32002D0016

Décision de la Commission

du 27 décembre 2001

relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[notifiée sous le numéro C(2001) 4540]

(Texte présentant de l'intérêt pour l'EEE)

(2002/16/CE)

LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,

vu le traité instituant la Communauté européenne,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données(1), et notamment son article 26, paragraphe 4,

considérant ce qui suit:

(1) Conformément à la directive 95/46/CE, les États membres sont tenus de veiller à ce qu'un transfert de données à caractère personnel vers un pays tiers n'ait lieu que si le pays en question assure un niveau de protection adéquat des données et si les lois des États membres, qui sont conformes aux autres dispositions de la directive, sont respectées avant le transfert.

(2) Toutefois, l'article 26, paragraphe 2, de la directive 95/46/CE prévoit que les États membres peuvent autoriser, sous certaines garanties, un transfert, ou un ensemble de transferts, de données à caractère personnel vers des pays tiers n'assurant pas un niveau de protection adéquat. Ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

(3) Conformément à la directive 95/46/CE, le niveau de protection des données doit s'apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts. Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel instauré au titre de ladite directive(2) a publié des lignes directrices afin de faciliter l'évaluation(3).

(4) Les clauses contractuelles types ne concernent que la protection des données et l'exportateur et l'importateur sont libres d'inclure d'autres clauses à caractère commercial qu'ils jugent pertinentes pour le contrat à condition qu'elles ne contredisent pas les clauses contractuelles types.

(5) La présente décision ne doit pas affecter les autorisations nationales que les États membres peuvent délivrer conformément aux dispositions nationales mettant en oeuvre l'article 26, paragraphe 2, de la directive 95/46/CE. La présente décision a pour seul effet d'obliger les États membres à ne pas refuser de reconnaître que les clauses contractuelles qui y figurent offrent des garanties adéquates et elle n'a donc aucun effet sur d'autres clauses contractuelles.

(6) Le champ d'application de la présente décision se limite à établir que les clauses qu'elle énonce peuvent être utilisées par un responsable du traitement de données établi dans la Communauté pour offrir des garanties adéquates, au sens de l'article 26, paragraphe 2, de la directive 95/46/CE, pour le transfert de données à caractère personnel vers un sous-traitant établi dans un pays tiers.

(7) La présente décision doit mettre en oeuvre l'obligation prévue à l'article 17, paragraphe 3, de la directive 95/46/CE et n'affecte pas le contenu d'un contrat ou acte juridique établi conformément à cette disposition. Toutefois, certaines clauses contractuelles types, relatives en particulier aux obligations de l'exportateur de données, doivent être incluses dans le but d'accroître la clarté en ce qui concerne les dispositions qui peuvent être introduites dans un contrat entre un responsable du traitement des données et un sous-traitant.

(8) Les autorités de contrôle des États membres jouent un rôle clé dans ce mécanisme contractuel en garantissant la protection adéquate des données à caractère personnel après le transfert. Dans les cas exceptionnels où les exportateurs de données refusent ou ne sont pas en mesure d'instruire convenablement l'importateur de données et où il existe un risque imminent de dommage grave pour les personnes concernées, les clauses contractuelles types doivent permettre aux autorités de contrôle de soumettre les importateurs de données à des vérifications et, lorsque cela se révèle approprié, de prendre des décisions auxquelles ces derniers devront se plier. Les autorités de contrôle doivent avoir la faculté d'interdire ou de suspendre un transfert de données ou un ensemble de transferts basé sur les clauses contractuelles types dans les cas exceptionnels où il est établi qu'un transfert basé sur des termes contractuels risque d'altérer considérablement les garanties et les obligations offrant un niveau de protection adéquat à la personne concernée.

(9) À l'avenir, la Commission pourra également examiner si les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants de données établis dans des pays tiers n'offrant pas un niveau adéquat de protection des données, présentées par des organisations commerciales ou d'autres parties concernées, offrent des garanties suffisantes conformément à l'article 26, paragraphe 2, de la directive 95/46/CE.

(10) La divulgation de données à caractère personnel à un sous-traitant de données établi en dehors de la Communauté constitue un échange international protégé en vertu du chapitre IV de la directive 95/46/CE. En conséquence, la présente décision ne couvre pas le transfert de données à caractère personnel effectué par des responsables du traitement établis dans la Communauté vers des responsables du traitement établis en dehors de la Communauté qui relèvent du champ d'application de la décision 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE(4).

