Clauses contractuelles types pour le transfert des
0(02
Bruxelles, le 18 juin 2001
&ODXVHV FRQWUDFWXHOOHV W\SHV SRXU OH WUDQVIHUW GHV
GRQQpHVjFDUDFWqUHSHUVRQQHOYHUVGHVSD\VWLHUV
TXHVWLRQVIUpTXHPPHQWSRVpHV)$4
La directive 95/46/CE UHODWLYHjODSURWHFWLRQGHVSHUVRQQHVSK\VLTXHVjOpJDUGGX
WUDLWHPHQW GHV GRQQpHV j FDUDFWqUH SHUVRQQHO HW j OD OLEUH FLUFXODWLRQ GH FHV
GRQQpHV oblige les États membres à permettre les transferts de données
personnelles vers des pays situés en dehors de l'Union européenne uniquement s'il
existe une protection appropriée de ces données, sous réserve de l'application d'un
nombre limité d'exemptions spécifiques. Lorsque cela n'est pas le cas, le transfert ne
doit pas être autorisé.
Sans de telles règles, les normes élevées de protection des données instituées par
la directive seraient rapidement vidées de leur substance, étant donné la facilité avec
laquelle les données peuvent circuler sur les réseaux internationaux.
L'article 26 (4) de la directive permet à la Commission, avec le soutien d'un comité
de projet constitué de représentants des États membres, de publier des clauses
contractuelles types afin de se conformer aux exigences énoncées par la directive
en matière de transfert de données vers des pays tiers.
Les présentes FAQ résument les principaux points de la décision sur les clauses
contractuelles types que vient d'adopter la Commission européenne (voir IP/01/ ) et
fournissent des informations aux personnes et aux sociétés sur la manière d'utiliser
au mieux ces clauses.
/HV FODXVHV FRQWUDFWXHOOHV W\SHV VRQWHOOHV REOLJDWRLUHV SRXU OHV
HQWUHSULVHV TXL VRXKDLWHUDLHQW WUDQVIpUHU GHV GRQQpHV YHUV GHV SD\V
WLHUV"
Non. Les clauses contractuelles types ne sont pas obligatoires pour les entreprises
et ne sont pas le seul moyen de transférer légalement des données vers des pays
tiers.
Tout d'abord, les organisations n'en ont pas besoin si elles veulent transférer des
données personnelles à des destinataires installés dans des pays que la
Commission reconnaît comme fournissant une protection des données appropriée.
Tel est le cas des transferts vers des sociétés basées en Suisse, en Hongrie ou aux
États-Unis qui adhèrent aux principes de la sphère de sécurité énoncée par le
ministère du commerce des États-Unis (voir IP/00/865).
-2-
Deuxièmement, même si le pays de destination n'offre pas un niveau approprié de
protection, les données peuvent être transférées dans des cas spécifiques,
énumérés à l'article 26 (1) de la directive:
1. la personne concernée a donné indubitablement son consentement au
transfert envisagé;
2. le transfert est nécessaire à l'exécution d'un contrat entre la personne
concernée et le responsable du traitement ou à l'exécution de mesures pré-
contractuelles prises à la demande de la personne concernée;
3. le transfert est nécessaire à la conclusion et l'exécution d'un contrat conclu ou
à conclure dans l'intérêt de la personne concernée entre le responsable du
traitement et un tiers;
4. le transfert est nécessaire ou rendu juridiquement obligatoire pour la
sauvegarde d'un intérêt public important ou pour la constatation, l'exercice ou
la défense d'un droit de justice;
5. le transfert est nécessaire à la sauvegarde de l'intérêt vital de la personne
concernée ou
6. le transfert intervient au départ d'un registre public qui, en vertu des
dispositions législatives ou réglementaires, est destiné à l'information du public
et est ouvert à la consultation du public ou de toute personne justifiant d'un
intérêt légitime, dans la mesure où les conditions légales pour la consultation
sont remplies dans le cas particulier.
Enfin, conformément à l'article 26 (2), les autorités nationales peuvent autoriser au
cas par cas des transferts spécifiques vers un pays tiers n'assurant pas un niveau de
protection adéquat lorsque l'exportateur au sein de l'UE offre des garanties
concernant la protection de la vie privée et des droits fondamentaux des personnes
ainsi qu'à l'égard de l'exercice des droits correspondants. Ces garanties peuvent être
fournies, par exemple, au moyen d'accords contractuels entre l'exportateur et
l'importateur de données, sous réserve de l'approbation préalable des autorités
nationales.
/HVHQWUHSULVHVSHXYHQWHOOHVHQFRUHVHILHUjGHVFRQWUDWVGLIIpUHQWV
DSSURXYpVDXQLYHDXQDWLRQDO"
Oui. Les clauses contractuelles types ne préjugent pas des dispositions
contractuelles passées ou futur autorisées par les autorités de protection des
données nationales conformément à la législation nationale.
