arrow_back Retour à tous les articles

Article 45
Transfers fondés sur une décision d'adéquation

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 45 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 45 keyboard_arrow_up

(101) Les flux de données à caractère personnel à destination et en provenance de pays en dehors de l'Union et d'organisations internationales sont nécessaires au développement du commerce international et de la coopération internationale. L'augmentation de ces flux a créé de nouveaux enjeux et de nouvelles préoccupations en ce qui concerne la protection des données à caractère personnel. Cependant, il importe que, lorsque des données à caractère personnel sont transférées de l'Union à des responsables du traitement, sous-traitants ou autres destinataires dans des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l'Union par le présent règlement ne soit pas compromis, y compris en cas de transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale à des responsables du traitement ou sous-traitants dans le même pays tiers ou dans un pays tiers différent, ou à une autre organisation internationale. En tout état de cause, les transferts vers des pays tiers et à des organisations internationales ne peuvent avoir lieu que dans le plein respect du présent règlement. Un transfert ne pourrait avoir lieu que si, sous réserve des autres dispositions du présent règlement, les dispositions du présent règlement relatives au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales sont respectées par le responsable du traitement ou le sous-traitant.

(102) Le présent règlement s'entend sans préjudice des accords internationaux conclus entre l'Union et les pays tiers en vue de réglementer le transfert des données à caractère personnel, y compris les garanties appropriées au bénéfice des personnes concernées. Les États membres peuvent conclure des accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales dans la mesure où ces accords n'affectent pas le présent règlement ou toute autre disposition du droit de l'Union et prévoient un niveau approprié de protection des droits fondamentaux des personnes concernées.

(103) La Commission peut décider, avec effet dans l'ensemble de l'Union, qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans l'ensemble l'Union en ce qui concerne le pays tiers ou l'organisation internationale qui est réputé(e) offrir un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. La Commission peut également décider, après en avoir informé le pays tiers ou l'organisation internationale et lui avoir fourni une justification complète, de révoquer une telle décision.

(104) Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en particulier la protection des droits de l'homme, la Commission devrait, dans son évaluation d'un pays tiers, d'un territoire ou d'un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays tiers déterminé respecte l'état de droit, garantit l'accès à la justice et observe les règles et normes internationales dans le domaine des droits de l'homme, ainsi que sa législation générale et sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi que l'ordre public et le droit pénal. Lors de l'adoption, à l'égard d'un territoire ou d'un secteur déterminé dans un pays tiers, d'une décision d'adéquation, il y a lieu de tenir compte de critères clairs et objectifs, telles que les activités de traitement spécifiques et le champ d'application des normes juridiques applicables et de la législation en vigueur dans le pays tiers. Le pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l'Union, en particulier quand les données à caractère personnel sont traitées dans un ou plusieurs secteurs spécifiques. Plus particulièrement, le pays tiers devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres, et les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel.

(105) Outre les engagements internationaux pris par le pays tiers ou l'organisation internationale, la Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de l'organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection des données à caractère personnel, ainsi que de la mise en oeuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Lorsqu’elle évalue le niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité.

(106) La Commission devrait surveiller le fonctionnement des décisions relatives au niveau de protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou par une organisation internationale, et surveiller le fonctionnement des décisions adoptées sur la base de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE. Dans ses décisions d'adéquation, la Commission devrait prévoir un mécanisme d'examen périodique de leur fonctionnement. Cet examen périodique devrait être effectué en consultation avec le pays tiers ou l'organisation internationale en question et tenir compte de l'ensemble des évolutions présentant un intérêt dans le pays tiers ou au sein de l'organisation internationale. Aux fins de la surveillance et de la réalisation des examens périodiques, la Commission devrait prendre en considération les observations et les conclusions du Parlement européen et du Conseil, ainsi que d’autres organes et sources pertinents. La Commission devrait évaluer le fonctionnement desdites décisions dans un délai raisonnable et communiquer toute conclusion pertinente au comité au sens du règlement (UE) n° 182/2011 du Parlement européen et du Conseil1 établi en vertu du présent règlement, au Parlement européen et au Conseil.

