G ro u p e d e tra va il " Article 2 9 " su r la p ro tectio n d es d o n n es

Le gro u p e d e tra va il a t ta b li en vertu d e l'a rticle 2 9 d e la d irective 9 5 /4 6 /C E . I l s'a git d 'u n o rga n e
co n su lta tif eu ro p en in d p en d a n t su r la p ro tectio n d es d o n n es et d e la vie p rive. S es m issio n s so n t
d fin ie s l'a rticle 3 0 d e la d irective 9 5 /4 6 /C E e t l'a rticle 1 4 d e la d irective 9 7 /6 6 /C E . Le secrta ria t est
a ssu r p a r:
la C o m m issio n e u ro p e n n e , D G M a rch in t rie u r, u n it " Fo n ctio n n e m e n t e t im p a ct d u m a rch in t rie u r;
co o rd in a tio n ; p ro tectio n d es d o n n es" .
R u e d e la Lo i 2 0 0 , B -1 0 4 9 B ru xe lle s/We tstra a t 2 0 0 , B -1 0 4 9 B ru sse l -B e lgiq u e -B u re a u : C 1 0 0 -2 /1 3 3
Ad re sse I n te rn e t : www.e u ro p a .e u .in t/co m m //in te rn a l_m a rk e t/fr/m e d ia /d a ta p ro t/in d e x.h tm
1
CA07/434/00/FR
WP 32
Groupe de travail "Article 29" sur la protection des donnes
Avis 4/2000
sur le niveau de protection assur par les "principes de la sphre de scurit"
Adopt le 16 mai 2000
2
Avis 4/2000
sur le niveau de protection assur par les "principes de la sphre de scurit"
Introduction
Le prsent avis est diffus en rfrence aux principes de la sphre de scurit et aux questions
souvent poses (FAQ) que les services de la Commission ont transmis les 28 avril et 2 mai
ainsi qu'en rfrence d'autres documents reus entre le 9 et le 11 mai.
Le groupe de travail considre que des progrs importants et significatifs visant
l'amlioration de la protection des donnes caractre personnel ont t raliss au cours des
deux annes de ngociation avec le ministre amricain du commerce et qu'une dernire srie
d'avances a pu tre enregistre sur un nombre limit de questions fondamentales. Il remarque
notamment que les dernires modifications apportes aux principes et aux documents
connexes intgrent plusieurs suggestions mises par le groupe de travail dans ses avis
prcdents.
Lors de l'laboration de son avis, le groupe de travail a galement pris en compte la "rponse
du ministre amricain du commerce" son avis 7/99
1
, reue par fax le 26 avril.
Le groupe de travail rappelle que la protection des personnes l'gard du traitement des
donnes caractre personnel fait partie des "droits et liberts fondamentaux": cette
dimension, qui est dj inscrite dans la Convention europenne des droits de l'homme et qui
est rappel l'article premier de la directive 95/46, est confirme par l'orientation manant du
travail de la Convention sur la Charte europenne des droits fondamentaux. Le groupe de
travail raffirme que, pour tre jug adquat, un systme de protection des donnes doit
rpondre aux critres rsums dans son document de travail (WP 12) du 24 juillet 1998.
Il rappelle galement que les Etats-Unis ont sign les lignes directrices de l'OCDE sur la vie
prive (1980) et raffirm leur soutien ces dernires lors de la confrence ministrielle
d'Ottawa de 1998.
Le groupe de travail souhaite mettre en vidence les rpercussions de la directive 95/46 dans
le contexte international. Le groupe de travail mesure l'importance conomique et
commerciale de l'ensemble des dispositions affrent la sphre de scurit. Il est toutefois
convaincu que ces considrations ne peuvent pas l'emporter sur les droits fondamentaux des
personnes l'gard du traitement des donnes caractre personnel. En outre, il importe de ne
pas perdre de vue les consquences de toute constatation d'un niveau adquat de protection
pour des ngociations futures dans le cadre de forums internationaux tels que l'OMC. Le
groupe de travail approuve la dclaration faite dans le projet de lettre des services de la
Commission au ministre amricain du commerce, qui prcise que le systme juridique des
Etats-Unis prsente des caractristiques trs particulires et ne peut pas tre considr comme
un prcdent: le groupe de travail partage la prfrence des services de la Commission pour
des rgles contraignantes dont la directive et les lignes directrices de l'OCDE restent les
principales rfrences.

