitent et si le droit national l'autorise.

(18) Pour réduire les difficultés d'ordre pratique que les personnes concernées pourraient rencontrer lorsqu'elles tentent de faire appliquer leurs droits en vertu de ces clauses contractuelles types, l'exportateur et l'importateur de données doivent être solidairement responsables des dommages résultant de toute violation des dispositions soumises à la clause du tiers bénéficiaire.

(19) La personne concernée a le droit d'exercer un recours et d'obtenir réparation de l'exportateur de données, de l'importateur de données ou des deux pour tout dommage résultant de toute action incompatible avec les obligations prévues par les clauses contractuelles types. Les deux parties peuvent être exonérées de cette responsabilité si elles prouvent que ni l'une ni l'autre n'étaient responsables.

(20) La responsabilité solidaire ne s'étend pas aux dispositions non couvertes par la clause du tiers bénéficiaire et elle ne doit pas rendre une partie responsable du traitement illicite effectué par l'autre partie. Bien qu'un dédommagement mutuel entre les parties ne soit pas obligatoire pour garantir le niveau adéquat de protection des personnes concernées et que cette disposition puisse donc être supprimée, elle est incluse dans les clauses contractuelles types dans un souci de clarification et pour éviter aux parties de devoir négocier des clauses de dédommagement séparément.

(21) Si un litige entre les parties et la personne concernée n'est pas résolu à l'amiable et si la personne concernée invoque la clause du tiers bénéficiaire, les parties conviennent de proposer à la personne concernée le choix entre la médiation, l'arbitrage ou le procès. La personne concernée aura réellement le choix dans la mesure où elle pourra disposer de systèmes de médiation et d'arbitrage fiables et reconnus. La médiation par l'autorité de contrôle d'un État membre doit être une option lorsqu'elle fournit un tel service.

(22) Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué en vertu de l'article 29 de la directive 95/46/CE a émis un avis sur le niveau de protection prévu par les clauses contractuelles types annexées à la présente décision. Cet avis a été pris en considération dans la préparation de la décision actuelle(4).

(23) Les mesures prévues dans la présente décision sont conformes à l'avis du comité institué en vertu de l'article 31 de la directive 95/46/CE,

A ARRÊTÉ LA PRÉSENTE DÉCISION:

Article premier

Les causes contractuelles types contenues dans l'annexe sont considérées comme offrant des garanies suffisantes en matière de protection de la vie privée et des droits fondamentaux et des libertés des individus et en ce qui concerne l'exercice des droits correspondants comme l'exige l'article 26, paragraphe 2, de la directive 95/46/CE.

Article 2

La présente décision concerne uniquement le caractère adéquat de la protection fournie par les clauses contractuelles types pour le transfert de données à caractère personnel contenues dans l'annexe. Elle n'affecte pas l'application d'autres dispositions nationales mettant en oeuvre la directive 95/46/CE qui se rapportent au traitement de données à caractère personnel dans les États membres.

La présente décision ne s'applique pas au transfert de données à caractère personnel par des responsables du traitement établis dans la Communauté à des destinataires établis en dehors de la communauté qui agissent seulement comme sous-traitants.

Article 3

Aux fins de la présente décision:

a) les définitions contenues dans la directive 95/46/CE s'appliquent;

b) les "catégories spéciales de données" sont les données visées à l'article 8 de ladite directive;

c) les "autorités de contrôle" sont les autorités visées à l'article 28 de ladite directive;

d) l'"exportateur de données" est le responsable du traitement qui transfère les données à caractère personnel;

e) l'"importateur de données" est le responsable du traitement qui accepte de recevoir de l'exportateur de données des données à caractère personnel en vue de leur traitement ultérieur conformément aux conditions de la présente décision.

Article 4

1. Sans préjudice de leurs pouvoirs de prendre des mesures visant à assurer le respect des dispositions nationales adoptées conformément aux chapitres II, III, V et VI de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent pour interdire ou suspendre les flux de données vers des pays tiers afin de protéger les individus en ce qui concerne le traitement de leurs données à caractère personnel et ce, dans les cas où:

a) il est établi que le droit auquel l'importateur de données est soumis oblige ce dernier à déroger aux règles pertinentes de protection des données au-delà des restrictions nécessaires dans une société démocratique comme le prévoit l'article 13 de la directive 95/46/CE lorsque ces obligations risquent d'altérer considérablement les garanties offertes par les clauses contractuelles types, ou

b) une autorité compétente a établi que l'importateur de données n'a pas respecté les clauses du contrat, ou

c) il est fort probable que les clauses contractuelles types figurant dans l'annexe ne sont pas ou ne seront pas respectées et que la poursuite du transfert ferait courir aux personnes concernées un risque imminent de subir des dommages graves.

2. L'interdiction ou la suspension, conformément au paragraphe 1, est levée dès que les raisons qui la motivaient disparaissent.

