Vous êtes ici : Accueil > En pratique > Flux transfrontières

Flux transfrontières

Vos données à caractère personnel peuvent circuler librement depuis la Belgique et au sein de l'Union européenne, tant que les principes généraux de la loi vie privée belge sont respectés. Grâce à la Directive européenne 95/46/CE, les États membres appliquent en effet le même niveau de protection lors du traitement de données à caractère personnel. Un transfert au sein de l’Union européenne est par conséquent régi de la même manière qu’un transfert en Belgique et doit par conséquent respecter les principes généraux de la loi (respect notamment des principes de légitimité, compatibilité de la communication avec le traitement d’origine, information des personnes concernées).

En principe, les transferts ne sont autorisés que dans les pays offrant un niveau de protection adéquat

En dehors de l’Union européenne et de façon plus générale de l’Espace économique européen, on ne peut transférer des données personnelles que vers des pays qui assurent une protection des données correspondante à celle assurée sur le territoire de l’Union européenne. En l’absence d’une telle règle, la forte protection garantie à l’intérieur de l’Union européenne serait rapidement vide de sens étant donné la facilité de circulation des données grâce aux nouvelles technologies

Tout responsable de traitement qui souhaite exporter des données personnelles hors de l’Union européenne doit d’abord se renseigner sur le niveau de protection adéquat du pays destinataire. En effet, lorsque le pays tiers est considéré comme offrant un niveau de protection adéquat, le transfert peut être effectué comme s’il s’agissait d’un transfert entre deux responsables en Belgique, ou vers un autre pays de l’Union européenne. Il faudra néanmoins toujours respecter les principes généraux de la loi (notamment, légitimité, compatibilité de la communication des données à un tiers avec le traitement d’origine, information des personnes concernées).

L'évaluation du caractère adéquat du niveau de protection des pays hors de l’Union européenne s'apprécie notamment sur la base de la législation générale et sectorielle du pays en question et des règles professionnelles. En vertu de l’article 21, §2, il appartient au Roi de déterminer pour quelles catégories de traitement de données à caractère personnel et dans quelles circonstances la transmission de données vers des pays tiers n’est pas autorisée. Le Roi n’a pas fait usage de cette faculté. Il découle toutefois de l’évolution de la pratique décisionnelle de la Commission européenne et des Etats membres que ce ne sont pas les pays tiers ou certains traitements qui n’offrent pas un niveau de protection adéquat qui sont identifiés comme tels ("liste noire") mais bien ceux qui sont reconnus comme offrant un tel niveau de protection adéquat ("liste blanche").

La Commission européenne dispose d'une compétence pour constater qu'un pays tiers assure un niveau de protection adéquat et a déjà reconnu le caractère adéquat du niveau de protection des pays suivants : la Suisse, le Canada (pour les traitements soumis à la loi canadienne "Personal Information Protection and Electronic Documentation Act" et pour les données relatives aux passagers aériens), Andorre, l’Argentine, les Etats-Unis (si le destinataire des données aux Etats-Unis a adhéré aux " principes de la sphère de sécurité", ou "Safe Harbor principles" ainsi que pour les données relatives aux passagers aériens), Guernesey, l’île de Man, les îles Féroé, Jersey, l'Australie (pour les données relatives aux passagers aériens), l'Islande, Liechtenstein, et Israël. Pour toute information supplémentaire ou pour prendre connaissance des dernières mises à jour de la liste des pays considérés comme assurant un niveau de protection adéquat, il est vivement conseillé de consulter le site Internet de la Commission européenne.

Garanties suffisantes par la voie contractuelle

Lorsque le niveau de protection du pays où l’on souhaite transmettre des données n’est pas considéré clairement par la Commission européenne comme assurant un niveau de protection adéquat, cela ne veut pas nécessairement dire que tout transfert sera impossible. En effet, il existe une série de dérogations permettant le transfert de données vers des pays n'assurant pas un niveau de protection adéquat. En vue d'assurer la sécurité juridique des acteurs économiques, la pratique nationale dans l'Union européenne est de réquérir l'application de ces dérogations aux transferts vers des pays tiers non reconnus comme offrant un niveau de protection adéquat même s'ils n'ont pas formellement été identifiés comme n'offrant pas un tel niveau. Parmi ces dérogations existe la possibilité pour le responsable du traitement d'offrir lui-même, par la voie contractuelle, une protection appropriée. La protection peut ainsi être assurée au moyen d’un contrat liant celui qui envoie les données et celui qui les reçoit et contenant des garanties suffisantes au regard de la protection des données. En Belgique, ce type de contrat doit être en principe autorisé par un Arrêté royal après avis de la Commission de la protection de la vie privée. Afin d’aider les responsables de traitement, la Commission européenne met à leur disposition des modèles de contrats-type qui sont automatiquement considérés comme offrant des garanties suffisantes au regard de la protection des données. En pratique, en Belgique, les contrats qui reprennent le modèle de la Commission européenne ne doivent pas être "confirmés" par Arrêté royal. Ils ne doivent pas non plus faire l’objet d’une autorisation de la Commission. Une copie du contrat devra néanmoins être communiquée à la Commission afin qu’elle puisse s’assurer de sa concordance avec les modèles de la Commission européenne. En outre, ces traitements devront en principe être déclarés au registre public de la Commission, sauf exemption en fonction des règles en vigueur en matière de déclarations. Voici les modèles de contrat qui sont disponibles :

