La protection des données en Europe et dans le monde
des renseignements personnels et les documents électroniques du 13 avril 2000. Il
s’agit des secteurs relevant de la compétence fédérale, notamment des activités de
transport aérien, de banques, de stations de radiodiffusion et de télédiffusion, de
transport inter-provincial et de télécommunications.
On notera, par ailleurs, que l’Islande et la Norvège, en tant que membres de
l’accord économique européen ayant transposé la directive, sont considérés comme
assurant une protection équivalente à celle assurée par les États membres de l’Union.
Sous l’impulsion des commissaires européens, la Commission a également
adopté en 2001 deux autres décisions qui complètent cette politique. Ces décisions
visent à encadrer les flux de données dans les situations où le niveau de protection
adéquat du pays destinataire n’est pas garanti. Selon la même procédure que celle
prévue pour la reconnaissance du niveau de protection offert par un pays tiers, les
décisions concernées portent sur l’adoption de clauses contractuelles types considérées comme garantissant un niveau de protection adéquat pour les flux de données à
caractère personnel en cause.
Ainsi, lorsque le pays destinataire n’assure pas un niveau de protection adéquat, les responsables de traitement en cause, l’exportateur établi dans l’Union européenne, et l’importateur établi dans un pays tiers, peuvent procéder de manière
simple par contractualisation de la protection au bénéfice des personnes concernées
par le transfert de données.
Cette politique ne se distingue pas, dans son objectif et dans sa forme, de
celle mise en place par la CNIL de très longue date. Il convient cependant d’en
connaître la portée dans le cadre européen qui est désormais le nôtre.
Les autorités nationales de protection des données ne peuvent s’opposer,
sauf circonstances exceptionnelles, à un transfert de données vers un pays tiers opéré
par application de ces clauses types.
Ces clauses « types » ne sont pas, cependant, exclusives d’autres modalités
contractuelles, mais ces dernières doivent être approuvées par l’autorité nationale de
contrôle (en France, la CNIL) et être notifiées à la Commission européenne et aux
autres États membres.
Enfin, on notera que la déclaration obligatoire auprès de la CNIL des transferts de données vers les pays tiers peut s’effectuer, soit dans le cadre de la déclaration préalable du traitement concerné, assorti du projet de contrat, soit par simple
transmission du projet de contrat ou des clauses assorti du numéro d’enregistrement
à la CNIL du traitement concerné.
Suivant les conseils des commissaires européens, la Commission européenne a adopté deux séries de clauses contractuelles types correspondant à des
transferts de données de nature différente :
— La première décision en date du 15 juin 2001 (JOCE du 4 juillet 2001) 1,
concerne le transfert de données vers un responsable de traitement établi dans un
pays tiers (il peut s’agir, par exemple, de données relatives à des salariés d’une
1 cf. annexe 9 du présent rapport annuel
e
CNIL 22 rapport d'activité 2001
175