Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441) (Text with EEA relevance) (2000/520/EC)

• Published date: 25 August 2000
• Subject Matter: Principles, objectives and tasks of the Treaties,Information and verification,Human rights
• Official Gazette Publication: Official Journal of the European Communities, L 215, 25 August 2000

2000D0520 — FR — 25.08.2000 — 000.001

---

Ce document constitue un outil de documentation et n’engage pas la responsabilité des institutions

►B DÉCISION DE LA COMMISSION du 26 juillet 2000 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique [notifiée sous le numéro C(2000) 2441] (Texte présentant de l'intérêt pour l'EEE) (2000/520/CE) (JO L 215, 25.8.2000, p.7)

Rectifié par:

C1 Rectificatif, JO L 115 du 25.4.2001, p. 14 (520/00)

---

▼B

DÉCISION DE LA COMMISSION

du 26 juillet 2000

conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à la pertinence de la protection assurée par les principes de la «sphère de sécurité» et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États-Unis d'Amérique

[notifiée sous le numéro C(2000) 2441]

(Texte présentant de l'intérêt pour l'EEE)

(2000/520/CE)

LA COMMISSION DES COMMUNAUTÉS EUROPÉENNES,

vu le traité instituant la Communauté européenne,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 1 ), et notamment son article 25, paragraphe 6,

considérant ce qui suit:

(1) Conformément à la directive 95/46/CE, les États membres sont tenus de veiller à ce que les transferts de données à caractère personnel vers un pays tiers n'aient lieu que si le pays en question assure un niveau de protection adéquat et si les lois des États membres qui mettent en œuvre d'autres dispositions de la directive sont respectées avant le transfert.

(2) La Commission peut constater qu'un pays tiers assure un niveau de protection adéquat. Dans ce cas, des données à caractère personnel peuvent être transférées sans que des garanties supplémentaires soient nécessaires.

(3) Conformément à la directive 95/46/CE, le niveau de protection des données doit s'apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et compte tenu de conditions données. Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par ladite directive ( 2 ) a formulé des indications concernant la réalisation de cette évaluation ( 3 ).

(4) Compte tenu des conceptions différentes de la protection des données dans les pays tiers, l'application du caractère adéquat de cette protection et l'application de toute décision au titre de l'article 25, paragraphe 6, de la directive 95/46/CE doivent se faire d'une façon ne désavantageant de façon arbitraire ou injustifiée aucun des pays tiers où des conditions similaires existent et ne constituent pas un obstacle déguisé aux échanges, eu égard aux engagements internationaux actuels de la Communauté.

(5) Le niveau de protection adéquat pour le transfert de données de la Communauté vers les États-Unis d'Amérique, reconnu conformément à la présente décision, devrait être obtenu si les organisations respectent les «principes de la “sphère de sécurité” relatifs à la protection de la vie privée» (ci-après dénommés «les principes») et les «questions souvent posées»«frequently asked questions» (FAQ) qui fournissent des orientations pour la mise en œuvre des principes publiés par le gouvernement des États-Unis le 21 juillet 2000. En outre, les organisations devraient divulguer leurs règles de confidentialité et relever de la compétence de la Commission fédérale du commerce [Federal Trade Commission (FTC)] au titre de la section 5 du Federal Trade Commission Act qui interdit les manœuvres et les pratiques déloyales ou frauduleuses dans le domaine du commerce, ou de tout autre organisme officiel assurant efficacement la mise en œuvre des principes conformément aux FAQ.

(6) Les secteurs et/ou les traitements de données qui ne relèvent pas aux États-Unis de la compétence des organes administratifs américains énumérés à l'annexe VII de la présente décision n'entrent pas dans le champ d'application de ladite décision.

(7) Pour que la présente décision soit valablement appliquée, il est nécessaire que les organisations qui souscrivent aux principes et aux FAQ puissent être identifiées par les parties intéressées, telles que les personnes concernées, les exportateurs de données ou les autorités chargées de la protection des données. À cet effet, le ministère américain du commerce, ou son représentant, devrait s'engager à tenir et à rendre publique la liste des organisations qui déclarent leur adhésion aux principes mis en œuvre conformément aux FAQ et qui relèvent de la compétence d'au moins un des organes administratifs énumérés à l'annexe VII de la présente décision.