• clauses pour le transfert depuis un responsable de traitement vers un responsable de traitement (premier modèle : 2001/497/CE) ;
• clauses pour le transfert depuis un responsable de traitement vers un responsable de traitement (deuxième modèle : 2004/915/CE) ;
• clauses pour le transfert depuis un responsable de traitement vers un sous-traitant (pour les contrats avant le 15 mai 2010 : 2002/16/CE ; et pour les nouveaux contrats à partir du 15 mai 2010 : 2010/87/UE). Pour information le Groupe de travail Article 29 a adopté des FAQs (WP176) à propos des clauses 2010/87/UE.

Pour les multinationales, garanties par des règles d’entreprise

Les sociétés multinationales qui désirent réaliser des flux intra-groupe et dont certains membres sont établis en dehors de l’Espace économique européen peuvent également offrir des garanties suffisantes de protection des données grâce à des règles d’entreprises contraignantes (Binding Coporate Rules). Ces règles doivent être validées par les différentes autorités nationales de protection des données concernées par le flux (en Belgique, un Arrêté royal doit être adopté, après avis de la Commission de la protection de la vie privée - voir le protocole d'accord conclu entre le SPF Justice et la Commission). Une procédure européenne coordonnée a été mise en place et elle permet à la société multinationale d’introduire sa demande auprès d’une autorité nationale (autorité "chef de file" au niveau européen) qui prendra contact avec les autres autorités concernées dans l’Union européenne, pour permettre un examen concerté du projet de règles, et pour favoriser des décisions cohérentes des différentes autorités de protection des données. En outre, plusieurs autorités, dont la Belgique, ont convenu de participer à un système de reconnaissance mutuelle afin de dégager des positions harmonisées, basé sur la confiance entre les autorités de protection des données lorsque des règles d'entreprise contraignantes on été analysées par trois d'entre elles. Un formulaire harmonisé d’introduction des demandes d’autorisation WP 133 (en anglais) est également disponible. Pour plus d’information sur les exigences requises pour l’approbation au niveau européen des règles d’entreprise contraignantes, veuillez consulter les documents de travail adoptés par le Groupe de travail Article 29 (notamment les documents WP 153, WP 154 et WP 155 ainsi que les documents fondateurs WP 74, WP 107, WP108). Il existe également une section dédiée aux BCR sur le site web de la Commission européenne (uniquement en anglais).

Une fois la procédure européenne finalisée, les règles d’entreprise contraignantes peuvent être soumises aux différentes autorités nationales pour obtenir leur autorisation.

En Belgique, l’entreprise multinationale envoie, par courrier postal ou électronique, le projet de règles d’entreprise contraignante à la Commission de la protection de la vie privée.

Dès que la Commission estime que le dossier est en état, elle en informe l’entreprise multinationale et le SPF Justice qui lui adresse à ce moment une demande d’avis officiel. L’avis est rendu endéans les 60 jours. En cas d’avis positif, l'Arrêté Royal est adopté par le Ministre de la Justice.

Pour plus d’informations, veuillez consulter le protocole d’accord conclu entre le SPF Justice et la Commission

Les exceptions

En l’absence de contrat, il existe encore certaines "exceptions" qui permettent le flux de données vers des pays tiers. C’est notamment le cas lorsque les personnes concernées donnent leur consentement indubitable au transfert de leurs données vers un tel pays, ou lorsque le transfert est nécessaire pour exécuter un contrat avec la personne concernée, ou lorsque les données proviennent d’un registre public destiné à l’information du public (annuaire téléphonique, registre du commerce, par exemple). Ces exceptions doivent être interprétées de manière restrictive et ne peuvent constituer un cadre normal de flux de données, notamment lorsque ceux-ci sont massifs ou ré pétitifs. Il convient de trouver rapidement une solution contractuelle, ce qui permet d’offrir des garanties nettement supérieures pour la protection des données des citoyens.

Lire également nos FAQ : flux transfrontières

Lire également dans le lexique: l’Espace économique européen - Safe Harbor principles - modèles de contrats-type - Groupe de travail Article 29 - Binding Coporate Rules - Groupe de travail Article 29