- Avis du 6 juillet 2011

06/07/2011 - 15/2011

Jurisprudence

Résumé

Sommaire 1

La Commission émet un avis favorable sur le modèle d'avant-projet d'arrêté royal autorisant le responsable du traitement de l'entreprise [...] à effectuer des transferts transfrontières conformément à ses règles d'entreprise contraignantes.


Avis - Texte intégral

La Commission de la protection de la vie privée ;

Vu la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après LVP), en particulier l'article 29 ;

Vu la demande d'avis de Monsieur Stefaan DE CLERCK, Ministre de la Justice, reçue le 19/05/2011;

Vu le rapport de Monsieur Willem Debeuckelaere, Président;

Émet, le 6 juillet, l'avis suivant :

I. OBJET ET CONTEXTE DE LA DEMANDE D'AVIS

1. Monsieur Stefaan De Clerck, Ministre de la Justice, demande l'avis de la Commission concernant un modèle d'avant-projet d'arrêté royal autorisant le responsable du traitement de l'entreprise [...] à effectuer des transferts transfrontières conformément à ses règles d'entreprise contraignantes (ci-après "modèle d'AR"), et concernant le modèle de rapport au Roi y afférent.

2. Le modèle d'AR est destiné à porter exécution de l'article 22, § 1, alinéa 2 de la LVP, libellé comme suit : "Sans préjudice des dispositions de l'alinéa précédent, le Roi peut, après avis de la Commission de la protection de la vie privée, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées."

II. EXAMEN DE LA DEMANDE D'AVIS

3. L'article 22, § 1, alinéa 2 de la LVP lie la compétence d'autorisation du Roi à plusieurs conditions. Le modèle d'AR est confronté ci-après à chacune de ces conditions.

Après avis de la Commission de la protection de la vie privée

4. Dans les considérants, le modèle d'AR renvoie explicitement à un avis préalable de la Commission. Cette condition est par conséquent remplie.

5. Il convient de formuler une remarque importante : l'avis de la Commission ne se rapporte forcément qu'à la réalité d'un moment précis. Les garanties qui sont suffisantes aujourd'hui peuvent, après un certain temps, ne plus suffire. Tant des évolutions au niveau technique que des modifications dans la réglementation ou dans les pratiques de pays tiers peuvent en être la cause. Si l'entreprise en question ne réagit pas de manière appropriée, l'arrêté d'autorisation doit, le cas échéant, être retiré. La Commission recommande d'au moins faire référence au retrait éventuel de l'autorisation dans le modèle de rapport au Roi si les conditions définies dans la LVP ne sont plus remplies.

Le responsable du traitement offre des garanties suffisantes

6. D'après les considérants, le modèle d'AR ne s'appliquera qu'après un avis positif de la Commission concernant les garanties offertes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants.

7. Les règles d'entreprise contraignantes seront annexées au modèle d'AR (cf. article 2), mais la publication au Moniteur belge pourra se limiter à un extrait. Dans la pratique, on omettra souvent l'annexe reprenant les règles d'entreprise contraignantes.

8. La publication intégrale des garanties offertes par le responsable du traitement ne fait pas partie des exigences liées par la LVP à l'autorisation par le Roi (article 22, § 1, alinéa 2 de la LVP). La publication des règles d'entreprise contraignantes au Moniteur belge n'est, par définition, pas davantage nécessaire pour permettre aux personnes concernées d'exercer leurs droits.

9. Dans les règles d'entreprise contraignantes, le responsable du traitement s'engage vis-à-vis des personnes concernées à leur garantir un accès aisé. Plus particulièrement, chaque personne concernée doit accéder facilement aux clauses lui accordant des droits. Les modalités selon lesquelles l'entreprise garantit cette transparence seront évaluées au cas par cas par la Commission.

10. La publication systématique des règles d'entreprise contraignantes se heurte également à des obstacles pragmatiques. Les règles d'entreprise contraignantes se composent généralement de plusieurs documents qui constituent ensemble un volume important. La forme n'est pas adaptée à celle habituellement utilisée pour les arrêtés royaux. En outre, ces documents sont nécessairement de nature évolutive, par exemple en ce qui concerne les modifications apportées à la liste des entreprises soumises aux règles d'entreprise contraignantes, les modalités pratiques de la procédure de plainte interne ou l'adaptation du programme de formation pour les travailleurs.

11. La Commission estime que sur ce point, le modèle d'AR est conforme à la LVP. Si dans des cas individuels, une publication partielle ou non des règles d'entreprise contraignantes au Moniteur belge s'avère malgré tout nécessaire, la Commission le mentionnera dans son avis.

Autoriser un transfert ou un ensemble de transferts de données à caractère personnel

12. Le modèle de rapport au Roi précise, eu égard à l'article 2, que l'autorisation est accordée pour les transferts transfrontières régis par les règles d'entreprise contraignantes auxquels ils sont soumis.

13. La Commission estime judicieux de définir de la sorte dans l'arrêté d'autorisation la catégorie de transferts visés. Pour les entités belges, l'exigence légale d'obtenir une autorisation par AR pour des transferts vers des pays tiers représente une charge administrative très lourde. En n'entrant pas dans les détails, le modèle d'AR vise donc à juste titre la durabilité.

14. Les personnes concernées sont d'ailleurs informées par le biais d'autres canaux des données qui sont traitées à leur sujet, des finalités visées et des cas où il est question d'un transfert vers des pays tiers. Conformément à l'article 9 de la LVP, le responsable du traitement est tenu d'informer les personnes concernées. Conformément à l'article 17 de la LVP, le responsable du traitement doit en outre faire une déclaration des traitements qu'il envisage. Si les données traitées sont destinées à faire l'objet d'une transmission vers l'étranger, la déclaration doit mentionner les catégories de données qui font l'objet de la transmission ainsi que le pays de destination (article 17, § 6 de la LVP). Le responsable du traitement est tenu d'actualiser la déclaration à temps (article 17, § 7 de la LVP).

Ces canaux d'information sont flexibles et faciles à tenir à jour par le responsable du traitement, ce qui n'est pas le cas d'un arrêté d'autorisation.

15. La Commission estime que sur ce point, le modèle d'AR est conforme à la LVP.

Vers un pays non membre de la Communauté européenne et n'assurant pas un niveau de protection adéquat

16. Le modèle de rapport au Roi précise qu'il s'agit de tout pays en dehors de la Communauté européenne pour lequel la Commission européenne n'a pas explicitement constaté qu'il offre en tant que tel un niveau de protection adéquat pour des données à caractère personnel. Cela correspond à la pratique en vigueur au sein de l'Union européenne qui exige que dans ce cas, les transferts doivent être couverts par l'une des dérogations visées à l'article 26 de la Directive 46/95.

PAR CES MOTIFS,

La Commission émet un avis favorable sur le modèle d'avant-projet d'arrêté royal autorisant le responsable du traitement de l'entreprise [...] à effectuer des transferts transfrontières conformément à ses règles d'entreprise contraignantes.

Pour l'Administrateur e.c., Le Président,

(sé) Patrick Van Wouwe (sé) Willem Debeuckelaere

Mots libres

  • Demande d'avis concernant un modèle d'avant-projet d'arrêté royal autorisant le responsable du traitement de l'entreprise [...] à effectuer des transferts transfrontières conformément à ses règles d'entreprise contraignantes (CO-A-2011-014)