/HV eWDWV PHPEUHV SHXYHQWLOV EORTXHU RX VXVSHQGUH GHV WUDQVIHUWV
GHGRQQpHVHQXWLOLVDQWGHVFODXVHVFRQWUDFWXHOOHVW\SHV"
Oui, mais seulement dans les circonstances exceptionnelles indiquées à l'article 3 de
la décision de la Commission. Ces cas sont les suivants:
(a) il est établi que la loi à laquelle l'importateur de données est soumis l'oblige à
déroger des règles de protection des données appropriées et au-delà des
restrictions nécessaires dans une société démocratique, conformément à
l'article 13 de la décision 95/46/CE, lorsque ces dérogations risquent d'avoir un
effet contraire important sur les garanties fournies par les clauses
contractuelles types, ou
-3-
(b) une autorité compétente a établi que l'importateur de données n'a pas
respecté les clauses contractuelles ou
(c) il existe une forte probabilité que les clauses contractuelles types dans les
annexes ne sont pas ou ne seront pas respectées et que la poursuite du
transfert entraînerait un risque imminent de dommages graves pour les
personnes dont les données sont traitées.
Cette clause de sauvegarde ne devrait être que très rarement utilisée, puisqu'elle ne
concerne que des cas exceptionnels. Comme le prévoit l'article 3 (3) de la décision,
la Commission européenne sera informée de toute utilisation faite par les États
membres de cette clause de sauvegarde et transmettra les informations reçues aux
autres États membres. La Commission peut prendre des mesures appropriées
conformément à la procédure établie à l'article 31 (2) de la directive 95/46/CE.
/HV HQWUHSULVHV SHXYHQWHOOHV DSSOLTXHU OHV FODXVHV FRQWUDFWXHOOHV
W\SHVGDQVXQFRQWUDWSOXVODUJHHWDMRXWHUGHVFODXVHVVSpFLILTXHV"
Oui. Les parties sont libres de convenir d'ajouter des clauses supplémentaires du
moment que celles-ci ne contredisent pas, directement ou indirectement, les clauses
contractuelles types approuvées par la Commission ou ne portent pas préjudice aux
libertés et droits fondamentaux des personnes dont les données sont traitées. Il est
possible, par exemple, d'inclure des garanties ou protections supplémentaires pour
les personnes (par exemple, procédures en ligne ou dispositions appropriées
contenues dans une police privée, etc.). Toutes ces autres clauses que les parties
peuvent décider d'ajouter ne seraient pas couvertes par les droits bénéficiaires pour
les tiers et jouiraient des droits de confidentialité si appropriés.
Les États membres peuvent également préciser ou compléter l'annexe jointe au
contrat.
Dans tous les cas, les clauses types doivent être pleinement respectées pour
assurer la garantie juridique d'une protection appropriée en cas de transfert de
données personnelles, comme le demande la directive de l'UE.
/HV LPSRUWDWHXUV GH GRQQpHV SHXYHQWLOV rWUH H[HPSWpV GH
ODSSOLFDWLRQGHVSULQFLSHVREOLJDWRLUHVSRXUUHPSOLUOHXUVREOLJDWLRQV
GDQVOHFDGUHGHODOpJLVODWLRQQDWLRQDOH"
Oui, comme il est prévu au dernier paragraphe des principes obligatoires, ils peuvent
le faire dans la mesure où ils ne sont pas confrontés à des exigences obligatoires
qui vont au-delà des restrictions nécessaires dans une société démocratique, parce
qu'elles sont indispensables pour sauvegarder la sûreté de l'État, la défense, la
sécurité publique, la prévention, la recherche, la détection et la poursuite
d'infractions pénales ou la violation de l'éthique pour les professions réglementées
ou défendre un intérêts économiques ou financier important de l'État, la protection
des personnes dont les données sont traitées ou les droits et libertés d'autres
personnes.
4XHVLJQLILHUHVSRQVDELOLWpVROLGDLUHHWLOOLPLWpH"
Cela signifie que, lorsque des personnes dont les données sont traitées ont souffert
un préjudice par suite de la violation des droits qui leur sont conférés par le contrat,
elles ont le droit d'obtenir une compensation soit de l'exportateur de données, soit de
l'importateur de données, soit des deux.
-4-
Sans la responsabilité conjointe et illimitée, les mesures de protection des données
prévues par les clauses contractuelles types seraient gravement amoindries. Le
principal défi lors de l'élaboration de cette décision était de trouver des moyens de
garantir que les droits des personnes concernées - qui ne sont pas des parties aux
contrats - soient convenablement protégés.
