Flux transfrontières de données à caractère personnel

Est-ce que la l’Autorité pense que, parmi les solutions contractuelles, il est préférable d'utiliser les clauses contractuelles ou les règles d'entreprises contraignantes (ou "Binding Corporate Rules" ou "BCRs") ?

Le choix appartient au responsable de traitement. Les règles d'entreprises contraignantes conviennent naturellement plus aux sociétés multinationales qui souhaitent trouver des solutions juridiques pour leurs flux intra-groupe.

Voici quelques éléments de comparaison entre les deux systèmes:

BCRClauses contractuelles
But : Apporter des garanties suffisantes encadrant les transferts vers les pays tiers et donc se conformer à la Loi vie privéeIdem
Code de conduite rendu obligatoire au sein d’un groupe d’entreprisesContrat entre deux entités juridiques pouvant ou non appartenir à un même groupe d’entreprise
Encadre uniquement les flux intra-groupePermettent d’encadrer les flux intra et extra-groupe
Rédaction sur mesureRédaction sur mesure ou clauses-types de l’Autorité de protection des données européenne
Par nature, encadre de nombreux transferts avec des finalités différentesPar nature, encadre des transferts particuliers
Par nature un seul code pour tout le groupeSi pour un groupe, par nature, multiplication de contrats (ce qui est parfois évité pour les flux intra-groupes d’entreprises par l’intégration de clauses contractuelles dans un "Intra-Group Agreement")
Permet d'uniformiser les pratiques relatives à la protection des données personnelles au sein d'un groupe-
Outre les engagements juridiques concernant les principes vie privée, implique l’adoption de mesures concrètes assurant la mise en œuvre effective des règles (formation des employés, audits vie privée, système interne de gestion de plaintes,…)Se limite plutôt à la prise d’engagements juridiques concernant les principes vie privée
Intègre la protection des données au rang des préoccupations éthiques du groupe et favorise la communication externe du groupe sur le sujet-

 

Est-ce que la Commission vie privée pense qu'il est souhaitable de privilégier l'usage des exceptions ou des solutions contractuelles ?

L'usage des exceptions doit rester exceptionnel et ne peut constituer un cadre normal de flux de données, notamment lorsque ceux-ci sont massifs ou répétitifs. Il convient de trouver rapidement une solution contractuelle, ce qui permet d’offrir des garanties nettement supérieures pour la protection des données des citoyens.

Quelles sont les exceptions permettant les flux transfrontières ?

En l’absence de contrat, il existe certaines "exceptions" qui permettent le flux de données vers des pays tiers. C’est notamment le cas lorsque les personnes concernées donnent leur consentement indubitable au transfert de leurs données vers un tel pays, ou lorsque le transfert est nécessaire pour exécuter un contrat avec la personne concernée, ou lorsque les données proviennent d’un registre public destiné à l’information du public (annuaire téléphonique, registre du commerce, par exemple). Ces exceptions doivent être interprétées de manière restrictive et ne peuvent constituer un cadre normal de flux de données, notamment lorsque ceux-ci sont massifs ou répétitifs. Il convient de trouver rapidement une solution contractuelle, ce qui permet d’offrir des garanties nettement supérieures pour la protection des données des citoyens.

Pour une information plus complète sur l'application des exceptions, veuillez vous référer au document de travail du 25/11/2005 relatif à une interprétation commune des dispositions de l'article 26, paragraphe 1, de la directive 95/46/CE du 24 octobre 1995 (WP114), qui a été élaboré par le Groupe de travail Article 29 et qui est disponible sur son site internet.

Quelles sont les conditions nationales belges pour l'utilisation des règles d'entreprises contraignantes (ou "Binding Corporate Rules" ou "BCRs") ?

Pour que les règles d'entreprises contraignantes soient considérées comme offrant des garanties suffisantes quant au respect de la protection des données, il faut qu'elles soient autorisées par les autorités nationales de protection des données compétentes. Une procédure de coopération entre les différentes autorités nationales a été élaborée par le Groupe de travail Article 29 et elle permet à la société multinationale d’introduire sa demande auprès d’une autorité nationale unique qui prendra contact avec les autres autorités concernées dans l’Union européenne, pour permettre un examen concerté du projet de règles, et pour favoriser des décisions cohérentes des différentes autorités de protection des données sur le projet de règles d'entreprises contraignantes.

