 |
[EN BREF] Du nouveau en matière de transfert de données à caractère personnelKaren RosierJeudi 03.10.13 |
La législation relative à la protection des données à caractère personnel recèle parfois des difficultés administratives singulières.
C’est le cas en Belgique puisque si, comme dans tous les autres pays de l’Union européenne, il est interdit de transférer des données à caractère personnel en dehors du territoire de l’Espace économique européen vers un pays qui n’offre pas un niveau de protection adéquat, le régime d’exception qui est prévu en droit belge était particulièrement lourd.
En effet, hormis des cas où le transfert est tout de même admis en application de l’article 22, § 1er, de la loi du 8 décembre 1992 (par exemple, si la personne concernée a donné son consentement, que le transfert est nécessaire à l’exécution du contrat conclu entre la personne concernée et le responsable de traitement, etc.), un transfert ou un ensemble de transferts de données à caractère personnel vers un pays hors Espace économique européen et n’assurant pas un niveau de protection adéquat peut intervenir lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants (cf. note 1).
La protection peut ainsi être assurée au moyen d’un contrat liant celui qui envoie les données et celui qui les reçoit et contenant des garanties suffisantes au regard de la protection des données.
Ceci dit, en Belgique, la procédure est particulièrement lourde, car le transfert doit être spécifiquement autorisé par arrêté royal après avis de la Commission de la protection de la vie privée en application de l’article 26 de la loi du 8 décembre 1992 (cf. note 2).
La Commission de la protection de la vie privée vient d’annoncer qu’elle a conclu un protocole d’accord avec le S.P.F. Justice en date du 25 juin 2013 visant à simplifier cette procédure administrative (cf. note 3).
Désormais, lorsque le contrat est conforme à un des modèles qui ont été établis par la Commission européenne, un arrêté royal n’est pas nécessaire pour entériner ce contrat type. Cela fait référence aux modèles proposés par la Commission européenne (cf. note 4), respectivement pour un transfert de responsable de traitement vers un responsable de traitement (cf. note 5) et un transfert d’un responsable de traitement vers un sous-traitant (cf. note ). Dans ce cas, il suffit de soumettre le contrat à la Commission de la protection de la vie privée qui en vérifiera la conformité par rapport aux modèles de la Commission européenne, la confirmation de cette conformité valant date à laquelle la transmission des données est autorisée.
Lorsque les contrats s’écartent des modèles de la Commission européenne, l’exigence d’une approbation par arrêté royal demeure, mais il est convenu que ce soit la Commission de la protection de la vie privée qui effectue l’essentiel du travail. Elle vérifiera la conformité aux règles de protection des données et les contrats qui donneront lieu à un avis positif de la Commission seront envoyés au S.P.F. Justice qui vérifiera alors si la procédure a été suivie et soumettra le contrat à la signature du Roi.
Cela devrait, selon la Commission, réduire le délai de procédure d’approbation d’un contrat sur mesure.
Karen Rosier
Assistante à la faculté de droit des FUNDP, chercheuse au Centre de Recherches Informatique et Droit (Crid), avocat au barreau de Namur
Notes:
(1) Loi du 8 décembre 1992, art. 22.
(2) Pour un cas d’application, voy. Commission de la protection de la vie privée, avis n° 13/2007 relatif à un projet d’arrêté royal autorisant les transferts vers un pays non-membre de la Communauté européenne et n’assurant pas un niveau de protection adéquat de données à caractère personnel d’employés de la société General Electric, 21 mars 2007, www.privacycommission.be.
(3) Voy. le site www.privacycommission.be sur lequel cet accord est mis en ligne.
(4) Ces contrats standards sont disponibles sur le site de la Commission européenne : http://ec.europa.eu/justice/policies/privacy/modelcontracts.
(5) Voy. décision 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, telle que modifiée par la décision 2004/915.CE.
(6) Voy. décision de la Commission du 5 février 2010 (C(2010)593 final) relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil ; décision 2002/16/CE relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE.
Cet article a été précédemment publié par le même auteur dans le n° 504 du Bulletin Social et Juridique.(www.lebulletin.be)