(11) Les clauses contractuelles types doivent prévoir les mesures techniques et d'organisation assurant un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger que doit mettre en oeuvre un sous-traitant établi dans un pays tiers n'offrant pas un niveau de protection adéquat. Les parties doivent prévoir dans le contrat les mesures techniques et d'organisation qui, eu égard au droit applicable à la protection des données, au niveau technologique et au coût de mise en oeuvre, sont nécessaires pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé ou toute autre forme illicite de traitement.

(12) Afin de faciliter les flux de données provenant de la Communauté, il est souhaitable que les sous-traitants offrant des services de traitement des données à plusieurs responsables du traitement des données de la Communauté soient autorisés à appliquer les mêmes mesures techniques et d'organisation liées à la sécurité, quel que soit l'État membre d'où provient le transfert de données, notamment dans les cas où l'importateur de données reçoit, pour un traitement ultérieur, des données originaires de différents établissements de l'exportateur de données dans la Communauté.

(13) Il convient de définir les informations minimales que les parties doivent prévoir dans le contrat relatif au transfert. Les États membres doivent conserver la faculté de spécifier les informations que les parties doivent fournir. L'application de la présente décision doit être évaluée à la lumière de l'expérience acquise.

(14) L'importateur de données doit traiter les données à caractère personnel transférées pour le compte exclusif de l'exportateur de données et selon ses instructions et les obligations incluses dans les clauses. En particulier, l'importateur de données ne doit divulguer les données à caractère personnel à un tiers que conformément à certaines conditions. L'exportateur de données doit charger l'importateur de données, pendant la durée des services de traitement des données, de traiter les données conformément à ses instructions, au droit applicable à la protection des données et aux obligations contenues dans les clauses. Le transfert de données à caractère personnel vers des sous-traitants établis en dehors de la Communauté n'enlève rien au fait que les activités de traitement doivent être régies en tout état de cause par le droit applicable à la protection des données.

(15) Les clauses contractuelles types doivent être exécutoires non seulement par les organisations parties au contrat mais également par les personnes concernées, en particulier lorsque ces dernières subissent un dommage en raison d'une rupture du contrat.

(16) La personne concernée doit avoir le droit d'exercer un recours et, lorsque cela se révèle approprié, d'obtenir réparation de l'exportateur de données qui est le responsable du traitement des données à caractère personnel transférées. À titre exceptionnel, la personne concernée doit aussi avoir le droit d'exercer un recours et, lorsque cela se révèle approprié, d'obtenir réparation de l'importateur de données pour manquement par l'importateur de données à l'une ou à l'autre de ses obligations visées à la clause 3, deuxième alinéa, dans les cas où l'exportateur de données a matériellement disparu ou a cessé d'exister en droit ou est devenu insolvable.

(17) Si un litige entre la personne concernée qui invoque la clause du tiers bénéficiaire et l'importateur de données n'est pas résolu à l'amiable, l'importateur de données doit convenir de proposer à la personne concernée de choisir entre la médiation, l'arbitrage et la procédure judiciaire. La personne concernée aura réellement le choix dans la mesure où elle pourra disposer de systèmes de médiation et d'arbitrage fiables et reconnus. La médiation par les autorités de contrôle de la protection des données de l'État membre dans lequel est établi l'exportateur de données doit être une option lorsqu'elles fournissent un tel service.

(18) Le contrat doit être régi par le droit de l'État membre dans lequel l'exportateur de données est établi et qui permet à un tiers bénéficiaire de faire exécuter un contrat. Les personnes concernées devront pouvoir être représentées par des associations ou d'autres organismes si elles le souhaitent et si le droit national l'autorise.

(19) Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué en vertu de l'article 29 de la directive 95/46/CE a émis un avis sur le niveau de protection prévu par les clauses contractuelles types annexées à la présente décision. Cet avis a été pris en considération dans la préparation de la présente décision(5).

(20) Les mesures prévues dans la présente décision sont conformes à l'avis du comité institué en vertu de l'article 31 de la directive 95/46/CE,

A ARRÊTÉ LA PRÉSENTE DÉCISION:

Article premier

Les clauses contractuelles types figurant en annexe sont considérées comme offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants comme l'exige l'article 26, paragraphe 2, de la directive 95/46/CE.

Article 2

La présente décision concerne uniquement le caractère adéquat de la protection fournie par les clauses contractuelles types figurant en annexe pour le transfert de données à caractère personnel. Elle n'affecte pas l'application d'autres dispositions nationales mettant en oeuvre la directive 95/46/CE qui se rapportent au traitement de données à caractère personnel dans les États membres.

La présente décision s'applique au transfert de données à caractère personnel par des responsables du traitement établis dans la Communauté à des destinataires établis en dehors du territoire de la Communauté qui agissent exclusivement en tant que sous-traitants.