Cette procédure de coopération est décrite dans un document de travail du Groupe de travail Article 29 :

  •  Document de travail du 14/4/2005 relatif à une procédure de coopération en vue de l’émission d’avis communs sur le caractère adéquat de la protection offerte par les "règles d’entreprise contraignantes" (WP107).

En outre, plusieurs autorités, dont la Belgique, ont convenu de participer à un système de reconnaissance mutuelle afin de dégager des positions harmonisées, basé sur la confiance entre les autorités de protection des données lorsque des règles d'entreprise contraignantes on été analysées par trois d'entre elles.

Une fois que la procédure européenne est finalisée, les règles d’entreprise contraignantes peuvent être soumises aux différentes autorités nationales pour obtenir leur autorisation.

En Belgique, l'autorisation nationale est prise par le biais d'un Arrêté Royal adopté après avis de l’Autorité de protection des données vie privée. En pratique, une fois la procédure européenne finalisée, l’entreprise multinationale envoie, par courrier postal ou électronique, le projet de règles d’entreprise contraignante à l’Autorité de protection des données vie privée.

Dès que l’Autorité de protection des données vie privée estime que le dossier est en état, elle en informe l’entreprise multinationale et le SPF Justice qui lui adresse à ce moment une demande d’avis officiel. L’avis est rendu endéans les 60 jours. En cas d’avis positif, l'Arrêté Royal est adopté par le Ministre de la Justice.

Pour plus d’informations, veuillez consulter le protocole d’accord conclu entre le SPF Justice et l’Autorité de protection des données vie privée.

Quel doit être le contenu des règles d'entreprises contraignantes (ou "Binding Corporate Rules" ou "BCRs") ?

Au niveau européen

Le Groupe de travail Article 29 a adopté différents documents de travail qui précisent ce que doivent inclure les règles d'entreprises contraignantes. Il s'agit des documents repris ci-dessous.

1. Pour les BCR "responsables de traitement"

  • Document de travail du 3/6/2003 relatif aux transferts de données personnelles vers des pays tiers: Application de l’article 26 (2) de la directive de l’UE relative à la protection des données aux règles d'entreprises contraignantes applicables aux transferts internationaux de données (WP74) ;
  • Document de travail du 14/4/2005 établissant une liste de contrôle type pour les demandes d’approbation des règles d’entreprises contraignantes (WP108).

Afin de faciliter la lecture de ces deux documents, le Groupe de travail Article 29 a adopté également un tableau reprenant toutes les obligations devant être contenues dans un BCR en donnant les références aux WP74 et WP108. Il s’agit du :

  • Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes (WP153).

Par ailleurs, le Groupe de travail Article 29 a également créé un formulaire européen harmonisé pour le dépôt des demandes d'autorisation de règles d'entreprises contraignantes "responsabmes de traitement" :

  • Recommandation 1/2007 du 10/1/2007 sur l'application type pour l’approbation des règles d’entreprise contraignantes applicables au transfert des données à caractère personnel (WP133).

Pour avoir une vue sur comment pourrait se structurer un BCR, veuillez également lire le :

  • Document de travail établissant un cadre pour la structure des règles d’entreprise contraignantes (WP154).

En dernier lieu, pour avoir des réponses concrètes à certaines questions fréquemment posées par les sociétés multinationales, veuillez lire le :

  • Document de travail sur les questions fréquemment posées (FAQ) concernant les règles d’entreprise contraignantes (WP155, ce document est fréquemment mis à jour).

L'ensemble des documents adoptés par le Groupe de travail Article 29 est disponible sur son site internet.

Il existe également une section dédiée aux BCR (en anglais) sur le site web de l’Autorité de protection des données européenne.

