L_2016344FR.01008301.xml
| 17.12.2016 | FR | Journal officiel de l'Union européenne | L 344/83 |
DÉCISION D'EXÉCUTION (UE) 2016/2295 DE LA COMMISSION
du 16 décembre 2016
modifiant les décisions 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE et 2011/61/UE, et les décisions d'exécution 2012/484/UE et 2013/65/UE constatant, conformément à l'article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par certains pays
[notifiée sous le numéro C(2016) 8353]
(Texte présentant de l'intérêt pour l'EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne,
vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1), et notamment son article 25, paragraphe 6,
après consultation du Contrôleur européen de la protection des données,
considérant ce qui suit:
| (1) | Dans son arrêt du 6 octobre 2015 dans l'affaire C-362/14, Maximillian Schrems/Data Protection Commissioner (2), la Cour de justice de l'Union européenne a constaté qu'en adoptant l'article 3 de la décision 2000/520/CE (3), la Commission a outrepassé la compétence qui lui est attribuée à l'article 25, paragraphe 6, de la directive 95/46/CE, lu à la lumière de la Charte des droits fondamentaux de l'Union européenne, et a déclaré que l'article 3 de la décision était de ce fait invalide. |
| (2) | L'article 3, paragraphe 1, premier alinéa, de la décision 2000/520/CE fixait les conditions restrictives dans lesquelles les autorités nationales de contrôle pouvaient décider de suspendre les flux de données vers une entreprise américaine autocertifiée, nonobstant la constatation par la Commission du caractère adéquat du niveau de protection. |
| (3) | Dans son arrêt Schrems, la Cour de justice a précisé que les autorités nationales de contrôle demeurent compétentes pour contrôler le transfert de données à caractère personnel vers un pays tiers ayant fait l'objet d'une décision de la Commission constatant le caractère adéquat du niveau de protection (aussi appelée «décision d'adéquation») et que cette dernière n'est pas compétente pour réduire les pouvoirs reconnus par l'article 28 de la directive 95/46/CE. Aux termes de cet article, les autorités en question disposent, notamment, de pouvoirs d'investigation, tels que celui de recueillir toutes les informations nécessaires à l'accomplissement de leur mission de contrôle, de pouvoirs effectifs d'intervention, tels que celui d'interdire temporairement ou définitivement un traitement de données, et du pouvoir d'ester en justice (4). |
| (4) | La Cour de justice a rappelé dans l'arrêt Schrems que, conformément à l'article 25, paragraphe 6, second alinéa, de la directive 95/46/CE, les États membres et leurs organes doivent prendre les mesures nécessaires pour se conformer aux actes des institutions de l'Union, car ces derniers jouissent, en principe, d'une présomption de légalité et produisent, dès lors, des effets juridiques aussi longtemps qu'ils n'ont pas été retirés, annulés dans le cadre d'un recours en annulation ou déclarés invalides à la suite d'un renvoi préjudiciel ou d'une exception d'illégalité. |
| (5) | En conséquence, une décision d'adéquation de la Commission adoptée sur le fondement de l'article 25, paragraphe 6, de la directive 95/46/CE a un caractère contraignant pour tous les organes des États membres destinataires, y compris leurs autorités de surveillance indépendantes, en ce qu'elle a pour effet d'autoriser des transferts de données à caractère personnel depuis les États membres vers le pays tiers visé par celle-ci (5). Il s'ensuit que les autorités nationales de contrôle, ne sauraient adopter des mesures contraires à une décision d'adéquation de la Commission, telles que des actes déclarant cette décision invalide ou des actes visant à constater avec effet contraignant que le pays tiers visé par ladite décision n'assure pas un niveau de protection adéquat. Comme l'a précisé l'arrêt Schrems, cela n'empêche pas une autorité nationale de contrôle d'examiner la demande d'une personne relative au niveau de protection de ses données à caractère personnel assuré dans un pays tiers visé par une décision d'adéquation de la Commission et, si elle l'estime pertinent, d'engager un recours devant les juridictions nationales afin que ces dernières, si elles partagent les doutes de cette autorité quant à la validité de la décision de la Commission, procèdent à un renvoi préjudiciel aux fins de l'examen de la validité de cette décision (6). |
