Décisions de la Commission européenne
(2) Toutefois, l’article 26, paragraphe 2, de la directive 95/46/CE prévoit
que les États membres peuvent autoriser, sous certaines garanties, un transfert, ou un
ensemble de transferts, de données à caractère personnel vers des pays tiers n’assurant pas un niveau de protection adéquat. Ces garanties peuvent notamment résulter
de clauses contractuelles appropriées.
(3) Conformément à la directive 95/46/CE, le niveau de protection des données doit s’apprécier au regard de toutes les circonstances relatives à un transfert ou
à une catégorie de transferts. Le groupe de protection des personnes à l’égard du
traitement des données à caractère personnel instauré au titre de ladite directive 1 a
publié des lignes directrices afin de faciliter l’évaluation 2.
(4) Les clauses contractuelles types ne concernent que la protection des données et l’exportateur et l’importateur sont libres d’inclure d’autres clauses à caractère
commercial qu’ils jugent pertinentes pour le contrat à condition qu’elles ne contredisent pas les clauses contractuelles types.
(5) La présente décision ne doit pas affecter les autorisations nationales que
les États membres peuvent délivrer conformément aux dispositions nationales mettant
en œuvre l’article 26, paragraphe 2, de la directive 95/46/CE. La présente décision a pour seul effet d’obliger les États membres à ne pas refuser de reconnaître que
les clauses contractuelles qui y figurent offrent des garanties adéquates et elle n’a
donc aucun effet sur d’autres clauses contractuelles.
(6) Le champ d’application de la présente décision se limite à établir que les
clauses qu’elle énonce peuvent être utilisées par un responsable du traitement de
données établi dans la Communauté pour offrir des garanties adéquates, au sens de
l’article 26, paragraphe 2, de la directive 95/46/CE, pour le transfert de données à
caractère personnel vers un sous-traitant établi dans un pays tiers.
(7) La présente décision doit mettre en œuvre l’obligation prévue à l’article
17, paragraphe 3, de la directive 95/46/CE et n’affecte pas le contenu d’un contrat
ou acte juridique établi conformément à cette disposition. Toutefois, certaines clauses contractuelles types, relatives en particulier aux obligations de l’exportateur de
données, doivent être incluses dans le but d’accroître la clarté en ce qui concerne les
dispositions qui peuvent être introduites dans un contrat entre un responsable du traitement des données et un sous-traitant.
(8) Les autorités de contrôle des États membres jouent un rôle-clé dans ce mécanisme contractuel en garantissant la protection adéquate des données à caractère
personnel après le transfert. Dans les cas exceptionnels où les exportateurs de données refusent ou ne sont pas en mesure d’instruire convenablement l’importateur de
données et où il existe un risque imminent de dommage grave pour les personnes
1 L’adresse Internet du groupe de travail est la suivante : http://www.europa.eu.int/comm/internal_market
/fr/dataprot/wpdocs/index.htm
2 WP 4 (5020/97) « Premières orientations relatives aux transferts de données personnelles vers des pays
tiers — Méthodes possibles d’évaluation du caractère adéquat de la protection », document de réflexion
adopté par le groupe de travail le 26 juin 1997.
WP 7 (5057/97) « Évaluation des codes d’autoréglementation sectoriels : quand peut-on dire qu’ils contribuent utilement à la protection des données dans un pays tiers ? », document de travail adopté par le
groupe de travail le 14 janvier 1998.
WP 9 (5005/98) « Vues préliminaires sur le recours à des dispositions contractuelles dans le cadre de
transferts de données à caractère personnel vers des pays tiers », document de travail adopté par le
groupe de travail le 22 avril 1998.
WP 12 : « Transferts de données personnelles vers des pays tiers : application des articles 25 et 26 de la
directive relative à la protection des données », document adopté par le groupe de travail le 24 juillet
1998 et disponible sur le site Web
« http://www.europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12fr.pdf » de la Commission européenne.
332
e
CNIL 22 rapport d'activité 2001