Annexe 9
3) Restrictions aux transferts ultérieurs
Les transferts ultérieurs de données à caractère personnel effectués par l’importateur de données vers un autre responsable du traitement établi dans un pays
tiers n’offrant pas un niveau de protection adéquat ou non couverts par une décision
de la Commission adoptée conformément à l’article 25, paragraphe 6, de la directive 95/46/CE ne peuvent être autorisés que si :
a) les personnes concernées ont dans le cas de catégories spéciales de données indubitablement accepté le transfert ultérieur ou, dans les autres cas, la possibilité de s’y opposer.
Les informations minimales à fournir aux personnes concernées doivent
contenir dans un langage qui leur soit compréhensible :
— l’objectif du transfert ultérieur ;
— l’identification de l’exportateur de données établi dans la Communauté ;
— les catégories des destinataires ultérieurs des données et les pays de destination,
et ;
— une remarque expliquant qu’après le transfert ultérieur, les données peuvent être
traitées par un responsable du traitement établi dans un pays qui ne présente pas un
niveau approprié de protection de la vie privée des personnes ;
ou ;
b) l’exportateur de données et l’importateur de données acceptent les clauses d’un autre responsable du traitement qui devient alors partie aux clauses et souscrit aux mêmes obligations que l’importateur de données.
DÉCISION DE LA COMMISSION DES COMMUNAUTÉS
EUROPÉENNES DU 27 DÉCEMBRE 2001 RELATIVE AUX CLAUSES
CONTRACTUELLES TYPES POUR LE TRANSFERT DE DONNÉES
À CARACTÈRE PERSONNEL VERS DES SOUS-TRAITANTS ÉTABLIS
DANS DES PAYS TIERS EN VERTU DE LA DIRECTIVE 95/46/CE 1
[notifiée sous le numéro C (2001) 4540]
(Texte présentant de l’intérêt pour l’EEE)
La Commission des communautés européennes ;
vu le traité instituant la Communauté européenne ;
vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation de ces données 2, et notamment son article 26, paragraphe 4 ;
considérant ce qui suit :
(1) Conformément à la directive 95/46/CE, les États membres sont tenus de
veiller à ce qu’un transfert de données à caractère personnel vers un pays tiers n’ait
lieu que si le pays en question assure un niveau de protection adéquat des données et
si les lois des États membres, qui sont conformes aux autres dispositions de la directive, sont respectées avant le transfert.
1 JO L 6 du 10 janvier 2002, p. 52
2 JO L 281 du 23 novembre 1995, p. 31.
e
CNIL 22 rapport d'activité 2001
331