Au niveau belge

Les exigences sont décrites dans le protocole d'accord conclu entre le SPF Justice et l’Autorité de protection des données vie privée. Ce protocole est bien entendu largement inspiré par les exigences détaillées au niveau européen.

2. Pour les BCR "sous-traitants"

  • Document de travail 02/2012 établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes pour les sous-traitants (WP 195)  ;
  • Document explicatif des BCR sous-traitants (WP 204 - disponible à la date de mise à jour de cette page uniquement en anglais).

Par ailleurs, le Groupe de travail Article 29 a également créé un formulaire européen harmonisé pour le dépôt des demandes d'autorisation de règles d'entreprises contraignantes « sous-traitants »:

  • Recommandation 1/2012 du 17/9/2012 sur l'application type pour l’approbation des règles d’entreprise contraignantes applicables au transfert des données à caractère personnel à des fins de sous-traitants (WP 195a –disponible à la date de mise à jour de cette page uniquement en anglais).
Qu'entend-on par les règles d'entreprises contraignantes (ou "Binding Corporate Rules" ou "BCRs") ?

Ce sont des règles élaborées par des entreprises multinationales (tel un code de conduite), qui doivent être obligatoires pour l'ensemble de leurs entités et employés, et qui portent sur les transferts internationaux de données personnelles qui sont réalisés au sein du groupe.

Est-ce qu'une autorisation est nécessaire pour l'utilisation des contrats-types de la l’Autorité de protection des données européenne ?

Non. La loi belge s'interprète à la lumière de la Directive européenne 96/45/CE et en particulier de l'article 26.4 qui exige que les États membres prennent des mesures nécessaires pour se conformer aux décisions de l’Autorité de protection des données européenne relatives aux clauses contractuelles types. Les contrats qui se basent sur un des modèles de contrat-type de l’Autorité de protection des données européenne ne doivent dès lors pas faire l’objet d’une autorisation. Une copie du contrat devra néanmoins être communiquée à l’Autorité de protection des données vie privée afin qu’elle puisse s’assurer de sa concordance avec les modèles de l’Autorité de protection des données européenne. En outre, ces traitements devront en principe être déclarés au registre public de l’Autorité de protection des données vie privée, sauf exemption en fonction des règles en vigueur en matière de déclarations.

Quelles sont les conditions nationales belges pour l'utilisation de contrats qui ne sont pas conformes aux contrats-types de la l’Autorité de protection des données européenne ?

En Belgique, ce type de contrat doit être autorisé par un Arrêté Royal après avis de l’Autorité de protection des données vie privée.

Pour plus d'informations, veuillez consulter le Protocole d'accord relatif aux clauses contractuelles conclu le 25 juin 2013 entre l’Autorité de protection des données vie privée et le SPF Justice.

Que sont les contrats-types de la l’Autorité de protection des données européenne et où puis-je les trouver ?

Il existe actuellement quatre modèles de contrats-types mis à disposition par l’Autorité de protection des données européenne. Ces clauses sont disponibles sur le site Internet de l’Autorité de protection des données européenne.

Deux modèles concernent le transfert réalisé par un responsable de traitement vers un responsable de traitement (Décisions 2001/497/CE et 2004/915/CE) et deux autres modèles concernent le transfert réalisé par un responsable de traitement vers un sous-traitant (Décision 2002/16/CE, remplacée depuis le 15 mai 2010 par la Décision 2010/87/UE).

Conformément à l'article 7, paragraphe 2 de la décision européenne 2010/87/UE, tout contrat conclu en vertu de la version antérieure des clauses types (2002/16/CE) reste en vigueur dans son intégralité et n'est pas affecté par l'abrogation de la décision de 2002, à moins que les transferts et les activités de traitement de données faisant l’objet du contrat aient changé. Le cas échéant, les parties sont tenues de conclure un nouveau contrat conforme aux clauses types de la décision 2010/87/UE.