1
Tous les documents cits dans le prsent avis peuvent tre obtenus sur demande auprs du
secrtariat du groupe de travail (cf. page de garde).
3
Le groupe de travail a dj comment toutes les versions provisoires publies aux divers
stades de ce dialogue. Le groupe de travail a notamment mis les avis suivants
2
:
avis 1/99 du 26 janvier 1999 (WP 15);
avis 2/99 du 3 mai 1999 (WP 19);
avis 4/99 du 7 juin 1999 (WP 21) complt par le document de travail du 7 juillet 1999
(WP 23);
avis 7/99 du 3 dcembre 1999 (WP 27).
Aprs avoir examin la nouvelle version des documents reus les 28 avril et 2 mai, le groupe
de travail confirme son prcdent avis et considre qu'il est essentiel de prendre dment en
considration les questions et les recommandations ci-dessous.
1. PORTEE
1.1 Droit applicable
Dans son avis 7/99, le groupe de travail a insist sur les malentendus qui pourraient
ventuellement rsulter du principe de la notification et s'est montr proccup par la
possibilit, pour les responsables du traitement des donnes, de dnaturer les principes de la
sphre de scurit en supplantant la lgislation des Etats membres. Le groupe de travail a par
consquent propos de clarifier cette question dans une FAQ spcifique. Cette suggestion n'a
pas t suivie et le paragraphe 2 des principes a t modifi d'une manire qui n'apporte pas
d'claircissement sur cette question (version du 28 avril). Toutefois, dans sa "rponse" l'avis
7/99, le ministre amricain du commerce prcise que "la lgislation europenne va
manifestement rgir tous les aspects de la collecte et de l'utilisation des informations
caractre personnel par les socits oprant en Europe". Le groupe de travail rappelle qu'en
vertu de la directive (article 4.1), les Etats membres sont tenus d'appliquer les dispositions
nationales qu'ils arrtent, non seulement lorsque les donnes sont traites par les responsables
du traitement sur leur territoire, mais aussi lorsque les responsables (bien que non tablis sur
leur territoire) recourent des moyens situs sur ledit territoire, en particulier pour la collecte
de donnes caractre personnel. Le groupe de travail invite la Commission prciser, dans
le projet de dcision ou dans la lettre au ministre du commerce, que les dispositions de la
sphre de scurit ne portent pas prjudice l'application de l'article 4 de la directive.
1.2 Transferts de donnes ne relevant pas de la comptence d'un organe de type "FTC"
Selon le projet de dcision tabli par les services de la Commission (article 1.1.b), les
organisations amricaines qui souhaitent bnficier des avantages de la sphre de scurit
doivent relever de la comptence d'un organe de type FTC. L'adhsion aux principes de la
sphre de scurit tant fonde sur l'autocertification, sans aucune sorte de vrification ex-
ante, les pouvoirs de contrle d'un organisme public sont essentiels la crdibilit de la
construction.
Dans son avis 7/99, le groupe de travail a dj fait remarquer que, selon les lettres que la FTC
a adresses aux services de la Commission, seules les pratiques commerciales dloyales ou

2
Tous les documents adopts par le groupe de travail sont disponibles l'adresse suivante:
http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm
4
frauduleuses relvent de la comptence de la FTC et que des secteurs tels que les services
financiers (banques et assurances), les tlcommunications, le transport, les relations de
travail et les activits non lucratives n'entrent pas dans ses attributions. Le groupe de travail
accepte donc le nouveau libell du projet de dcision de la Commission (article 1.1, point b),
en vertu duquel une nouvelle annexe 3 numrera les organismes publics amricains
rpondant aux critres de l'article 1.1, point b, et admet que les secteurs ou les traitements qui
ne relvent pas des organismes cits ne peuvent entrer dans le champ d'application de la
dcision (cf. comme nonc au 9me considrant).
