Annexe 10
de manière licite et loyale (application des articles 6, 7, 10 et 11 de la directive
95/46/CE). Elles précisent notamment la nature des informations qui doivent être
fournies aux utilisateurs et quand et comment elles doivent l’être, mais comprennent également des détails pratiques sur d’autres droits et obligations découlant des directives.
La présente recommandation vise donc essentiellement à apporter une aide
pratique à la mise en œuvre des principes généraux de la directive. Le groupe de travail considère cette recommandation comme un premier pas vers la définition, au niveau européen, d’une série « minimale » d’obligations pouvant être aisément
satisfaites par les responsables du traitement (à savoir les personnes physiques ou
morales responsables du traitement des données à caractère personnel dans le cadre
d’un site Internet) 1 qui gèrent des sites ; ces exigences seront, le cas échéant, complétées par des détails ou des sujets supplémentaires 2. Il va sans dire que cela ne dispense pas les responsables du traitement de leur obligation de vérifier que leurs
traitements sont conformes à toutes les exigences et conditions définies dans la législation nationale applicable et qu’ils sont donc licites.
Cette recommandation s’applique si le responsable du traitement est établi
dans un des États membres de l’Union européenne. Dans ce cas, la législation nationale de l’État membre concerné s’applique au traitement des données à caractère
personnel dans le cadre des activités de cet établissement. La recommandation s’applique également si le responsable du traitement n’est pas établi sur le territoire de la
Communauté, mais recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire d’un État membre de
l’UE. Le traitement est alors couvert par la législation nationale de l’État membre où se
trouvent les installations ou moyens techniques 3.
2 — Pour réaliser cet objectif, la recommandation s’adresse en particulier :
1 À toutes fins utiles, l’article 2 de la directive 95/46/CE définit le responsable du traitement comme « la
personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou
réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques
pour le désigner peuvent être fixés par le droit national ou communautaire ».
2 Les recommandations concrètes formulées dans le présent document représentent des exigences minimales dans le sens qu’il en existe d’autres. Elles seront complétées à l’avenir par d’autres recommandations
sur le traitement de données à caractère personnel plus sensibles, telles que celles liées à des sites sur la
santé, à des sites adressés à des enfants ou à des services de portail. En ce qui concerne d’autres traitements spécifiques, tels que la diffusion de données à caractère personnel sur un site ou l’enregistrement de
données de trafic par des fournisseurs de services Internet ou des fournisseurs de services et de contenus
Internet, voir les recommandations du groupe de travail dans le document mentionné à la note de bas de
page no 1 et d’autres avis pertinents adoptés par le groupe de travail, tels que : WP 25 (5085/99) : « Recommandation 3/99 relative à la préservation des données de trafic par les fournisseurs de services Internet pour le respect du droit », adoptée le 7 septembre 1999, WP 18 (5005/99) : « Recommandation
2/99 concernant le respect de la vie privée dans le contexte de l’interception des télécommunications »,
adoptée le 3 mai 1999 et WP 17 (5093/98) : « Recommandation 1/99 sur le traitement invisible et automatique des données à caractère personnel sur Internet effectué par des moyens logiciels et matériels »,
adoptée le 23 février 1999. Tous ces documents sont disponibles à l’adresse indiquée à la note de bas de
page no 1.
3 Voir l’article 4, paragraphe 1, points a) et c) de la directive 95/46/CE. Ce point ne doit pas être confondu avec la question de savoir si les données à caractère personnel peuvent faire l’objet d’un transfert licite
de l’UE vers un pays tiers. Cette question est traitée dans les articles 25 et 26 de la directive 95/46/CE et
les décisions connexes de la Commission européenne concernant la reconnaissance d’un niveau adéquat
de protection dans un pays tiers. Ainsi, si un site Internet américain a recours à des moyens situés dans
l’UE pour collecter et traiter des données à caractère personnel, la législation du pays européen en question s’appliquera aux opérations de collecte et de traitement, que l’entreprise soit considérée ou non
comme offrant un niveau adéquat de protection, conformément à la décision de la Commission européenne relative à la sphère de sécurité. La question de savoir si un destinataire a souscrit aux principes de
la sphère de sécurité ne sera pertinente que pour déterminer la licité des transferts ultérieurs des données
à caractère personnel d’une entreprise établie dans l’UE vers l’entreprise en question.
e
CNIL 22 rapport d'activité 2001
347