(107) La Commission peut constater qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale n'assure plus un niveau adéquat de protection des données. En conséquence, le transfert de données à caractère personnel vers ce pays tiers ou à cette organisation internationale devrait être interdit, à moins que les exigences du présent règlement relatives aux transferts faisant l'objet de garanties appropriées, y compris des règles d'entreprise contraignantes et des dérogations pour des situations particulières, soient respectées. Dans ce cas, il y aurait lieu de prévoir des consultations entre la Commission et le pays tiers ou l'organisation internationale en question. La Commission devrait informer en temps utile le pays tiers ou l'organisation internationale des motifs de sa conclusion et engager des consultations avec ceux-ci en vue de remédier à la situation.

(108) En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant devrait prendre des mesures pour compenser l'insuffisance de la protection des données dans le pays tiers par des garanties appropriées en faveur de la personne concernée. Ces garanties peuvent consister à recourir à des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la Commission, des clauses types de protection des données adoptées par une autorité de contrôle ou des clauses contractuelles autorisées par une autorité de contrôle. Ces garanties devraient assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d'une manière appropriée au traitement au sein de l'Union, y compris l'existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d'engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l'Union ou dans un pays tiers. Ces garanties devraient porter, en particulier, sur le respect des principes généraux concernant le traitement des données à caractère personnel et des principes de protection des données dès la conception et de protection des données par défaut. Des transferts peuvent également être effectués par des autorités publiques ou des organismes publics avec des autorités publiques ou des organismes publics dans des pays tiers ou avec des organisations internationales exerçant des missions ou fonctions correspondantes, y compris sur la base de dispositions à intégrer dans des arrangements administratifs, telles qu'un protocole d'accord, prévoyant des droits opposables et effectifs pour les personnes concernées. L'autorisation de l'autorité de contrôle compétente devrait être obtenue lorsque ces garanties sont prévues dans des arrangements administratifs qui ne sont pas juridiquement contraignants.

(109) La possibilité qu'ont les responsables du traitement et les sous-traitants de recourir à des clauses types de protection des données adoptées par la Commission ou par une autorité de contrôle ne devrait pas les empêcher d'inclure ces clauses dans un contrat plus large, tel qu'un contrat entre le sous-traitant et un autre sous-traitant, ni d'y ajouter d'autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types adoptées par la Commission ou par une autorité de contrôle et qu'elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. Les responsables du traitement et les sous-traitants devraient être encouragés à fournir des garanties supplémentaires par l'intermédiaire d'engagements contractuels qui viendraient compléter les clauses types de protection.

(110) Un groupe d'entreprises ou un groupe d'entreprises engagées dans une activité économique conjointe devrait pouvoir recourir à des règles d'entreprise contraignantes approuvées pour ses transferts internationaux de l'Union vers des entités du même groupe d'entreprises, ou du même groupe d'entreprises engagées dans une activité économique conjointe, à condition que ces règles d'entreprise incluent tous les principes essentiels et les droits opposables pour assurer des garanties appropriées pour les transferts ou catégories de transferts de données à caractère personnel.

(111) Il y a lieu de prévoir la possibilité de transferts dans certains cas où la personne concernée a donné son consentement explicite, lorsque le transfert est occasionnel et nécessaire dans le cadre d'un contrat ou d'une action en justice, qu'il s'agisse d'une procédure judiciaire, administrative ou extrajudiciaire, y compris de procédures devant des organismes de régulation. Il convient également de prévoir la possibilité de transferts lorsque des motifs importants d'intérêt public établis par le droit de l'Union ou le droit d'un État membre l'exigent, ou lorsque le transfert intervient au départ d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime. Dans ce dernier cas, ce transfert ne devrait pas porter sur la totalité des données à caractère personnel ni sur des catégories entières de données contenues dans le registre et, lorsque celui-ci est destiné à être consulté par des personnes ayant un intérêt légitime, le transfert ne devrait être effectué qu'à la demande de ces personnes ou lorsqu'elles doivent en être les destinataires, compte dûment tenu des intérêts et des droits fondamentaux de la personne concernée.

