Données personnelles : modification des clauses contractuelles types et décisions d’adéquation de la Commission européenne
Par deux décisions d’exécution en date du 16 décembre 2016 (n°2016/2295 et n°2016/2297), la Commission européenne a modifié les clauses contractuelles types et les décisions d’adéquation afin de prendre en considération certaines critiques émises par l’arrêt « Schrems » de la Cour de justice de l’Union européenne (arrêt C-361/14 du 6 octobre 2015; voir notre présentation).
À la question de savoir si les autorités nationales de protection des données étaient liées par une décision constatant l’existence d’une protection adéquate, la Cour a en effet répondu clairement que celles-ci devaient demeurer en mesure de diligenter des contrôles en toute indépendance sans qu’une telle décision ne vienne réduire les pouvoirs que leur confère l’article 28 § 3 de la directive 95/46 du 24 octobre 1995.
Dans ces deux décisions du 16 décembre 2016, la Commission rappelle que les décisions adoptées conformément aux articles 26 § 4 (relatif aux clauses contractuelles types) ou 25 § 6 (relatif aux décisions d’adéquation) – bien que bénéficiant d’une présomption de légalité – ne doivent pas empêcher une autorité nationale de contrôle :
- de suspendre ou d’interdire un transfert lorsqu’elle constate que ce dernier est effectué en violation de la législation européenne ; ou
- d’engager un recours devant les juridictions nationales en vue d’un renvoi préjudiciel aux fins de l’examen de la validité d’une décision d’adéquation.
La décision d’exécution 2016/2297 modifie ainsi les décisions 2001/497 et 2010/87 relatives aux clauses contractuelles-types en supprimant toute restriction à la possibilité pour les autorités de suspendre ou d’interdire les flux de données.
Une telle mesure n’était, rappelons-le, jusque-là possible que dans les cas où :
« a) il est établi que le droit auquel l’importateur de données est soumis oblige ce dernier à déroger aux règles pertinentes de protection des données au-delà des restrictions nécessaires dans une société démocratique comme le prévoit l’article 13 de la directive 95/46/CE lorsque ces obligations risquent d’altérer considérablement les garanties offertes […], ou
b) une autorité compétente a établi que l’importateur de données n’a pas respecté les clauses du contrat, ou
c) il est fort probable que les clauses contractuelles types figurant dans l’annexe ne sont pas ou ne seront pas respectées et que la poursuite du transfert ferait courir aux personnes concernées un risque imminent de subir des dommages graves. »
La décision d’exécution 2016/2295 modifie de son côté les décisions suivantes :
- 2000/518 relative à la Suisse ;
- 2002/2 relative au Canada ;
- 2003/490 relative à l’Argentine ;
- 2003/821 relative à Guernesey ;
- 2004/411 relative à l’Ile de Man ;
- 2008/393 relative à Jersey ;
- 2010/146 relative aux Iles Féroé ;
- 2010/625 relative à Andorre ;
- 2011/61 relative à Israël ;
- 2012/484 relative à l’Uruguay ;
- 2013/65 relative à la Nouvelle-Zélande.
Elle supprime, d’une part, les restrictions apportées par ces décisions aux pouvoirs des autorités de contrôle, et impose, d’autre part, à la Commission de suivre les évolutions de l’ordre juridique des Etats concernés susceptibles d’entraver le fonctionnement des décisions d’adéquation.
Ces décisions constituent-elles le point final de la saga déclenchée par le citoyen Schrems ? Pour la sécurité juridique des transferts vers les pays tiers, on ne peut que l’espérer.
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Julie Tamba, avocat en droit de la propriété intellectuelle et droit commercial