| (6) | Les décisions de la Commission 2000/518/CE (7), 2002/2/CE (8), 2003/490/CE (9), 2003/821/CE (10), 2004/411/CE (11), 2008/393/CE (12), 2010/146/UE (13), 2010/625/UE (14) et 2011/61/UE (15), et les décisions d'exécution de la Commission 2012/484/UE (16) et 2013/65/UE (17) de la Commission, qui sont des décisions d'adéquation, prévoient une limitation des pouvoirs des autorités nationales de contrôle qui est comparable à celle figurant à l'article 3, paragraphe 1, premier alinéa, de la décision 2000/520/CE, déclarée invalide par la Cour de justice. |
| (7) | Eu égard à l'arrêt Schrems et conformément à l'article 266 du traité, les dispositions de ces décisions limitant les pouvoirs des autorités nationales de contrôle devraient donc être remplacées. |
| (8) | Dans l'arrêt Schrems, la Cour a également précisé que, le niveau de protection assuré par un pays tiers étant susceptible d'évoluer, il incombe à la Commission, après l'adoption d'une décision au titre de l'article 25, paragraphe 6, de la directive 95/46/CE, de vérifier de manière périodique si la constatation relative au niveau de protection adéquat assuré par le pays tiers en cause est toujours justifiée en fait et en droit (18). Compte tenu des conclusions dudit arrêt concernant l'accès des autorités publiques aux données à caractère personnel, le droit et les pratiques régissant cet accès devraient également faire l'objet d'un contrôle. |
| (9) | Par conséquent, pour les pays ayant fait l'objet d'une décision constatant le caractère adéquat du niveau de protection, la Commission suivra de manière permanente, sur le plan du droit et des pratiques, les évolutions susceptibles d'entraver le fonctionnement de telles décisions, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel. |
| (10) | Pour que le fonctionnement des décisions actuellement en vigueur constatant le caractère adéquat du niveau de protection puisse être contrôlé efficacement, la Commission devrait être informée par les États membres des mesures pertinentes prises par les autorités nationales de contrôle. |
| (11) | Le groupe de protection des personnes à l'égard du traitement des données à caractère personnel, institué par l'article 29 de la directive 95/46/CE, a rendu un avis qui a été pris en compte lors de l'élaboration de la présente décision. |
| (12) | Les mesures prévues dans la présente décision sont conformes à l'avis du comité institué par l'article 31, paragraphe 1, de la directive 95/46/CE. |
| (13) | Il convient donc de modifier les décisions 2000/518/CE, 2002/2/CE, 2003/490/CE, 2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE et 2011/61/UE, et les décisions d'exécution 2012/484/UE et 2013/65/UE en conséquence, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
La décision 2000/518/CE est modifiée comme suit:
| 1) | L'article 3 est remplacé par le texte suivant: «Article 3 Lorsque les autorités compétentes des États membres exercent leurs pouvoirs conformément à l'article 28, paragraphe 3, de la directive 95/46/CE pour suspendre ou interdire définitivement les flux de données vers la Suisse afin de protéger les individus à l'égard du traitement de leurs données à caractère personnel, les États membres concernés en informent sans délai la Commission, qui transmet l'information aux autres États membres.» |
| 2) | L'article 3 bis suivant est inséré: «Article 3 bis 1. La Commission suit, de manière permanente, les évolutions de l'ordre juridique suisse susceptibles d'entraver le fonctionnement de la présente décision, notamment les évolutions concernant l'accès des autorités publiques aux données à caractère personnel, afin d'évaluer si la Suisse continue d'assurer un niveau de protection adéquat des données à caractère personnel. 2. Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités suisses chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect. 3. Les États membres et la Commission s'informent mutuellement de tout élément indiquant que des interférences des autorités publiques suisses responsables de la sécurité nationale, de l'application de la loi ou d'autres intérêts publics avec le droit de l'individu à la protection de ses données à caractère personnel vont au-delà de ce qui est strictement nécessaire, ou qu'il n'existe pas de protection juridictionnelle effective contre des interférences de cette nature. 4. Si des éléments révèlent qu'un niveau de protection adéquat n'est plus assuré, y compris dans les situations visées aux paragraphes 2 et 3 du présent article, la Commission en informe l'autorité suisse compétente et, si nécessaire, présente un projet des mesures à prendre conformément à la procédure visée à l'article 31, paragraphe 2, de la directive 95/46/CE en vue d'annuler ou de suspendre la présente décision ou d'en limiter la portée.» |
Article 2
La décision 2002/2/CE est modifiée comme suit:
| 1) | L'article 3 est remplacé par le |
...