D'autre part, le groupe de travail constate que, dans la version des principes du 28 avril, les
organisations non soumises la loi sur la "Federal Trade Commission" peuvent encore
prtendre aux avantages de la sphre de scurit sans tre clairement tenues d'autocertifier
leur engagement auprs du ministre du commerce et considre qu'il est ncessaire de lever
cette ambigut en rajoutant les passages supprims.
Pour ce qui est de la FAQ 13 (rservations de passagers des transports ariens), le groupe de
travail a examin le projet de lettre (du 9 mai) labor par le ministre des transports et note
que celui-ci mentionne la possibilit de recours individuels ainsi que l'intention de notifier
toute action entreprise au ministre du commerce. En l'tat actuel des choses, le groupe de
travail ne s'oppose donc pas l'inclusion du ministre des transports dans la liste dont il est
fait rfrence l'article 1.1., point b, pour autant que les conditions exposes l'article 1 du
projet de dcision soient respectes.
En ce qui concerne les donnes sur l'emploi, le groupe de travail fait remarquer que la FAQ 6,
dans la version du 28 avril, dispose que "si les organisations souhaitent que les avantages de la
sphre de scurit couvrent les informations concernant les ressources humaines () elles
doivent l'indiquer dans leur lettre et s'engager cooprer avec l'autorit europenne ()
conformment aux FAQ 9 et 5". Toutefois, la rponse la premire question de la FAQ 9
tablit que "les principes de la sphre de scurit ne s'appliquent qu'aux transferts des fichiers
identifis individuellement. Le groupe de travail rappelle que, conformment la directive, les
principes de la sphre de scurit dfinissent les donnes caractre personnel comme des
donnes relatives des personnes identifies ou identifiables et considre que la FAQ 9 doit
tre mise en conformit avec la bonne dfinition. En outre, le groupe de travail s'inquite du
fait que la mise en oeuvre des dispositions relatives aux donnes sur l'emploi ne repose que sur
la coopration des autorits charges de la protection des donnes plutt que sur celle des
autres organes de rglement des litiges.
1.3 Fusions, rachats et faillites
D'une manire gnrale, les dispositions lgislatives s'appliquent toute organisation tablie
sur le territoire d'un pays ou d'un Etat donn. Les rgles de la "sphre de scurit" ne
s'appliqueront qu'aux organisations dont l'adhsion aux principes a t volontaire, ce qui
soulve des questions spcifiques, rsumes par le groupe de travail dans son avis 7/99. Le
groupe apprcie les amliorations apportes la FAQ 6 (nouveau paragraphe ajout le
28 avril). La "nouvelle conomie" enregistre chaque jour des fusions, des rachats et des
faillites. Dans son avis 7/99 (page 3), le groupe de travail avait invit la Commission
envisager la suppression ou l'effacement des donnes qui avaient t transfres des
organisations qui avaient adhr aux principes et n'existent plus et se rjouit que cette
proposition ait t prise en compte.
5
2. EXCEPTIONS
2.1 Le groupe de travail dplore que les normes de la sphre de scurit soient affaiblies,
d'une part, par des exceptions introduites par les "questions souvent poses" et, d'autre part,
par le paragraphe 5 des principes ("l'adhsion aux principes peut tre limite par les textes
lgislatifs, les rglements administratifs ou la jurisprudence qui crent des obligations
contradictoires ou des autorisations explicites").