On se trouve dans cette situation lorsqu'un changement doit être apporté à l'appendice 1 (changement de partie, de personnes concernées, de catégories de données et de traitement).
Si tel est le cas, les parties peuvent décider de conclure un nouveau contrat conforme aux clauses types de la décision 2010/87/UE ou de conserver le contrat qu'elles ont signé antérieurement en vertu des clauses types de la décision 2002/16/CE. Toutefois, étant donné que ces dernières sont remplacées par les nouvelles clauses types, elles ne seront plus considérées comme des clauses types mais comme un contrat ad hoc qui doit en principe être autorisé par un Arrêté Royal après avis de l’Autorité de protection des données vie privée.

Le Groupe de travail Article 29 a adopté des FAQs portant sur les clauses 2010/87/UE (WP176).

Quels sont les pays qui sont considérés comme offrant un niveau de protection adéquat ?

l’Autorité de protection des données européenne a déjà reconnu le caractère adéquat du niveau de protection des pays suivants : la Suisse, le Canada (pour les traitements soumis à la loi canadienne "Personal Information Protection and Electronic Documentation Act"), Andore, l’Argentine, les Etats-Unis (pour les sociétés certifiées par le bouclier EU-US relatif à la protection des données ou "Privacy Shield"), Guernesey, l’île de Man, les îles Féroé, Jersey, Israël, la Nouvelle-Zélande et l'Uruguay. L’UE a également signé des accords bilatéraux internationaux pour l’envoi de données relatives aux passagers aériens (PNR) avec l’Australie, le Canada et les Etats-Unis. Un accord EU-US a également été conclu pour l’utilisation des données financières de la société SWIFT à des fins de lutte contre le terrorisme (Data and Terrorist Finance Tracking Programme – TFTP).

Pour ce qui concerne en particulier l'envoi de données à des fins commerciales aux Etats-Unis, l’Autorité de protection des données européenne avait émis une décision d’adéquation le 26 juillet 2000 concernant les principes de la sphère de sécurité (Safe Harbor principles). Cette décision a été toutefois invalidée le mardi 6 octobre 2015, par la Cour de Justice de l’Union européenne dans l'arrêt "Schrems". Les entreprises ne peuvent donc se référer à cette seule décision pour encadrer juridiquement leurs transferts de données vers les Etats-Unis. La décision a toutefois été remplacée par une nouvelle décision d'adéquation relative au "Privacy Shield". le "Privacy Shield" est opérationnel depuis le 1er août 2016.

Pour toute information supplémentaire ou pour prendre connaissance des dernières mises à jour de la liste des pays considérés comme assurant un niveau de protection adéquat, il est vivement conseillé de consulter le site Internet de l’Autorité de protection des données européenne.

A quelles conditions puis-je effectuer un flux de données en dehors de l'Union européenne ou de l'Espace économique européen ?

1. Envoi vers un pays offrant un niveau de protection adéquat

Lorsque les données sont exportées vers un pays tiers offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert entre deux responsables en Belgique, ou vers un autre pays de l’Union européenne. Il faudra néanmoins toujours respecter les principes généraux de la loi (notamment de légitimité, compatibilité de la communication des données à un tiers avec le traitement d’origine, information des personnes concernées).

L'évaluation du caractère adéquat du niveau de protection des pays hors de l’Union européenne s'apprécie notamment sur la base de la législation générale et sectorielle du pays en question et des règles professionnelles. Pour toute information relative à la liste des pays considérés comme assurant un niveau de protection adéquat, il est conseillé de consulter le site Internet de l’Autorité de protection des données européenne.

2. Solutions contractuelles

Lorsque le pays où l’on souhaite transmettre des données n’est pas repris dans la liste de l’Autorité de protection des données européenne des pays offrant un niveau de protection adéquat, le responsable du traitement peut également offrir lui-même, par la voie contractuelle, une protection appropriée. La protection peut ainsi être assurée au moyen d’un contrat liant celui qui envoie les données et celui qui les reçoit et contenant des garanties suffisantes au regard de la protection des données. En Belgique, ce type de contrat doit être en principe autorisé par un Arrêté Royal après avis de l’Autorité de protection des données vie privée.