3. Lorsque les États membres adoptent des mesures conformément aux paragraphes 1 et 2, ils en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 5

La Commission évalue l'application de la présente décision, sur la base des informations disponibles, trois ans après sa notification aux États membres. Elle communique au comité institué au titre de l'article 31 de la directive 95/46/CE un rapport sur les constatations effectuées. Le rapport comprend tout élément susceptible d'influer sur l'évaluation concernant l'adéquation des clauses contractuelles types figurant en annexe et tout élément indiquant que la présente décision est appliquée de manière discriminatoire.

Article 6

La présente décision s'applique à compter du 3 septembre 2001.

Article 7

Les États membres sont destinataires de la présente décision.

Fait à Bruxelles, le 15 juin 2001.

Par la Commission

Frederik Bolkestein

Membre de la Commission

(1) JO L 281 du 23.11.1995, p. 31.

(2) L'adresse Internet du groupe de travail est la suivante:

http://www.europa.eu.int/comm/internal_market/fr/media/dataprot/wpdocs/index.htm

(3) WP 4 (5020/97) "Premières orientations relatives aux transferts de données personnelles vers des pays tiers - Méthodes possibles d'évaluation du caractère adéquat de la protection", document de réflexion adopté par le groupe de travail le 26 juin 1997.

WP 7 (5057/97) "Évaluation des codes d'autoréglementation sectoriels: quand peut-on dire qu'ils contribuent utilement à la protection des données dans un pays tiers?", document de travail adopté par le groupe de travail le 14 janvier 1998.

WP 9 (3005/98) "Vues préliminaires sur le recours à des dispositions contractuelles dans le cadre de transferts de données à caractère personnel vers des pays tiers", document de travail adopté par le groupe de travail le 22 avril 1998.

WP 12: "Transferts de données personnelles vers des pays tiers: application des articles 25 et 26 de la directive relative à la protection des données", document adopté par le groupe de travail le 24 juillet 1998 et disponible sur le site Internet "europa.eu.int/comm/internal_markt/fr/media.dataprot/wpdocs/" de la Commission.

(4) Avis n° 1/2001 adopté par le groupe de travail le 26 janvier 2001 (DG MARKT 5102/00/WP 38), disponible sur le site Internet "Europa" de la Commission.

ANNEXE

>PIC FILE= "L_2001181FR.002402.TIF">

>PIC FILE= "L_2001181FR.002501.TIF">

>PIC FILE= "L_2001181FR.002601.TIF">

>PIC FILE= "L_2001181FR.002701.TIF">

Appendice 1

aux clauses contractuelles types

>PIC FILE= "L_2001181FR.002802.TIF">

>PIC FILE= "L_2001181FR.002901.TIF">

Appendice 2

aux clauses contractuelles types

Principes obligatoires de protection des données visés au paragraphe 1 de la clause 5, point b)

Les présents principes doivent être lus et interprétés à la lumière des dispositions (principes et exceptions pertinentes) de la directive 95/46/CE.

Ils s'appliquent sous réserve des exigences impératives de la législation nationale applicables à l'importateur de données qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sur la base de l'un des intérêts énumérés à l'article 13, paragraphe 1, de la directive 95/46/CE, c'est-à-dire, si elles constituent une mesure nécessaire pour sauvegarder la sécurité de l'État, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie dans le cas de professions réglementées, un intérêt économique ou financier d'un État ou la protection de la personne concernée ou des droits et des libertés d'autrui.

1. Limitation des transferts à une finalité spécifique: les données ne doivent être traitées et utilisées ou communiquées ultérieurement que pour les finalités spécifiques indiquées dans l'appendice 1 des présentes clauses. Elles ne doivent pas être conservées plus longtemps que nécessaire aux fins pour lesquelles elles sont transférées.

2. Qualité et proportionnalité des données: les données doivent être exactes et, au besoin, actualisées. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités auxquelles obéit leur transfert ou leur traitement ultérieur.

3. Transparence: les personnes concernées doivent recevoir des informations sur les finalités du traitement et sur l'identité du responsable de ce traitement dans le pays tiers ainsi que d'autres informations, dans la mesure où elles sont nécessaires pour assurer un traitement loyal, à moins que ces informations aient déjà été fournies par l'exportateur de données.

4. Sécurité et confidentialité: le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l'organisation, qui sont appropriées au regard des risques présentés par le traitement, comme l'accès non autorisé. Toute personne agissant sous l'autorité du responsable du traitement, y compris un sous-traitant, ne doit traiter les données que sur instructions du responsable.

5. Droits d'accès, de rectification, d'effacement et d'opposition: comme le prévoit l'article 12 de la directive 95/46/CE, la personne concernée doit avoir le droit d'accéder à toutes les données traitées qui la concernent et, le cas échéant, d'obtenir leur rectification, leur effacement ou leur verrouillage lorsqu'il apparaît que leur traitement ne respecte pas les principes fixés dans le présent appendice, notamment parce que ces données sont incomplètes ou inexactes. Elle doit également être en mesure de s'opposer au traitement des données la concernant pour des raisons impérieuses et légitimes concernant sa situation personnelle.

