 |
La Commission EU approuve de nouvelles clauses types pour les transferts de données à des pays tiersPar Thibault VerbiestLundi 17.01.05 |
Le 7 janvier, la Commission européenne a approuvé de nouvelles clauses contractuelles types que les entreprises peuvent utiliser pour assurer des garanties adéquates lors du transfert de données à caractère personnel de l’UE vers des pays tiers.
Ces nouvelles clauses seront ajoutées à celles qui existent déjà dans le cadre de la décision de la Commission de juin 2001 ( sur le site de la Commission ).
Rappel du régime de la directive
Conformément à la directive européenne sur la protection des données personnelles, le transfert de données de ce type faisant l'objet d'un traitement après leur transfert vers un pays non membre de la Communauté européenne, ne peut avoir lieu que si le pays en question assure un niveau de protection adéquat.
Jusqu’à présent, la Commission européenne a admis que seuls les pays suivants offraient une protection adéquate des données : la Suisse, le Canada, l'Argentine, les territoires britanniques de Guernesey et l'Île de Man.
En outre, en ce qui concerne les États-Unis Elles, un accord a été trouvé en 2000 permettant les transferts de données à des sociétés américaines qui adhèrent aux "principes de la sphère de sécurité" (Safe Harbour Principles »), publiés par le Ministère du commerce des États-Unis.
Le recours aux clauses contractuelles est une autre possibilité prévue par le droit communautaire pour permettre un transfert de données vers des pays qui n’assurent pas un niveau adéquat de protection des données.
Rétroactes
Une importante coalition d'associations d'entreprises, sous la houlette de la Chambre de commerce internationale, a négocié les nouvelles clauses contractuelles types avec la Commission et le comité des autorités européennes chargées de la protection des données (le groupe de travail "Article 29") au cours de ces trois dernières années.
Le secteur des entreprises estimait en effet que certaines clauses devaient être rendues plus favorables, comme celles relatives aux contentieux, à la répartition des responsabilités ou aux exigences d'audit.
Les grandes lignes des nouvelles clauses
Les nouvelles clauses fournissent un niveau de protection des données similaire à celui offert par les clauses de 2001.
Pour empêcher les abus, les autorités chargées de la protection des données sont investies de davantage de pouvoirs pour intervenir et imposer des sanctions, le cas échéant. La mise en œuvre de ces nouvelles clauses sera revue en 2008.
Il s'agit du troisième ensemble de clauses contractuelles types mises à la disposition des opérateurs depuis l'entrée en vigueur de la directive en 1998. Si d'autres parties intéressées soumettent à l'avenir d'autres clauses, la Commission pourra les examiner dans la mesure où elles contribuent à une simplification approfondie et assurent des garanties adéquates.
La Commission travaille également avec les autorités chargées de la protection des données sur d'autres solutions possibles, comme des "règles contraignantes pour les entreprises", c'est-à-dire l'utilisation de codes de conduite au lieu de contrats types pour le transfert de données à caractère personnel à des pays tiers.
Tous ces efforts font partie du programme de travail de la Commission pour une meilleure mise en application de la directive sur la protection des données (voir sur le site de la Commission ), dont les résultats seront évalués par la Commission en 2005.
Thibault Verbiest
Avocat au barreaux de Bruxelles et Paris - Cabinet ULYS
Chargé de cours à l'Université Paris I
Président de l'Observatoire des droits de l'internet.