Il existe également des modèles de contrats-type mis à disposition par l’Autorité de protection des données européenne qui sont automatiquement considérés comme offrant des garanties suffisantes au regard de la protection des données. Il est intéressant d'utiliser ces modèles car ceux-ci ne doivent pas être autorisés par Arrêté Royal. Une copie du contrat devra néanmoins être communiquée à l’Autorité de protection des données vie privée afin qu’elle puisse s’assurer de sa concordance avec les modèles de l’Autorité de protection des données européenne.

Les sociétés multinationales qui désirent réaliser des flux intra-groupe et dont certains membres sont établis en dehors de l’Espace économique européen dans un pays qui n'a pas été reconnu comme "offrant un niveau de protection adéquat" peuvent également offrir des garanties suffisantes de protection des données grâce à des règles d’entreprise contraignantes (Binding Corporate Rules - BCR). Ces règles doivent être validées par les différentes autorités nationales de protection des données concernées par le flux (en Belgique, un Arrêté Royal doit être adopté, après avis de l’Autorité de protection des données vie privée). Il existe également une section dédiée aux BCR (en anglais) sur le site web de l’Autorité de protection des données européenne.

3. Les exceptions

En l’absence de contrat, il existe encore certaines "exceptions" qui permettent le flux de données vers des pays tiers. C’est notamment le cas lorsque les personnes concernées donnent leur consentement indubitable au transfert de leurs données vers un tel pays, ou lorsque le transfert est nécessaire pour exécuter un contrat avec la personne concernée, ou lorsque les données proviennent d’un registre public destiné à l’information du public (annuaire téléphonique, registre du commerce, par exemple). Ces exceptions doivent être interprétées de manière restrictive et ne peuvent constituer un cadre normal de flux de données, notamment lorsque ceux-ci sont massifs ou répétitifs. Il convient de trouver rapidement une solution contractuelle, ce qui permet d’offrir des garanties nettement supérieures pour la protection des données des citoyens.

A quelles conditions puis-je effectuer un flux de données au sein de l'Union européenne ou de l'Espace économique européen ?

Le flux de données peut être réalisé librement depuis la Belgique et au sein de l'Union européenne, tant que les principes généraux de la loi vie privée belge sont respectés. Grâce à la Directive européenne 95/46/CE, les États membres appliquent en effet le même niveau de protection lors du traitement de données à caractère personnel. Un transfert au sein de l’Union européenne est par conséquent régi de la même manière qu’un transfert en Belgique et doit donc respecter les principes généraux de la loi (respect notamment des principes de légitimité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).

Quels sont les pays membres de l'Espace économique européen ?

L'ensemble des membres de l'Union européenne ainsi que trois membres de l'Association européenne de libre-échange (AELE) : l'Islande, la Norvège et le Liechtenstein.

Qu'entend-on par un flux transfrontière ?

Il s'agit d'une transmission de données personnelles qui est effectuée depuis un État membre de l'Union européenne vers un pays tiers qui n'est membre ni de l'Union européenne, ni de l'Espace économique européen.

Qu'entend-on par conforme aux clauses-types de la Commission européenne ?

Par contrat conforme aux clauses-types de la Commission européenne, il convient d’entendre :

  • les clauses identiques aux clauses-types approuvées par la Commission européenne et complétées aux points spécifiquement prévus à cet effet (telles que les annexes, les noms des parties, d’autres points spécifiques, tels que par exemple la clause 5.b de la clause-type 2001/497/CE, etc.) ;
  • les clauses marginalement modifiées (par exemple ponctuation, traduction) et dont les modifications ne changent ni le sens, ni la portée des clauses-types ni ne portent atteinte aux libertés et droits fondamentaux des personnes concernées ;
  • les clauses types insérées dans un contrat plus large ainsi que l’ajout d’autres clauses, notamment commerciales, à condition qu’elles ne contredisent pas, directement ou indirectement, les clauses contractuelles types et qu’elles ne portent pas atteinte aux libertés et aux droits fondamentaux des personnes concernées.

Voir l’article 8 du Protocole signé conjointement par le Ministre de la Justice et par le Président de la Commission vie privée le 25 juin 2013.