(112) Ces dérogations devraient s'appliquer en particulier aux transferts de données requis et nécessaires pour des motifs importants d'intérêt public, par exemple en cas d'échange international de données entre autorités de la concurrence, administrations fiscales ou douanières, entre autorités de surveillance financière, entre services chargés des questions de sécurité sociale ou relatives à la santé publique, par exemple aux fins de la recherche des contacts des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d'éliminer le dopage dans le sport. Le transfert de données à caractère personnel devrait également être considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel pour la sauvegarde des intérêts vitaux, y compris l'intégrité physique ou la vie, de la personne concernée ou d'une autre personne, si la personne concernée se trouve dans l'incapacité de donner son consentement. En l'absence d’une décision d'adéquation, le droit de l'Union ou le droit d'un État membre peut, pour des motifs importants d'intérêt public, fixer expressément des limites au transfert de catégories particulières de données vers un pays tiers ou à une organisation internationale. Les États membres devraient notifier ces dispositions à la Commission. Tout transfert vers une organisation humanitaire internationale de données à caractère personnel d'une personne concernée qui se trouve dans l'incapacité physique ou juridique de donner son consentement, en vue d'accomplir une mission relevant des conventions de Genève ou de respecter le droit humanitaire international applicable dans les conflits armés, pourrait être considéré comme nécessaire pour des motifs importants d'intérêt public ou parce que ce transfert est dans l'intérêt vital de la personne concernée.

(113) Les transferts qui peuvent être qualifiés de non répétitifs et qui ne touchent qu'un nombre limité de personnes concernées pourraient également être autorisés aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement, lorsque ces intérêts prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée et lorsque le responsable du traitement a évalué toutes les circonstances entourant le transfert de données. Le responsable du traitement devrait accorder une attention particulière à la nature des données à caractère personnel, à la finalité et à la durée de la ou des opérations de traitement envisagées ainsi qu'à la situation dans le pays d'origine, le pays tiers et le pays de destination finale, et devrait prévoir des garanties appropriées pour protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement de leurs données à caractère personnel. De tels transferts ne devraient être possibles que dans les cas résiduels dans lesquels aucun des autres motifs de transfert ne sont applicables. À des fins de recherche scientifique ou historique ou à des fins statistiques, il y a lieu de prendre en considération les attentes légitimes de la société en matière de progrès des connaissances. Le responsable du traitement devrait informer l'autorité de contrôle et la personne concernée du transfert.

(114) En tout état de cause, lorsque la Commission ne s'est pas prononcée sur le caractère adéquat du niveau de protection des données dans un pays tiers, le responsable du traitement ou le sous-traitant devrait adopter des solutions qui garantissent aux personnes concernées des droits opposables et effectifs en ce qui concerne le traitement de leurs données dans l'Union une fois que ces données ont été transférées, de façon à ce que lesdites personnes continuent de bénéficier des droits fondamentaux et des garanties.

(115) Certains pays tiers adoptent des lois, des règlements et d'autres actes juridiques qui visent à réglementer directement les activités de traitement effectuées par des personnes physiques et morales qui relèvent de la compétence des États membres. Il peut s'agir de décisions de juridictions ou d'autorités administratives de pays tiers qui exigent d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel, et qui ne sont pas fondées sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre. L'application extraterritoriale de ces lois, règlements et autres actes juridiques peut être contraire au droit international et faire obstacle à la protection des personnes physiques garantie dans l'Union par le présent règlement. Les transferts ne devraient être autorisés que lorsque les conditions fixées par le présent règlement pour les transferts vers les pays tiers sont remplies. Ce peut être le cas, notamment, lorsque la divulgation est nécessaire pour un motif important d'intérêt public reconnu par le droit de l'Union ou le d'un État membre auquel le responsable du traitement est soumis.

