0(02 Bruxelles, le 18 juin 2001 &ODXVHV FRQWUDFWXHOOHV W\SHV SRXU OH WUDQVIHUW GHV GRQQpHVjFDUDFWqUH SHUVRQQHO YHUV GHV SD\V WLHUV TXHVWLRQVIUpTXHPPHQWSRVpHV)$4 La directive 95/46/CE UHODWLYHjODSURWHFWLRQGHVSHUVRQQHVSK\VLTXHVjO pJDUGGX WUDLWHPHQW GHV GRQQpHV j FDUDFWqUH SHUVRQQHO HW j OD OLEUH FLUFXODWLRQ GH FHV GRQQpHV oblige les États membres à permettre les transferts de données personnelles vers des pays situés en dehors de l'Union européenne uniquement s'il existe une protection appropriée de ces données, sous réserve de l'application d'un nombre limité d'exemptions spécifiques. Lorsque cela n'est pas le cas, le transfert ne doit pas être autorisé. Sans de telles règles, les normes élevées de protection des données instituées par la directive seraient rapidement vidées de leur substance, étant donné la facilité avec laquelle les données peuvent circuler sur les réseaux internationaux. L'article 26 (4) de la directive permet à la Commission, avec le soutien d'un comité de projet constitué de représentants des États membres, de publier des clauses contractuelles types afin de se conformer aux exigences énoncées par la directive en matière de transfert de données vers des pays tiers. Les présentes FAQ résument les principaux points de la décision sur les clauses contractuelles types que vient d'adopter la Commission européenne (voir IP/01/ ) et fournissent des informations aux personnes et aux sociétés sur la manière d'utiliser au mieux ces clauses. /HV FODXVHV FRQWUDFWXHOOHV W\SHV VRQWHOOHV REOLJDWRLUHV SRXU OHV HQWUHSULVHV TXL VRXKDLWHUDLHQW WUDQVIpUHU GHV GRQQpHV YHUV GHV SD\V WLHUV" Non. Les clauses contractuelles types ne sont pas obligatoires pour les entreprises et ne sont pas le seul moyen de transférer légalement des données vers des pays tiers. Tout d'abord, les organisations n'en ont pas besoin si elles veulent transférer des données personnelles à des destinataires installés dans des pays que la Commission reconnaît comme fournissant une protection des données appropriée. Tel est le cas des transferts vers des sociétés basées en Suisse, en Hongrie ou aux États-Unis qui adhèrent aux principes de la sphère de sécurité énoncée par le ministère du commerce des États-Unis (voir IP/00/865). Deuxièmement, même si le pays de destination n'offre pas un niveau approprié de protection, les données peuvent être transférées dans des cas spécifiques, énumérés à l'article 26 (1) de la directive: 1. la personne concernée a donné indubitablement son consentement au transfert envisagé; 2. le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à l'exécution de mesures précontractuelles prises à la demande de la personne concernée; 3. le transfert est nécessaire à la conclusion et l'exécution d'un contrat conclu ou à conclure dans l'intérêt de la personne concernée entre le responsable du traitement et un tiers; 4. le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important ou pour la constatation, l'exercice ou la défense d'un droit de justice; 5. le transfert est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée ou 6. le transfert intervient au départ d'un registre public qui, en vertu des dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier. Enfin, conformément à l'article 26 (2), les autorités nationales peuvent autoriser au cas par cas des transferts spécifiques vers un pays tiers n'assurant pas un niveau de protection adéquat lorsque l'exportateur au sein de l'UE offre des garanties concernant la protection de la vie privée et des droits fondamentaux des personnes ainsi qu'à l'égard de l'exercice des droits correspondants. Ces garanties peuvent être fournies, par exemple, au moyen d'accords contractuels entre l'exportateur et l'importateur de données, sous réserve de l'approbation préalable des autorités nationales. /HV HQWUHSULVHV SHXYHQWHOOHV HQFRUH VH ILHU j GHV FRQWUDWV GLIIpUHQWV DSSURXYpVDXQLYHDXQDWLRQDO" Oui. Les clauses contractuelles types ne préjugent pas des dispositions contractuelles passées ou futur autorisées par les autorités de protection des données nationales conformément à la législation nationale. /HV eWDWV PHPEUHV SHXYHQWLOV EORTXHU RX VXVSHQGUH GHV WUDQVIHUWV GHGRQQpHVHQXWLOLVDQWGHVFODXVHVFRQWUDFWXHOOHVW\SHV" Oui, mais seulement dans les circonstances exceptionnelles indiquées à l'article 3 de la