Bruxelles, 22/01/2002 (Agence Europe) - La Commission a adopté mardi une décision établissant des clauses contractuelles type pour le transfert des données personnelles à des sous-traitants installés en dehors de l'UE qui ne sont pas reconnus comme garantissant un niveau approprié de protection des données. La décision simplifie la procédure pour les sociétés et organisations qui souhaitent ou doivent transférer des données personnelles pour traitement dans un pays tiers. Elle leur offre un moyen commode de remplir leurs obligations de garantir une "protection appropriée" des données personnelles transférées en dehors de l'UE. L'utilisation de ces clauses contractuelles types sera volontaire.
Les clauses contractuelles type ne sont que l'une des possibilités offertes par la directive sur la protection des données de transférer légalement des données personnelles en dehors de l'UE. La décision adoptée mardi énonce les droits et les obligations du "responsable du traitement" dans l'UE (c'est-à-dire toute personne ou tout organisme qui détermine les finalités et les moyens du traitement) et du "sous-traitant" établi en dehors de l'UE (c'est-à-dire un sous-traitant qui traite les données au nom d'un responsable du traitement) et les garanties nécessaires que tous deux doivent fournir afin de pouvoir effectuer le traitement de données personnelles en dehors de l'UE. Les clauses contractuelles type ne sont pas obligatoires pour les entreprises. Cependant, l'avantage de leur utilisation pour le transfert des données personnelles à des sous-traitants établis en dehors de l'UE est que les autorités responsables de la protection des données des Etats membres doivent reconnaître que ces transferts font l'objet d'une protection appropriée. Les clauses contractuelles type ajoutent donc une nouvelle possibilité à celles qu'offrait déjà la directive sur la protection des données, qui définit plusieurs cas dans lesquels des données peuvent être transférées à des pays dont le régime de protection des données n'est pas appropriée. Parmi ces cas: ceux dans lesquels des personnes ont donné leur consentement explicite au transfert de données en dehors de l'UE et ceux où le transfert est nécessaire à la conclusion ou à l'application d'un contrat dans l'intérêt des personnes concernées. En outre, les autorités responsables de la protection des Etats membres peuvent autoriser ces transferts au cas par cas, lorsqu'ils estiment que le traitement en dehors de l'UE fait l'objet d'une "protection appropriée". La décision n'empêche pas non plus les autorités de protection des données d'autoriser d'autres arrangements contractuels "ad hoc" pour les transferts internationaux de données du moment que ces autorités estiment que les contrats en question fournissent des garanties suffisantes en matière de protection des droits et libertés fondamentales des personnes et, notamment, le droit au respect de leur vie privée.
Rappelons que les clauses contractuelles ne sont pas nécessaires au transfert de données personnelles au sein de l'Espace économique européen, vers les pays dont les régimes de protection ont été reconnus par la Commission comme garantissant une protection suffisante (la Suisse, la Hongrie et le Canada) ou vers des sociétés des Etats-Unis qui appliquent les principes de la "sphère de sécurité" relatifs à la protection de la vie privée publiés par le ministère du commerce des Etats-Unis.