6. Restrictions aux transferts ultérieurs: les transferts ultérieurs de données à caractère personnel effectués par l'importateur de données vers un autre responsable du traitement établi dans un pays tiers n'offrant pas un niveau de protection adéquat ou non couverts par une décision de la Commission adoptée conformément à l'article 25, paragraphe 6, de la directive 95/46/CE ne peuvent être autorisés que si:

a) les personnes concernées ont, dans le cas de catégories spéciales de données, indubitablement accepté le transfert ultérieur ou, dans les autres cas, la possibilité de s'y opposer.

Les informations minimales à fournir aux personnes concernées doivent contenir dans un langage qui leur soit compréhensible:

- l'objectif du transfert ultérieur,

- l'identification de l'exportateur de données établi dans la Communauté,

- les catégories des destinataires ultérieurs des données et les pays de destination, et

- une remarque expliquant que, après le transfert ultérieur, les données peuvent être traitées par un responsable du traitement établi dans un pays qui ne présente pas un niveau approprié de protection de la vie privée des personnes, ou

b) l'exportateur et l'importateur de données acceptent les clauses d'un autre responsable du traitement qui devient alors partie aux clauses et souscrit aux mêmes obligations que l'importateur de données.

7. Catégories particulières de données: lorsque des données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données relatives à la santé et à la vie sexuelle et des données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté sont traitées, des mesures de protection supplémentaires doivent être prévues au sens de la directive 95/46/CE, notamment des mesures de sécurité appropriées telles que procéder à un cryptage approfondi pour la transmission ou répertorier l'accès aux données sensibles.

8. Marketing direct: lorsque des données sont traitées à des fins de marketing direct, des procédures efficaces doivent exister, permettant à la personne concernée de "s'opposer" à ce que les données la concernant soient, à un moment ou à un autre, utilisées à une telle fin.

9. Décisions individuelles automatisées: les personnes concernées ont le droit de ne pas être soumises à une décision prise uniquement sur la base du traitement automatisé de données, à moins que d'autres mesures ne soient prises pour sauvegarder les intérêts légitimes de la personne comme le prévoit l'article 15, paragraphe 2, de la directive 95/46/CE. Lorsque la finalité du transfert est la prise d'une décision automatisée, au sens de l'article 15 de la directive 95/46/CE qui produit des effets juridiques à l'égard de la personne ou qui affecte de manière significative, et qui est prise sur le seul fondement d'un traitement automatisé de données destiné à évaluer certains aspects de sa personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc., la personne doit avoir le droit de connaître la logique qui sous-tend cette décision.

Appendice 3

aux clauses contractuelles types

Principes obligatoires de protection des données visés au paragraphe 2 de la clause 5, point b)

1. Limitation des transferts à une finalité spécifique: les données ne doivent être traitées et utilisées ou communiquées ultérieurement que pour les finalités spécifiques indiquées dans l'appendice 1 des présentes clauses. Elles ne doivent pas être conservées plus longtemps que nécessaire aux fins pour lesquelles elles sont transférées.

2. Droits d'accès, de rectification, d'effacement et d'opposition: comme le prévoit l'article 12 de la directive 95/46/CE, la personne concernée doit avoir le droit d'accéder à toutes les données traitées qui la concernent et, le cas échéant, d'obtenir leur rectification, leur effacement ou leur verrouillage lorsqu'il apparaît que leur traitement ne respecte pas les principes fixés dans le présent appendice parce que les données sont incomplètes ou inexactes. Elle doit également être en mesure de s'opposer au traitement des données la concernant pour des raisons impérieuses et légitimes concernant sa situation personnelle.

3. Restrictions aux transferts ultérieurs: les transferts ultérieurs de données à caractère personnel effectués par l'importateur de données vers un autre responsable du traitement établi dans un pays tiers n'offrant pas un niveau de protection adéquat ou non couverts par une décision de la Commission adoptée conformément à l'article 25, paragraphe 6, de la directive 95/46/CE ne peuvent être autorisés que si:

a) les personnes concernées ont, dans le cas de catégories spéciales de données, indubitablement accepté le transfert ultérieur ou, dans les autres cas, la possibilité de s'y opposer.

Les informations minimales à fournir aux personnes concernées doivent contenir dans un langage qui leur soit compréhensible:

- l'objectif du transfert ultérieur,

- l'identification de l'exportateur de données établi dans la Communauté,

- les catégories des destinataires ultérieurs des données et les pays de destination, et

- une remarque expliquant que, après le transfert ultérieur, les données peuvent être traitées par un responsable du traitement établi dans un pays qui ne présente pas un niveau approprié de protection de la vie privée des personnes, ou

b) l'exportateur et l'importateur de données acceptent les clauses d'un autre responsable du traitement qui devient alors partie aux clauses et souscrit aux mêmes obligations que l'importateur de données.