décision de la Commission. Ces cas sont les suivants: (a) il est établi que la loi à laquelle l'importateur de données est soumis l'oblige à déroger des règles de protection des données appropriées et au-delà des restrictions nécessaires dans une société démocratique, conformément à l'article 13 de la décision 95/46/CE, lorsque ces dérogations risquent d'avoir un effet contraire important sur les garanties fournies par les clauses contractuelles types, ou -2- (b) une autorité compétente a établi que l'importateur de données n'a pas respecté les clauses contractuelles ou (c) il existe une forte probabilité que les clauses contractuelles types dans les annexes ne sont pas ou ne seront pas respectées et que la poursuite du transfert entraînerait un risque imminent de dommages graves pour les personnes dont les données sont traitées. Cette clause de sauvegarde ne devrait être que très rarement utilisée, puisqu'elle ne concerne que des cas exceptionnels. Comme le prévoit l'article 3 (3) de la décision, la Commission européenne sera informée de toute utilisation faite par les États membres de cette clause de sauvegarde et transmettra les informations reçues aux autres États membres. La Commission peut prendre des mesures appropriées conformément à la procédure établie à l'article 31 (2) de la directive 95/46/CE. /HV HQWUHSULVHV SHXYHQWHOOHV DSSOLTXHU OHV FODXVHV FRQWUDFWXHOOHV W\SHVGDQVXQFRQWUDWSOXVODUJHHWDMRXWHUGHVFODXVHVVSpFLILTXHV" Oui. Les parties sont libres de convenir d'ajouter des clauses supplémentaires du moment que celles-ci ne contredisent pas, directement ou indirectement, les clauses contractuelles types approuvées par la Commission ou ne portent pas préjudice aux libertés et droits fondamentaux des personnes dont les données sont traitées. Il est possible, par exemple, d'inclure des garanties ou protections supplémentaires pour les personnes (par exemple, procédures en ligne ou dispositions appropriées contenues dans une police privée, etc.). Toutes ces autres clauses que les parties peuvent décider d'ajouter ne seraient pas couvertes par les droits bénéficiaires pour les tiers et jouiraient des droits de confidentialité si appropriés. Les États membres peuvent également préciser ou compléter l'annexe jointe au contrat. Dans tous les cas, les clauses types doivent être pleinement respectées pour assurer la garantie juridique d'une protection appropriée en cas de transfert de données personnelles, comme le demande la directive de l'UE. /HV LPSRUWDWHXUV GH GRQQpHV SHXYHQWLOV rWUH H[HPSWpV GH O DSSOLFDWLRQ GHV SULQFLSHV REOLJDWRLUHV SRXU UHPSOLU OHXUV REOLJDWLRQV GDQVOHFDGUHGHODOpJLVODWLRQQDWLRQDOH" Oui, comme il est prévu au dernier paragraphe des principes obligatoires, ils peuvent le faire dans la mesure où ils ne sont pas confrontés à des exigences obligatoires qui vont au-delà des restrictions nécessaires dans une société démocratique, parce qu'elles sont indispensables pour sauvegarder la sûreté de l'État, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou la violation de l'éthique pour les professions réglementées ou défendre un intérêts économiques ou financier important de l'État, la protection des personnes dont les données sont traitées ou les droits et libertés d'autres personnes. 4XHVLJQLILHUHVSRQVDELOLWpVROLGDLUHHWLOOLPLWpH" Cela signifie que, lorsque des personnes dont les données sont traitées ont souffert un préjudice par suite de la violation des droits qui leur sont conférés par le contrat, elles ont le droit d'obtenir une compensation soit de l'exportateur de données, soit de l'importateur de données, soit des deux. -3- Sans la responsabilité conjointe et illimitée, les mesures de protection des données prévues par les clauses contractuelles types seraient gravement amoindries. Le principal défi lors de l'élaboration de cette décision était de trouver des moyens de garantir que les droits des personnes concernées - qui ne sont pas des parties aux contrats - soient convenablement protégés. Lorsqu'elles s'efforcent de faire valoir leurs droits dans le cadre d'un contrat entre deux contrôleurs de données, l'un à l'intérieur et l'autre à l'extérieur de l'UE, les personnes dont les données sont traitées se trouvent confrontées à deux difficultés principales. Premièrement, lorsqu'une des personnes concernées prend