En ce qui concerne le dernier point, le groupe de travail rpte
3
que l'adhsion aux principes
ne devrait tre limite que dans la mesure ncessaire pour respecter des obligations
contradictoires et que, pour des raisons de transparence et de scurit juridique, le ministre
amricain du commerce devrait avertir la Commission de tout texte lgislatif ou rglement
administratif qui affecterait l'adhsion aux principes. Les autorisations explicites motivant des
exceptions ne peuvent tre acceptes que si les intrts lgitimes suprieurs qui sous-tendent
ces autorisations ne s'cartent pas de faon sensible des exemptions ou des drogations
accordes par les Etats membres de l'UE dans des situations comparables en application des
lois nationales mettant en oeuvre la directive.
En ce qui concerne les exceptions vises dans les FAQ, le groupe de travail met l'avis suivant:
2.2 Donnes mises la disposition du public (FAQ 15): le groupe de travail rpte qu'une
exception pour les donnes mises la disposition du public et les fichiers publics n'est pas
conforme aux instruments internationaux relatifs la protection des donnes et
notamment aux lignes directrices de l'OCDE
4
. Il constate qu'une nouvelle formulation a
t introduite et pourrait contribuer viter des cas d'exemption abusive, mais dplore
que l'on n'ait pas tent de dfinir plus prcisment la catgorie d'informations couvertes.
En outre, le groupe de travail rappelle que l'ensemble des dispositions affrent la sphre
de scurit ne peut ni droger au cadre juridique rgissant les questions de responsabilit
(qu'il s'agisse du droit coutumier ou du droit civil) ni tablir que "les organisations ne
pourront tre tenues pour responsables" (comme indiqu au paragraphe 3 de la rponse
la FAQ 15, qui devrait par consquent tre supprim);
2.3 Accs (FAQ 8): le groupe de travail confirme les objections dj rptes dans son
avis 7/99 (pages 8 et 9) l'encontre de la longue liste d'exceptions cres par la section 5.
Par la mme occasion, le groupe de travail observe que des objections similaires ont t
nonces dans la proposition du Dialogue transatlantique des consommateurs (TACD)
5
.
Le groupe de travail considre que le recours aux exceptions devra tre strictement
contrl et qu'il faudrait rechercher la coopration des autorits amricaines afin de
s'assurer que les exceptions ne soient pas utilises dans le but d'branler la protection
garantie par les principes. Le groupe de travail estime notamment que, dans un systme

3
Avis 7/99, page 4
4
Des principes applicables aux donnes caractre public ont t labors par le groupe de travail
"Article 29" dans son avis 3/99, adopt le 3 mai 1999, en ce qui concerne l'information manant du
secteur public et la protection des donnes caractre personnel
5
Proposition du TACD, page 4: "Les exceptions en matire de fourniture d'accs sont trop gnrales et
limitent injustement l'accs des personnes au profit des intrts commerciaux. Si d'autres considrations
doivent tre prises en compte avec les droits d'accs, les principes d'accs actuels permettent aux entits
les moins susceptibles de prendre en considration les droits de la personne concerne savoir les
responsables de la collecte des donnes d'effectuer cette dtermination"( ).
6
adquat de protection des donnes, le droit d'accs ne peut tre ni limit ni refus de faon
incompatible avec la directive.
3. PRINCIPES
3.1. Accs
Le principe de la sphre de scurit ne prvoit pas le droit de recevoir des donnes "sous une
forme aisment intelligible", bien que ce droit soit reconnu par les lignes directrices de
l'OCDE ("principe de la participation individuelle"). Le groupe de travail prend note de
l'assurance donne par le ministre amricain du commerce qui soutient (dans sa rponse
l'avis 7/99) que ce droit est sous-entendu par le principe.