(116) Lorsque des données à caractère personnel franchissent les frontières extérieures de l'Union, cela peut accroître le risque que les personnes physiques ne puissent exercer leurs droits liés à la protection des données, notamment pour se protéger de l'utilisation ou de la divulgation illicite de ces informations. De même, les autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontalier peuvent également être freinés par les pouvoirs insuffisants dont elles disposent en matière de prévention ou de recours, par l'hétérogénéité des régimes juridiques et par des obstacles pratiques tels que le manque de ressources. En conséquence, il est nécessaire de favoriser une coopération plus étroite entre les autorités de contrôle de la protection des données, pour les aider à échanger des informations et mener des enquêtes avec leurs homologues internationaux. Aux fins d'élaborer des mécanismes de coopération internationale destinés à faciliter et à mettre en place une assistance mutuelle internationale pour faire appliquer la législation relative à la protection des données à caractère personnel, la Commission et les autorités de contrôle devraient échanger des informations et coopérer dans le cadre d'activités liées à l'exercice de leurs compétences avec les autorités compétentes dans les pays tiers, sur une base réciproque et conformément au présent règlement.

Afficher les considérants de la Directive 95/46 liés à l'article 45 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 45 keyboard_arrow_up

(56) considérant que des flux transfrontaliers de données à caractère personnel sont nécessaires au développement du commerce international; que la protection des personnes garantie dans la Communauté par la présente directive ne s'oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat; que le caractère adéquat du niveau de protection offert par un pays tiers doit s'apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts;

(57) considérant, en revanche, que, lorsqu'un pays tiers n'offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit;

(58) considérant que des exceptions à cette interdiction doivent pouvoir être prévues dans certaines circonstances lorsque la personne concernée a donné son consentement, lorsque le transfert est nécessaire dans le contexte d'un contrat ou d'une action en justice, lorsque la sauvegarde d'un intérêt public important l'exige, par exemple en cas d'échanges internationaux de données entre les administrations fiscales ou douanières ou entre les services compétents en matière de sécurité sociale, ou lorsque le transfert est effectué à partir d'un registre établi par la loi et destiné à être consulté par le public ou par des personnes ayant un intérêt légitime; que, dans ce cas, un tel transfert ne devrait pas porter sur la totalité des données ni sur des catégories de données contenues dans ce registre; que, lorsqu'un registre est destiné à être consulté par des personnes qui ont un intérêt légitime, le transfert ne devrait pouvoir être effectué qu'à la demande de ces personnes ou lorsqu'elles en sont les destinataires;

 (60) considérant que, en tout état de cause, les transferts vers les pays tiers ne peuvent être effectués que dans le plein respect des dispositions prises par les États membres en application de la présente directive, et notamment de son article 8;

(66) considérant que, pour ce qui est du transfert de données vers les pays tiers, l'application de la présente directive nécessite l'attribution de compétences d'exécution à la Commission et l'établissement d'une procédure selon les modalités fixées dans la décision 87/373/CEE du Conseil (1);

Guidelines

Ici viendront les guidelines

D'où vient-on ?

En matière de transfert de données à caractère personnel, l’article 25 de la Directive posait le principe d’adéquation suivant lequel un transfert de données à caractère personnel vers un pays en dehors de l’Union européenne ne peut avoir lieu que si le pays destinataire des données assure un niveau de protection adéquat.

L’appréciation du niveau de protection du pays destinataire des données portait sur un ensemble de facteurs, contenus à l’article 25 de la Directive à titre indicatif. L’évaluation supposait donc de prendre en compte toutes les circonstances relatives au transfert, par exemple la nature des données, la finalité et la durée du traitement. On notera que, selon la CJUE, l’indépendance de l’autorité de contrôle du pays tiers devait également être garantie (CJUE, 9 mars 2010, C-518/7).

À cet égard, il convient de souligner le rôle majeur joué par le Groupe Article 29 dans l’appréciation de la notion de protection adéquate à travers les différents documents de travail réalisés (Cfr. notamment WP4, WP7, WP 12, WP 74, WP 114).