(8) Dans un souci de transparence et en vue de permettre aux autorités compétentes des États membres d'assurer la protection des individus en ce qui concerne le traitement des données à caractère personnel, il est nécessaire d'indiquer dans la décision dans quelles circonstances exceptionnelles la suspension de certains flux de données peut être justifiée, même si le niveau de protection fourni a été jugé adéquat.

(9) La «sphère de sécurité» créée par les principes et les FAQ peut devoir être revue à la lumière de l'évolution de la protection de la vie privée, dans des circonstances où la technologie rend de plus en plus faciles le transfert et le traitement de données à caractère personnel, ainsi qu'à la lumière de rapports de mise en œuvre élaborés par les autorités compétentes.

(10) Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué en vertu de l'article 29 de la directive 95/46/CE, a formulé des avis sur le niveau de protection assuré par les mesures relatives à la «sphère de sécurité» aux États-Unis, dont il a été tenu compte lors de l'élaboration de la présente décision ( 4 ).

(11) Les mesures arrêtées dans la présente décision sont conformes à l'avis du comité institué en vertu de l'article 31 de la directive 95/46/CE.

(12) Conformément à la décision 1999/468/CE du Conseil, et notamment à son article 8, le Parlement européen a adopté la résolution A5-0177/2000 sur le projet de décision de la Commission relative à la pertinence au niveau de protection fourni par le principe de la sphère de sécurité et par les questions souvent posées y afférentes, publiées par le ministère du commerce des États-Unis d'Amérique ( 5 ). La Commission a réexaminé le projet de décision à la lumière de cette résolution et conclu que, bien que le Parlement européen ait exprimé l'opinion que certaines améliorations devaient être apportées aux principes de la sphère de sécurité et à la FAQ y afférentes avant que l'on puisse considérer qu'une «protection adéquate» est garantie, il n'a pas établi que la Commission dépasserait ses compétences en adoptant la décision,

▼B

A ARRÊTÉ LA PRÉSENTE DÉCISION:

Article premier

1. Aux fins de l'article 25 de la directive 95/46/CE, pour toutes les activités rentrant dans le domaine d'application de ladite directive, il est considéré que les «principes de la “sphère de sécurité” relatifs à la protection de la vie privée» (ci-après dénommés «les principes visés à l'annexe I de la présente décision»), appliqués conformément aux orientations fournies par les «questions souvent posées» [«frequently asked questions» (FAQ)] publiées le 21 juillet 2000 par le ministère du commerce des États-Unis d'Amérique, visées à l'annexe II de la présente décision, assurent un niveau adéquat de protection des données à caractère personnel transférées depuis la Communauté vers des organisations établies aux États-Unis compte tenu des documents suivants émis par le ministère du commerce des États-Unis:

a) une étude relative à la mise en œuvre des principes de la sphère de sécurité, visée à l'annexe III;

b) un aide-mémoire sur la réparation des préjudices subis par suite d'atteintes à la vie privée et sur les autorisations explicites prévues par le droit américain, visé à l'annexe IV;

c) une lettre de la Commission fédérale du commerce, visée à l'annexe V;

d) une lettre du ministère des transports des États-Unis, visée à l'annexe VI.

2. En ce qui concerne chaque transfert de données, les conditions suivantes doivent être remplies:

a) l'organisation destinataire des données s'est clairement et publiquement engagée à observer les principes mis en œuvre conformément aux FAQ et

b) l'organisation est soumise aux pouvoirs légaux d'un organe administratif américain énuméré à l'annexe VII de la présente décision, habilité à instruire des plaintes et à obtenir des mesures de redressement contre les pratiques déloyales ou frauduleuses ainsi que la réparation des préjudices subis par les personnes concernées, quel que soit leur pays de résidence ou leur nationalité, en cas de non-respect des principes mis en œuvre conformément aux FAQ.

3. Les conditions indiquées au paragraphe 2 sont considérées comme remplies par chaque organisation qui a déclaré son adhésion aux principes mis en œuvre conformément aux FAQ à compter de la date à laquelle elle avise le ministère américain du commerce (ou son représentant) de la divulgation de l'engagement visé au paragraphe 2, point a), et de l'identité de l'organe administratif visé au paragraphe 2, point b).

Article 2

La présente décision concerne uniquement le caractère adéquat de la protection fournie aux États-Unis par les principes mis en œuvre conformément aux FAQ en vue de répondre aux exigences de l'article 25, paragraphe 1, de...