Article 3

Aux fins de la présente décision:

a) les définitions contenues dans la directive 95/46/CE s'appliquent;

b) les "catégories particulières de données" sont les données visées à l'article 8 de ladite directive;

c) l'"autorité de contrôle" est l'autorité visée à l'article 28 de ladite directive;

d) l'"exportateur de données" est le responsable du traitement qui transfère les données à caractère personnel;

e) l'"importateur de données" est le sous-traitant établi dans un pays tiers qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux conditions de la présente décision et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate;

f) le "droit applicable à la protection des données" est la législation protégeant les libertés et les droits fondamentaux des personnes physiques, notamment le droit à la vie privée à l'égard du traitement des données à caractère personnel, et s'appliquant à un responsable du traitement dans le pays où l'exportateur de données est établi;

g) les "mesures techniques et d'organisation liées à la sécurité" sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement.

Article 4

1. Sans préjudice de leurs pouvoirs de prendre des mesures visant à assurer le respect des dispositions nationales adoptées conformément aux chapitres II, III, V et VI de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent pour interdire ou suspendre les flux de données vers des pays tiers afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, et ce dans les cas où:

a) il est établi que le droit auquel l'importateur de données est soumis oblige ce dernier à déroger au droit applicable à la protection des données au-delà des limitations nécessaires dans une société démocratique pour l'une des raisons énoncées à l'article 13 de la directive 95/46/CE lorsque ces obligations risquent d'altérer considérablement les garanties offertes par le droit applicable à la protection des données et les clauses contractuelles types, ou

b) une autorité compétente a établi que l'importateur de données n'a pas respecté les clauses contractuelles figurant en annexe, ou

c) il est fort probable que les clauses contractuelles types figurant en annexe ne sont pas ou ne seront pas respectées et que la poursuite du transfert ferait courir aux personnes concernées un risque imminent de subir des dommages graves.

2. L'interdiction ou la suspension est levée dès que les raisons qui la motivaient disparaissent.

3. Lorsque les États membres adoptent des mesures conformément aux paragraphes 1 et 2, ils en informent sans délai la Commission, qui transmet l'information aux autres États membres.

Article 5

La Commission évalue l'application de la présente décision, sur la base des informations disponibles, trois ans après sa notification aux États membres. Elle présente au comité institué au titre de l'article 31 de la directive 95/46/CE un rapport sur les constatations effectuées. Le rapport comprend tout élément susceptible d'influer sur l'évaluation concernant le caractère adéquat des clauses contractuelles types figurant en annexe et tout élément indiquant que la présente décision est appliquée de manière discriminatoire.

Article 6

La présente décision s'applique à partir du 3 avril 2002.

Article 7

Les États membres sont destinataires de la présente décision.

Fait à Bruxelles, le 27 décembre 2001.

Par la Commission

Frederik Bolkestein

Membre de la Commission

(1) JO L 281 du 23.11.1995, p. 31.

(2) L'adresse Internet du groupe de travail est la suivante:

http://www.europa.eu.int/comm/internal_market/fr/dataprot/wpdocs/index.htm

(3) WP 4 (5020/97) "Premières orientations relatives aux transferts de données personnelles vers des pays tiers - Méthodes possibles d'évaluation du caractère adéquat de la protection", document de réflexion adopté par le groupe de travail le 26 juin 1997.

WP 7 (5057/97) "Évaluation des codes d'autoréglementation sectoriels: quand peut-on dire qu'ils contribuent utilement à la protection des données dans un pays tiers?", document de travail adopté par le groupe de travail le 14 janvier 1998.

WP 9 (5005/98) "Vues préliminaires sur le recours à des dispositions contractuelles dans le cadre de transferts de données à caractère personnel vers des pays tiers", document de travail adopté par le groupe de travail le 22 avril 1998.

WP 12: "Transferts de données personnelles vers des pays tiers: application des articles 25 et 26 de la directive relative à la protection des données", document adopté par le groupe de travail le 24 juillet 1998 et disponible sur le site Internet

"http://www.europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12fr.pdf" de la Commission.

(4) JO L 181 du 4.7.2001, p. 19.

(5) Avis n° 7/2001 adopté par le groupe de travail le 13 septembre 2001 (DG MARKT ...), disponible sur le site Internet "Europa" de la Commission.

ANNEXE

>PIC FILE= "L_2002006FR.005702.TIF">

>PIC FILE= "L_2002006FR.005801.TIF">

>PIC FILE= "L_2002006FR.005901.TIF">

>PIC FILE= "L_2002006FR.006001.TIF">

Appendice 1

>PIC FILE= "L_2002006FR.006102.TIF">

Appendice 2

>PIC FILE= "L_2002006FR.006202.TIF">