La Directive mettait aussi en place des mécanismes d’appréciation de l’adéquation tant au niveau communautaire qu’au niveau national. Au niveau communautaire, les paragraphes 4 et 6  de la Directive investissaient la Commission du pouvoir de déterminer les pays tiers qui assurent ou non un niveau de protection des données à caractère personnel, conformément à la procédure prévue à l’article 31, § 2. Selon cette procédure, un représentant de la Commission soumettait des projets de mesure à prendre pour avis à un comité de représentants des États membres, présidé par un représentant de la Commission. Il appartenait ensuite à la Commission d’arrêter des mesures directement applicables qui soient conformes à l’avis du Comité. Si tel n’était pas le cas, la Commission pouvait différer l’application de ces mesures et la décision finale appartenait au conseil statuant à majorité qualifiée (cfr. article 31 § 2 de la Directive).

Les États membres devaient se conformer à la décision de la Commission : en cas de décision d’adéquation (art. 25, § 6), ces derniers devaient prendre les mesures nécessaires et en cas de décision d’inadéquation, ils devaient empêcher les transferts vers les pays tiers en cause (art. 25, § 4). La Commission était ensuite chargée d’entamer des négociations avec le pays en cause afin de remédier à cette situation (article 25, § 5).

On rappelle que la décision de la Commission du 26 juillet 2000 adoptant le «Safe Harbor Act » sensé encadrer les transferts entre l’UE et les États-Unis et comprenant une série de principes relatifs à la protection des données personnelles a été invalidée par la Cour de justice de l’Union européenne (CJUE, arrêt du 6 octobre 2015, C-362/14). La Cour a notamment considéré que le régime de la « sphère de sécurité », en ce qu’il autorise des ingérences par les autorités américaines dans les droits fondamentaux des personnes, non encadrées par des règles limitant ces ingérences, est contraire à la Charte des droits fondamentaux de l’Union.

 

Belgique

La loi du 8 décembre 1992 ne déroge pas à la Directive en ce qu’elle impose de tenir compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées (cfr. art. 21, § 1er). Le second paragraphe autorise le Roi à déterminer les pays dont le niveau de protection doit être considéré comme insuffisant.

France

En droit français le principe d’adéquation figure à l’article 68 de la loi Informatique et Libertés : un transfert de données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne implique que le pays destinataire assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux. 

Outre les critères d’adéquation déjà contenus dans la Directive, le législateur français a introduit dans la loi Informatique et Libertés certains critères dégagés par le Groupe 29 dans ses diverses analyses tels que l'origine et la destination des données traitées (cfr. art. 68 de la loi Informatique et Libertés).

Où va-t-on ?

Le principe d’adéquation est maintenu par le Règlement en son article 45,  mais il est néanmoins amendé : c’est dorénavant à la seule Commission de constater que le pays tiers, un territoire ou, un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assurent un niveau de protection adéquat.

Outre ceux déjà contenus dans la Directive, l’article 45, § 2. du Règlement énonce de manière non exhaustive certains critères d’appréciation du niveau d’adéquation : la primauté du droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle (relevant par exemple de la sécurité publique ou nationale, de la défense, du droit pénal etc.), les règles en matière de protection des données et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une organisation internationale, qui sont respectées dans le pays tiers en question ou par l'organisation internationale en question, etc. (a)).

Conformément à la jurisprudence de l’Union, le Règlement introduit également comme critère l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante disposant notamment de pouvoirs de sanction, d’assistance et de conseils à l’attention des personnes concernées dans l’exercice de leurs droits. (b).

L’adéquation du pays de destination implique également d’examiner les engagements internationaux relatifs à la protection des données à caractère personnel pris par le pays tiers ou l’organisation internationale concernée, ainsi que sa participation à des systèmes multilatéraux ou régionaux en matière de protection de données personnelles (c).

Initialement, la nouvelle procédure mise en place prévoyait de consulter le comité européen de la protection des données sur l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale. Cette disposition a toutefois été supprimée de la version finale du Règlement. 