Le principe d'accs donne le droit de supprimer des donnes uniquement si elles sont inexactes
et non si elles sont collectes ou traites sans l'accord de la personne concerne ou d'une
manire incompatible avec les principes. Dans le dernier cas, l'exigence de supprimer les
donnes, comme l'a recommand le groupe de travail dans son avis 7/99, est dsormais l'une des
"sanctions possibles" de la section "recours et sanctions" de la FAQ 11. Plutt que de le confier
au pouvoir discrtionnaire des organes alternatifs de rglement des litiges (comme indiqu par
la note de bas de page correspondante de la FAQ 11), le groupe de travail recommande de
reconnatre le droit de suppression comme un droit individuel ou d'en faire une obligation pour
les organisations qui adhrent la sphre de scurit.
3.2. Choix
En ce qui concerne les modifications de l'utilisation des donnes, la possibilit de faire
opposition est actuellement offerte aux personnes concernes lorsque les informations
caractre personnel sont utilises dans un but incompatible avec l'objectif initial de la collecte.
Ce principe doit tre largi afin de couvrir toutes les utilisations diffrentes des donnes
caractre personnel.
En outre, la possibilit de faire opposition telle qu'elle est offerte par le principe de choix
devrait tre tendue aux transferts de donnes d'autres responsables de traitement, mme si
l'usage qui est fait des donnes ou le but recherch reste inchang. Le groupe de travail
accueille favorablement la norme actuelle de consentement pour les donnes sensibles, mais
juge qu'il est ncessaire de dfinir les catgories de donnes concernes de faon claire et
absolue. La dernire phrase du principe de choix doit tre clarifie: il convient de remplacer
l'expression "en tout cas" par "en outre". De plus, le groupe de travail recommande de prciser
davantage encore le principe de finalit et la notion de choix.
3.3. Transferts ultrieurs
La version actuelle des principes de la sphre de scurit autorise des transferts des tiers qui
n'observent pas les principes de la sphre de scurit si ces derniers s'engagent par crit
protger les donnes. Cette approche n'est pas compatible avec les rgles gnrales visant
garantir la mise en oeuvre de la sphre de scurit et la responsabilit des organisations qui y
adhrent. Dans ces conditions, le groupe de travail considre que les transferts ultrieurs
doivent tre soumis au consentement des personnes concernes.
7
4. MISE EN OEUVRE
Comme le rappellent la directive (article premier) et la Convention europenne des droits de
l'homme, le droit la vie prive est un droit fondamental (article 8) et toute personne a le droit
d'tre entendue par un organe indpendant. La "sphre de scurit" permettrait le transfert des
donnes caractre personnel, actuellement traites au sein de l'Union europenne, vers un
pays dans lequel les garanties susmentionnes ne s'appliquent peut-tre pas. Par consquent,
une question essentielle est de savoir comment, dans le cas des donnes transfres vers les
tats-Unis, le droit fondamental la vie prive sera protg si les principes de la "sphre de
scurit" ne sont pas appliqus.
Conformment la dernire version des documents amricains, la mise en oeuvre des
principes reposerait sur deux niveaux:
1. le rglement alternatif des litiges (bien qu'il semble que les organismes existants, cits par
les tats-Unis, couvrent uniquement des activits "en ligne": BBB online, Webtrust et Trust-
e);
2. les pouvoirs d'injonction de la "Federal Trade Commission" qui ont t expliqus dans trois
lettres distinctes de la prsidence de la FTC.
Le "lien" entre ces deux niveaux est extrmement incertain: aux termes de la FAQ 11, les
organes alternatifs de rglement des litiges devraient signaler la FTC les cas o les principes
ne sont pas respects, mais rien ne les y oblige. Mme si les personnes concernes peuvent se
plaindre directement la FTC, il ne peut tre garanti que la FTC examinera leur affaire (ses
pouvoirs tant discrtionnaires). Concrtement, les personnes concernes n'auront pas le droit
d'tre entendues par la FTC, ni pour appliquer ni pour contester les dcisions prises par les
organes alternatifs de rglement des litiges (ou l'absence de telles dcisions). Par consquent,
les personnes concernes par une violation suppose des principes ne seront pas assures de
pouvoir se prsenter devant une instance indpendante
6
.
