|
17.12.2016 |
FR |
Journal officiel de l'Union européenne |
L 344/100 |
DÉCISION D'EXÉCUTION (UE) 2016/2297 DE LA COMMISSION
du 16 décembre 2016
modifiant les décisions 2001/497/CE et 2010/87/UE relatives aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers et vers des sous-traitants établis dans ces pays, en vertu de la directive 95/46/CE du Parlement européen et du Conseil
[notifiée sous le numéro C(2016) 8471]
(Texte présentant de l'intérêt pour l'EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne,
vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1), et notamment son article 26, paragraphe 4,
après consultation du Contrôleur européen de la protection des données,
considérant ce qui suit:
|
(1) |
Dans son arrêt du 6 octobre 2015 dans l'affaire C-362/14 Maximillian Schrems/Data Protection Commissioner (2), la Cour de justice de l'Union européenne a constaté qu'en adoptant l'article 3 de la décision 2000/520/CE (3), la Commission a outrepassé la compétence qui lui est attribuée à l'article 25, paragraphe 6, de la directive 95/46/CE, lu à la lumière de la charte des droits fondamentaux de l'Union européenne, et la Cour a déclaré l'article 3 de cette décision invalide. |
|
(2) |
L'article 3, paragraphe 1, premier alinéa, de la décision 2000/520/CE établissait des conditions restrictives dans lesquelles les autorités nationales de contrôle pouvaient décider de suspendre les flux de données vers une entreprise américaine autocertifiée, nonobstant la constatation par la Commission d'un niveau de protection adéquat. |
|
(3) |
Dans l'arrêt Schrems, la Cour de justice a précisé que les autorités nationales de contrôle restent compétentes pour assurer le contrôle des transferts de données à caractère personnel vers un pays tiers ayant fait l'objet d'une décision de la Commission constatant que celui-ci assure un niveau de protection adéquat et que la Commission n'a pas la compétence de restreindre les pouvoirs que leur confère l'article 28 de la directive 95/46/CE. Conformément audit article, ces autorités disposent, en particulier, de pouvoirs d'investigation, tels que le pouvoir de recueillir toutes les informations nécessaires à l'accomplissement de leur mission de contrôle, de pouvoirs effectifs d'intervention, tels que celui d'interdire temporairement ou définitivement un traitement de données, et du pouvoir d'ester en justice (4). |
|
(4) |
Dans le même arrêt, la Cour de justice a rappelé que, conformément à l'article 25, paragraphe 6, second alinéa, de la directive 95/46/CE, les États membres et leurs organes doivent prendre les mesures nécessaires pour se conformer aux actes des institutions de l'Union, car ces derniers jouissent, en principe, d'une présomption de légalité et produisent, dès lors, des effets juridiques aussi longtemps qu'ils n'ont pas été retirés, annulés dans le cadre d'un recours en annulation ou déclarés invalides à la suite d'un renvoi préjudiciel ou d'une exception d'illégalité. |
|
(5) |
Mutatis mutandis, une décision de la Commission adoptée conformément à l'article 26, paragraphe 4, de la directive 95/46/CE est contraignante pour tous les organes des États membres qui en sont destinataires, y compris leurs autorités de contrôle indépendantes, dans la mesure où elle a pour effet de reconnaître que des transferts effectués sur la base de clauses contractuelles types qu'elle contient présentent des garanties suffisantes, comme l'exige l'article 26, paragraphe 2, de ladite directive. Cela n'empêche nullement une autorité nationale de contrôle d'exercer ses pouvoirs de contrôle des flux de données, notamment le pouvoir de suspendre ou d'interdire un transfert de données à caractère personnel, lorsqu'elle constate que ce transfert est effectué en violation de la législation de l'Union européenne ou de l'État membre en matière de protection des données, comme, par exemple, lorsque l'importateur de données ne respecte pas les clauses contractuelles types. |
|
(6) |
Les décisions de la Commission 2001/497/CE (5) et 2010/87/UE (6) contiennent une limitation des pouvoirs des autorités nationales de contrôle comparable à celle figurant à l'article 3, paragraphe 1, premier alinéa, de la décision 2000/520/CE, que la Cour de justice a jugé invalide. |
|
(7) |
À la lumière de l'arrêt Schrems et conformément à l'article 266 du traité, les dispositions de ces décisions limitant les pouvoirs des autorités nationales de contrôle doivent donc être remplacées. |
|
(8) |
Pour faciliter le contrôle efficace du fonctionnement des décisions relatives aux clauses contractuelles types actuellement en vigueur, la Commission doit être informée par les États membres des mesures pertinentes prises par les autorités nationales de contrôle. |
|
(9) |
Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué en vertu de l'article 29 de la directive 95/46/CE a émis un avis, qui a été pris en considération lors de la préparation de la présente décision. |
|
(10) |
Les mesures prévues dans la présente décision sont conformes à l'avis du comité institué par l'article 31, paragraphe 1, de la directive 95/46/CE. |
|
(11) |
Il y a donc lieu de modifier les décisions 2001/497/CE et 2010/87/UE en conséquence, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
L'article 4 de la décision 2001/497/CE est remplacé par le texte suivant:
«Article 4
Lorsque les autorités compétentes d'un État membre exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers des pays tiers afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, l'État membre concerné en informe sans délai la Commission, qui transmet l'information aux autres États membres.»
Article 2
L'article 4 de la décision 2010/87/UE est remplacé par le texte suivant:
«Article 4
Lorsque les autorités compétentes d'un État membre exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers des pays tiers afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, l'État membre concerné en informe sans délai la Commission, qui transmet l'information aux autres États membres.»
Article 3
Les États membres sont destinataires de la présente décision.
Fait à Bruxelles, le 16 décembre 2016.
Par la Commission
Věra JOUROVÁ
Membre de la Commission
(1) JO L 281 du 23.11.1995, p. 31.
(2) ECLI:EU:C:2015:650.
(3) Décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique (JO L 215 du 25.8.2000, p. 7).
(4) Arrêt Schrems, points 40 et suivants et points 101 à 103.
(5) Décision 2001/497/CE de la Commission du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE (JO L 181 du 4.7.2001, p. 19).
(6) Décision 2010/87/UE de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil (JO L 39 du 12.2.2010, p. 5).