La Commission européenne est ainsi seule compétente pour constater, par voie de décision prise conformément à l’article 93, § 2, le caractère adéquat du niveau de protection d’un pays tiers, mais aussi d’une organisation internationale, d’un territoire ou d’un ou différents secteurs d’un pays tiers (§1 et §3).

La décision d’adéquation de la Commission doit indiquer son champ d’application territorial et sectoriel, l’autorité de contrôle compétente (le cas échéant), et déterminer une procédure de révision périodique, à tout le moins tous les 4 ans, tenant compte des développements pertinents dans le pays tiers, l’organisation internationale, ou le territoire concerné. Il incombe également à la Commission d’évaluer sur cette base les décisions adoptées sur base de cette disposition ou de l'article 25, paragraphe 4, de la Directive.

La Commission peut également abroger, modifier ou suspendre une décision d’adéquation antérieure si le pays tiers, le territoire ou l’organisation internationale n’assure plus un niveau de protection adéquat, mais sans rétroactivité, conformément à la procédure de comité visée à l’article 93 §2 du Règlement. En cas d’extrême urgence, la décision abrogeant, modifiant ou suspendant une décision peut toutefois être prise conformément à l’article 93, §3 selon une procédure accélérée (§ 5). Notons que la Commission ne peut plus -comme le prévoyait la Directive (art. 25 §4)- constater qu’un Pays tiers n’assure pas un niveau de protection adéquat en dehors d’une décision positive antérieure.

En cas de décision d’inadéquation, la Commission engage des consultations avec le pays concerné afin de remédier à cette situation ( § 6).

En l’absence de décision contraire, les décisions d’adéquation de la Commission prises sous le couvert de la Directive restent valables jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3.

Comme nous le verrons ci-après, les articles 46 à 49 permettent, sous certaines conditions, de transférer des données vers un pays tiers en l’absence de décision d’adéquation (Cfr. commentaires des articles 46 à 49), notamment lorsque le responsable du traitement ou le sous-traitant offre des garanties appropriées pour pallier l'insuffisance du niveau de protection du pays de destination des données personnelles.

Le paragraphe 7 de l’article 45 précise qu’une décision d’inadéquation au sens du paragraphe 5 ne porte pas atteinte aux transferts effectués conformément aux articles 46 à 49 vers le pays tiers en cause, ou le territoire ou secteur déterminé dans ce pays tiers, ou l'organisation internationale en question.

Il appartient à la Commission de publier une liste des pays tiers, territoires, secteurs et des organisations internationales qui ont fait l’objet d’une décision constatant qu’un niveau adéquat de protection est ou n’est plus assuré.

Difficultés probables

Les difficultés sont ici moins juridiques qu’elles n’étaient politiques.

Il est sans doute judicieux de ne plus laisser aux États le soin de décider de l’adéquation d’un niveau de protection adéquat d’un pays tiers. La compétence exclusive reconnue à la Commission assurera une plus grande sécurité juridique. Par contre, en l’absence de décision, il semble que l’interdiction de transfert prévale, sauf application des articles 46 et s.

Remarquons également que ce faisant, le responsable ou le sous-traitant ne peuvent plus apprécier non plus cette adéquation. En l’absence de décision, ils se retrouvent automatiquement à devoir couvrir le transfert hors UE par un des règles prévues aux articles 46 et s.

Règlement
1e 2e

Art. 45

1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

2. Lorsqu'elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants:

a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel, de même que la mise en oeuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l'organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;

b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d'application desdites règles, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et

c) les engagements internationaux pris par le pays tiers ou l'organisation internationale en question, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut décider, par voie d'acte d'exécution, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2 du présent article. L'acte d'exécution prévoit un mécanisme d'examen périodique, au moins tous les quatre ans, qui prend en compte toutes les évolutions pertinentes dans le pays tiers ou au sein de l'organisation internationale. L'acte d'exécution précise son champ d'application territorial et sectoriel et, le cas échéant, nomme la ou des autorités de contrôle visées au paragraphe 2, point b) du présent article. L'acte d'exécution est adopté en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

4. La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE.

5. Lorsque les informations disponibles révèlent, en particulier à l'issue de l'examen visé au paragraphe 3 du présent article, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n'assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission si nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article par voie d’actes d’exécution sans effet rétroactif. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Pour des raisons d'urgence impérieuses dûment justifiées, la Commission adopte des actes d'exécution immédiatement applicables en conformité avec la procédure visée à l'article 93, paragraphe 3.