Le projet d'aide-mmoire du ministre amricain du commerce voque la possibilit d'accs
individuel aux tribunaux amricains et d'indemnisations pour prjudice moral sous certaines
conditions; l'exprience montre que de telles indemnisations sont frquemment accordes en
cas de violation du droit la vie prive. Ces deux aspects devront tre rexamins la lumire
de l'exprience acquise de faon s'assurer de l'efficacit des solutions exposes dans l'aide-
mmoire susmentionn.
D'une manire gnrale, le groupe de travail estime que les dispositions de ce rgime de mise
en oeuvre prsentent des lacunes pour deux des trois conditions indiques dans son document
de travail du 24 juillet 1998 (page 7): le besoin d'apporter soutien et assistance aux personnes
concernes" (lettre b) et "de fournir des voies de recours appropries la partie lse en cas de
non-respect des rgles" (lettre c).

6
En vertu de la proposition susmentionne du Dialogue transatlantique des consommateurs, bien que "la
vie prive individuelle ait t prcdemment compromise, aucun groupe autorgulateur n'a jamais
demand d'investigation sur une socit membre": dans ses conclusions, le TACD recommande que "les
ngociateurs de la sphre de scurit considrent la disposition d'un droit individuel de recours comme
une priorit".
8
Conclusions
Le groupe de travail constate que la proposition relative la "reconnaissance" d'un niveau
adquat de protection fait rfrence un systme qui n'est pas encore oprationnel. cet
gard, le groupe de travail approuve la clause de rvision figurant dans le projet de dcision
de la Commission qui permet de revoir, la lumire de l'exprience acquise, toute
reconnaissance du niveau adquat de protection assur par la sphre de scurit; en outre, le
groupe de travail estime qu'il doit raffirmer son avis 7/99 concernant la "priode de grce" et
confirme sa rserve sur cette partie du projet d'change de lettres (le groupe de travail fait
observer que le projet de lettre des services de la Commission fait rfrence aux "extraits
joints des comptes rendus du Comit 'Article 31' " - qui ne sont pas encore disponibles - et
souhaiterait recevoir ce document).
Aprs avoir examin l'ensemble des lments susmentionns, et en tenant compte de
l'engagement amricain relatif la protection de la vie prive tel qu'il est expos dans la
"rponse" du ministre du commerce l'avis 7/99, le groupe de travail reste proccup par un
certain nombre de domaines dans lesquels, selon lui, la protection des donnes pourrait tre
amliore. Le groupe de travail souhaite en particulier une amlioration de la situation afin
d'aboutir :
une clart absolue quant au champ d'application de la sphre de scurit, d'une part,
en termes de lgislation applicable et, d'autre part, en termes de comptence de la
FTC (chapitre 1 du prsent avis);
une limitation des exceptions et exemptions conformment aux indications vises au
chapitre 2 du prsent avis;
d'autres amliorations des principes telles qu'elles sont exposes au chapitre 3;
des garanties appropries de voies de recours individuelles, tel qu'indiqu au
chapitre 4.
Si une dcision devait tre prise de poursuivre, le groupe de travail mettrait en particulier
l'accent sur la valeur des mcanismes permettant de rexaminer la dcision et sur d'autres
garanties.
Enfin, et indpendamment de la dcision adopter en ce qui concerne la "sphre de scurit",
le groupe de travail encourage les services de la Commission finaliser leur travail et
prsenter une dcision sur les clauses contractuelles types (article 26.4 de la directive) afin de
crer un cadre prvisible, sr et non discriminatoire pour les transferts internationaux de
donnes qui ne se limitent pas un seul pays tiers. En outre, le groupe de travail invite la
Commission envisager en priorit la cration d'un systme de label europen pour les sites
Internet, bas sur des critres communs d'valuation de la protection des donnes
dterminables au niveau communautaire.
Fait Bruxelles, le 16 mai 2000
Pour le groupe de travail
Stefano RODOTA
Prsident