conscience d'une violation de ses droits en matière de protection des données, il est très souvent difficile de savoir qui exactement en est responsable. Les données ont-elles été révélées illégalement par l'exportateur de données avant le transfert ou par l'importateur de données après le transfert ? La responsabilité conjointe et illimitée empêche que cette incertitude ne devienne un obstacle à la revendication d'un dédommagement. Deuxièmement, même si la personne concernée sait que la violation a été commise par l'importateur, il peut lui être très difficile en pratique de faire appliquer le contrat et d'obtenir une compensation de l'importateur extérieur à l'UE. Le fait de soumettre l'importateur à la juridiction européenne ne résout pas entièrement le problème, parce que la reconnaissance et l'application des décisions des cours européennes ne sont pas toujours possibles dans le pays où l'importateur est installé. En tout cas, il est beaucoup plus simple de poursuivre l'exportateur de données installé sur le territoire de l'UE. &HOD Q HQWUDvQHUDWLO SDV GHV FKDUJHV LQpTXLWDEOHV SRXU OHV H[SRUWDWHXUVHWRXLPSRUWDWHXUVTXLQ RQWSDVFRPPLVG LQIUDFWLRQ" Non. Plusieurs mesures ont été prises pour l'éviter. Notamment, la portée et l'applicabilité de la responsabilité conjointe et illimitée sont strictement restreintes. Elles ne s'appliquent qu'aux violations des clauses qui engendrent des droits pour les personnes dont les données sont traitées (voir la "clause bénéficiaire pour les tiers", clause 3) et seulement dans les cas où il est nécessaire de dédommager des personnes pour des préjudices causés par la violation. Par conséquent, divers scénarios qui ont inquiété les répondants lors de l'élaboration de la décision sont clairement exclus. Par exemple, les sociétés installées en dehors de l'UE ont avancé qu'elles pourraient être tenues pour responsables des violations de la législation nationale (opérations de traitement illégales) commises par l'exportateur de données avant le transfert des données et risqueraient d'être poursuivies devant les tribunaux de l'UE, mais cela est exclu en raison de la portée limitée de la clause 3. Les sociétés installées sur le territoire de l'UE, d'autre part, craignent de devoir être obligées de dédommager les personnes concernées pour des préjudices résultant d'une violation commise par l'importateur de données. Cette possibilité est contrebalancée par la clause d'indemnisation mutuelle qui, dans un tel cas, donnerait à l'exportateur le droit d'obtenir auprès de l'importateur toute compensation qu'il aurait dû verser à la personne dont les données sont traitées. La règle générale est que chaque partie au contrat est responsable de ses actes liés à la personne concernée. -4- On pourrait avancer que la demande d'indemnisation en elle-même représente une charge pour l'exportateur. La validité de cet argument est reconnue, mais on estime qu'il est plus juste que cette charge pèse sur l'exportateur plutôt que sur les personnes, qui n'ont souvent rien à voir avec le transfert. En outre, si le risque de subir toute charge de ce type rend les exportateurs de données plus prudents en ce qui concerne le choix de leur importateur de données, cet effet est tout à fait bénéfique. (VWLO SRVVLEOH SRXU GHV RUJDQLVDWLRQV LQVWDOOpHV DX[ eWDWV8QLV DGKpUDQW j OD VSKqUH GH VpFXULWp G XWLOLVHU OHV FODXVHV FRQWUDFWXHOOHV W\SHVDILQGHUHFHYRLUGHVGRQQpHVGHO 8(" En règle générale, les clauses contractuelles types ne sont pas nécessaires si le destinataire des données est couvert par un système garantissant une protection des données appropriée similaire à celle de la sphère de sécurité. Cependant, si le transfert porte sur des données non couvertes par les engagements de la sphère de sécurité, l'utilisation des clauses contractuelles types est un moyen de fournir la protection nécessaire. (VWLO SRVVLEOH SRXU GHV HQWUHSULVHV LQVWDOOpHV DX[ eWDWV8QLV Q DGKpUDQWSDVODVSKqUHGHVpFXULWpG XWLOLVHUOHVUqJOHVGHODVSKqUH GHVpFXULWpDSSURSULpHVGDQVOHFDGUHGXFRQWUDW" Oui, pourvu qu'elles appliquent également les trois principes obligatoires de protection des données énoncés en annexe (applicables à tous les pays de destination): limitation d'objectifs, restrictions au transfert ultérieur et droits d'accès, de rectification, de suppression et d'objection. -5-