6. La Commission engage des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

7. Une décision adoptée en vertu du paragraphe 5 du présent article est sans préjudice des transferts de données à caractère personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l'organisation internationale en question, effectués en application des articles 46 à 49.

8. La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat est ou n'est plus assuré.

9. Les décisions adoptées par la Commission sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article.

Proposition 1 close

1. Un transfert peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un secteur de traitement de données dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autre autorisation.

2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission prend en considération les éléments suivants:

a) la primauté du droit, la législation pertinente en vigueur, tant générale que sectorielle, notamment en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal, les règles professionnelles et les mesures de sécurité qui sont respectées dans le pays en question ou par l'organisation internationale en question, ainsi que l'existence de droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées;

b) l’existence et le fonctionnement effectif d’une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers ou l'organisation internationale en question, chargées d’assurer le respect des règles en matière de protection des données, d’assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres,

et c) les engagements internationaux souscrits par le pays tiers ou l'organisation internationale en question.

3. La Commission peut constater par voie de décision qu’un pays tiers, ou un territoire ou un secteur de traitement de données dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

4. L'acte d'exécution précise son champ d'application géographique et sectoriel et, le cas échéant, cite le nom de l'autorité de contrôle mentionnée au paragraphe 2, point b).

5. La Commission peut constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou une organisation internationale n'assure pas un niveau de protection adéquat au sens du paragraphe 2, notamment dans les cas où la législation pertinente, tant générale que sectorielle, en vigueur dans le pays tiers ou l'organisation internationale en question, ne garantit pas des droits effectifs et opposables, y compris un droit de recours administratif et judiciaire effectif des personnes concernées, notamment celles ayant leur résidence sur le territoire de l'Union et dont les données à caractère personnel sont transférées. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2, ou, en cas d’extrême urgence pour des personnes physiques en ce qui concerne leur droit à la protection de leurs données à caractère personnel, conformément à la procédure prévue à l'article 87, paragraphe 3.

6. Lorsque la Commission adopte une décision en vertu du paragraphe 5, tout transfert de données à caractère personnel vers le pays tiers, ou un territoire ou un secteur de traitement de données dans ce pays tiers, ou à l'organisation internationale en question est interdit, sans préjudice des articles 42 à 44. La Commission engage, au moment opportun, des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation résultant de la décision adoptée en vertu du paragraphe 5.

7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs de traitement de données dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat était ou n'était pas assuré.

8. Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par la Commission.

Proposition 2 close

1. Un transfert de données à caractère personnel à (...) un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.

2. Lorsqu'elle apprécie le caractère adéquat du niveau de protection, la Commission tient compte notamment des éléments suivants:

a) la primauté du droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente (…), tant générale que sectorielle, les règles en matière de protection des données et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une organisation internationale, qui sont respectées dans le pays tiers en question ou par l'organisation internationale en question, ainsi que l'existence de droits des personnes concernées effectifs et opposables, et un droit de recours administratif et judiciaire effectif des personnes concernées dont les données à caractère personnel sont transférées (…);

b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, notamment par des pouvoirs de sanction appropriés, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle de l'Union et des États membres;

c) les engagements internationaux relatifs à la protection des données à caractère personnel pris par le pays tiers ou l'organisation internationale concerné, ou d'autres obligations (...) lui incombant en raison de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

2 bis. Le comité européen de la protection des données rend à la Commission un avis en ce qui concerne l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale, y compris concernant l'évaluation visant à déterminer si un pays tiers, le territoire, l'organisation internationale ou un secteur déterminé n'assure plus un niveau adéquat de protection.

