Décisions de la Commission européenne
L’article 26, paragraphe 2, de la directive 95/46/CE, qui assure la flexibilité à une organisation qui souhaite transférer des données vers des pays tiers, et l’article 26, paragraphe 4, qui prévoit des clauses contractuelles types, sont essentiels
pour assurer le flux nécessaire de données à caractère personnel entre la Communauté et les pays tiers sans imposer de charges inutiles aux opérateurs économiques.
Lesdits articles sont particulièrement importants étant donné que la Commission
n’adoptera probablement des mécanismes attestant le niveau adéquat de protection
des données, conformément à l’article 25, paragraphe 6, que pour un nombre limité
de pays à court terme ou même à moyen terme.
Les clauses contractuelles types ne constituent qu’une des diverses possibilités prévues par la directive 95/46/CE, pour transférer de manière licite des données
à caractère personnel conjointement aux articles 25 et 26, paragraphes 1 et 2. En intégrant ces clauses contractuelles dans un contrat, les organisations pourront transférer beaucoup plus aisément des données à caractère personnel vers des pays tiers.
Les clauses contractuelles types ne concernent que la protection des données et l’exportateur de données et l’importateur de données sont libres d’inclure d’autres clauses à caractère commercial, comme des clauses d’assistance mutuelle en cas de
litiges avec une personne concernée ou une autorité de contrôle, qu’ils jugent pertinentes pour le contrat à condition qu’elles ne contredisent pas les clauses contractuelles types.
La présente décision ne doit pas affecter les autorisations nationales que les
États membres peuvent délivrer conformément aux dispositions nationales mettant en
œuvre l’article 26, paragraphe 2, de la directive 95/46/CE. Les circonstances des
transferts spécifiques peuvent amener les responsables du traitement des données à
prévoir des garanties différentes au sens de l’article 26, paragraphe 2. En tout état
de cause, la présente décision a pour seul effet d’obliger les États membres à ne pas
refuser de reconnaître que les clauses contractuelles qui y sont décrites offrent des garanties adéquates et elle n’a donc aucun effet sur d’autres clauses contractuelles.
Le champ d’application de la présente décision se limite à établir que les
clauses reprises dans l’annexe peuvent être utilisées par un responsable du traitement établi dans la Communauté pour offrir des garanties suffisantes au sens de l’article 26, paragraphe 2, de la directive 95/46/CE. Le transfert de données à
caractère personnel vers des pays tiers constitue un traitement dans un État membre
dont la licéité est soumise au droit national. Dans l’exercice des fonctions et des pouvoirs qui leur sont conférés par l’article 28 de la directive 95/46/CE, les autorités de
contrôle des États membres demeureront compétentes pour apprécier si l’exportateur
de données a respecté le droit national mettant en œuvre les dispositions de la directive 95/46/CE et, notamment, toute règle spécifique relative à l’obligation de fournir des informations au titre de la directive.
La présente décision ne couvre pas le transfert de données à caractère personnel effectué par des responsables du traitement établis dans la Communauté vers
des destinataires établis en dehors du territoire de la Communauté qui agissent exclusivement en tant que sous-traitants. Ces transferts n’exigent pas les mêmes garanties
parce que le sous-traitant agit exclusivement pour le compte du responsable du traitement. La Commission estime qu’il est nécessaire d’aborder ce transfert dans une décision ultérieure.
Il convient d’établir les informations minimales que les parties doivent prévoir dans le contrat qui a trait au transfert. Les États membres doivent conserver la faculté de spécifier les informations que les parties doivent fournir. L’application de la
présente décision sera revue à la lumière de l’expérience acquise.
320
e
CNIL 22 rapport d'activité 2001