Lorsqu'elles s'efforcent de faire valoir leurs droits dans le cadre d'un contrat entre
deux contrôleurs de données, l'un à l'intérieur et l'autre à l'extérieur de l'UE, les
personnes dont les données sont traitées se trouvent confrontées à deux difficultés
principales. Premièrement, lorsqu'une des personnes concernées prend conscience
d'une violation de ses droits en matière de protection des données, il est très
souvent difficile de savoir qui exactement en est responsable. Les données ont-elles
été révélées illégalement par l'exportateur de données avant le transfert ou par
l'importateur de données après le transfert ? La responsabilité conjointe et illimitée
empêche que cette incertitude ne devienne un obstacle à la revendication d'un
dédommagement.
Deuxièmement, même si la personne concernée sait que la violation a été commise
par l'importateur, il peut lui être très difficile en pratique de faire appliquer le contrat
et d'obtenir une compensation de l'importateur extérieur à l'UE. Le fait de soumettre
l'importateur à la juridiction européenne ne résout pas entièrement le problème,
parce que la reconnaissance et l'application des décisions des cours européennes
ne sont pas toujours possibles dans le pays où l'importateur est installé. En tout cas,
il est beaucoup plus simple de poursuivre l'exportateur de données installé sur le
territoire de l'UE.
&HOD QHQWUDvQHUDWLO SDV GHV FKDUJHV LQpTXLWDEOHV SRXU OHV
H[SRUWDWHXUVHWRXLPSRUWDWHXUVTXLQRQWSDVFRPPLVGLQIUDFWLRQ"
Non. Plusieurs mesures ont été prises pour l'éviter. Notamment, la portée et
l'applicabilité de la responsabilité conjointe et illimitée sont strictement restreintes.
Elles ne s'appliquent qu'aux violations des clauses qui engendrent des droits pour
les personnes dont les données sont traitées (voir la "clause bénéficiaire pour les
tiers", clause 3) et seulement dans les cas où il est nécessaire de dédommager des
personnes pour des préjudices causés par la violation.
Par conséquent, divers scénarios qui ont inquiété les répondants lors de l'élaboration
de la décision sont clairement exclus. Par exemple, les sociétés installées en dehors
de l'UE ont avancé qu'elles pourraient être tenues pour responsables des violations
de la législation nationale (opérations de traitement illégales) commises par
l'exportateur de données avant le transfert des données et risqueraient d'être
poursuivies devant les tribunaux de l'UE, mais cela est exclu en raison de la portée
limitée de la clause 3.
Les sociétés installées sur le territoire de l'UE, d'autre part, craignent de devoir être
obligées de dédommager les personnes concernées pour des préjudices résultant
d'une violation commise par l'importateur de données. Cette possibilité est
contrebalancée par la clause d'indemnisation mutuelle qui, dans un tel cas,
donnerait à l'exportateur le droit d'obtenir auprès de l'importateur toute compensation
qu'il aurait dû verser à la personne dont les données sont traitées. La règle générale
est que chaque partie au contrat est responsable de ses actes liés à la personne
concernée.
-5-
On pourrait avancer que la demande d'indemnisation en elle-même représente une
charge pour l'exportateur. La validité de cet argument est reconnue, mais on estime
qu'il est plus juste que cette charge pèse sur l'exportateur plutôt que sur les
personnes, qui n'ont souvent rien à voir avec le transfert. En outre, si le risque de
subir toute charge de ce type rend les exportateurs de données plus prudents en ce
qui concerne le choix de leur importateur de données, cet effet est tout à fait
bénéfique.
(VWLO SRVVLEOH SRXU GHV RUJDQLVDWLRQV LQVWDOOpHV DX[ eWDWV8QLV
DGKpUDQW j ODVSKqUH GHVpFXULWp GXWLOLVHU OHV FODXVHV FRQWUDFWXHOOHV
W\SHVDILQGHUHFHYRLUGHVGRQQpHVGHO8("
En règle générale, les clauses contractuelles types ne sont pas nécessaires si le
destinataire des données est couvert par un système garantissant une protection
des données appropriée similaire à celle de la sphère de sécurité. Cependant, si le
transfert porte sur des données non couvertes par les engagements de la sphère de
sécurité, l'utilisation des clauses contractuelles types est un moyen de fournir la
protection nécessaire.
(VWLO SRVVLEOH SRXU GHV HQWUHSULVHV LQVWDOOpHV DX[ eWDWV8QLV
QDGKpUDQWSDVODVSKqUHGHVpFXULWpGXWLOLVHUOHVUqJOHVGHODVSKqUH
GHVpFXULWpDSSURSULpHVGDQVOHFDGUHGXFRQWUDW"
Oui, pourvu qu'elles appliquent également les trois principes obligatoires de
protection des données énoncés en annexe (applicables à tous les pays de
destination): limitation d'objectifs, restrictions au transfert ultérieur et droits d'accès,
de rectification, de suppression et d'objection.
1
/
5
100%