3. La Commission, après avoir évalué le caractère adéquat du niveau de protection, peut constater par voie de décision qu'un pays tiers, ou un territoire ou un ou plusieurs secteurs déterminés dans le pays tiers en question, ou une organisation internationale, assure un niveau de protection adéquat au sens du paragraphe 2. (…). L'acte d'exécution précise son champ d'application territorial et sectoriel et, le cas échéant, cite le nom de la ou des autorités de contrôle (indépendantes) mentionnées au paragraphe 2, point b). L'acte d'exécution est adopté conformément à la procédure d'examen visée à l'article 87, paragraphe 2.

3 bis. Les décisions adoptées par la Commission en vertu de l'article 25, paragraphe 6, (...) de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément aux dispositions du paragraphe 3 ou 5.

4. (…)

4 bis. La Commission contrôle le bon fonctionnement des décisions adoptées en vertu du paragraphe 3 et des décisions adoptées sur la base de l'article 26, paragraphe 6, ou de l'article 25, paragraphe 4, de la directive 95/46/CE.

5. La Commission peut constater par voie de décision qu'un pays tiers, ou un territoire ou un secteur déterminé dans ce pays tiers, ou une organisation internationale n'assure plus un niveau de protection adéquat au sens du paragraphe 2, et peut, si nécessaire, abroger, modifier ou suspendre cette décision sans effet rétroactif. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2, ou, en cas d'extrême urgence (…), conformément à la procédure prévue à l'article 87, paragraphe 3. (…)

5 bis. La Commission engage des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.

6. Une décision en vertu du paragraphe 5, est sans préjudice des transferts de données à caractère personnel vers le pays tiers, ou le territoire ou secteur déterminé dans ce pays tiers, ou à l'organisation internationale en question, mis en œuvre au titre des articles 42 à 44 (...).

7. La Commission publie au Journal officiel de l'Union européenne une liste des pays tiers, des territoires et secteurs déterminés dans un pays tiers et des organisations internationales à l'égard desquels des décisions ont été prises au titre des paragraphes 3, 3 bis et 5.

8. (…)

Directive

Art. 25

1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l'objet d'un traitement, ou destinées à faire l'objet d'un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.

2. Le caractère adéquat du niveau de protection offert par un pays tiers s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d'origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.

3. Les États membres et la Commission s'informent mutuellement des cas dans lesquels ils estiment qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2.

4. Lorsque la Commission constate, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers n'assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d'empêcher tout transfert de même nature vers le pays tiers en cause.

5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.

6. La Commission peut constater, conformément à la procédure prévue à l'article 31 paragraphe 2, qu'un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l'issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.

Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.

France

Art. 68

Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.

Belgique

Art. 21.

§ 1. Le transfert de données à caractère personnel faisant l'objet d'un traitement après leur transfert vers un pays non membre de la Communauté européenne, ne peut avoir lieu que si le pays en question assure un niveau de protection adéquat et moyennant le respect des autres dispositions de la présente loi et de ses arrêtés d'exécution.

Le caractère adéquat du niveau de protection s'apprécie au regard de toutes les circonstances relatives à un transfert de données ou à une catégorie de transferts de données; il est notamment tenu compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, des pays d'origine et de destination finale, des règles de droit, générales et sectorielles, en vigueur dans le pays en cause, ainsi que des règles professionnelles et des mesures de sécurité qui y sont respectées.

§ 2. Après avis de la Commission de la protection de la vie privée et conformément à l'article 25 de la directive 95/46/CE du Parlement européen et du Conseil concernant la protection des personnes physiques quant au traitement de données à caractère personnel et à la libre circulation de ces données, le Roi détermine pour quelles catégories de traitements de données à caractère personnel et dans quelles circonstances la transmission de données à caractère personnel vers des pays non-membres de la Communauté européenne n'est pas autorisée.

 

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK