| CELEX | 02013D0065-20161217 |
| Type | Décision (consolidé) |
| Date | samedi 17 décembre 2016 |
| 30.1.2013 | FR | Journal officiel de l'Union européenne | L 28/12 |
DÉCISION D'EXÉCUTION DE LA COMMISSION
du 19 décembre 2012
constatant, conformément à la directive 95/46/CE du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par la Nouvelle-Zélande
[notifiée sous le numéro C(2012) 9557]
(Texte présentant de l'intérêt pour l'EEE)
(2013/65/UE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne,
vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1), et notamment son article 25, paragraphe 6,
après consultation du contrôleur européen de la protection des données,
considérant ce qui suit:
| (1) | La directive 95/46/CE fait obligation aux États membres de prévoir que le transfert de données à caractère personnel vers un pays tiers ne peut avoir lieu que si le pays tiers en question assure un niveau de protection adéquat et si les dispositions nationales prises en application des autres dispositions de la directive sont respectées avant le transfert. |
| (2) | La Commission peut constater qu’un pays tiers assure un niveau de protection adéquat. Dans ce cas, des données à caractère personnel peuvent être transférées à partir des États membres, sans qu’aucune garantie supplémentaire ne soit nécessaire. |
| (3) | La directive 95/46/CE dispose que le niveau de protection des données s'apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et compte tenu de conditions déterminées. |
| (4) | En raison des approches différentes retenues par les pays tiers en matière de protection des données, il convient de faire en sorte que l’évaluation du caractère adéquat de cette protection, ainsi que l'adoption et l’application de toute décision fondée sur la directive 95/46/CE ne créent pas de discrimination arbitraire ou injustifiée à l’égard des pays tiers où des conditions similaires existent ou entre ces pays tiers, et ne constituent pas une entrave déguisée aux échanges, eu égard aux engagements internationaux actuels de l'Union. |
| (5) | La Nouvelle-Zélande est une ancienne colonie britannique. Elle est devenue un dominion indépendant en 1907, mais n'a officiellement rompu ses liens constitutionnels avec la Grande Bretagne qu'en 1947. La Nouvelle-Zélande est un État unitaire qui ne possède pas de constitution écrite codifiée à proprement parler. Il s'agit d'une monarchie constitutionnelle et d'une démocratie parlementaire sur le modèle de Westminster, avec la Reine de Nouvelle-Zélande pour chef d'État. |
| (6) | L'État néo-zélandais repose sur le principe de la souveraineté parlementaire. Néanmoins, par convention, certains textes législatifs revêtent une importance particulière et sont considérés comme des dispositions juridiques supérieures («higher law»). Cela signifie qu'ils font partie du contexte, ou paysage, constitutionnel en influençant les pratiques des pouvoirs publics et l'adoption d'autres lois. En outre, l'amendement ou l'abrogation de ces textes nécessiterait vraisemblablement un consensus de l'ensemble de la classe politique. Plusieurs de ces lois — le Bill Of Rights Act du 28 août 1990 (Public Act no 109 de 1990), ainsi que le Human Rights Act du 10 août 1993 (Public Act no 82 de 1993) et le Privacy Act du 17 mai 1993 (Public Act no 28 de 1993) — concernent la protection des données. L'importance constitutionnelle de ces dispositions législatives se traduit par la convention qui veut qu'ils soient pris en compte au moment d'élaborer ou de proposer de nouvelles lois. |
| (7) | Les normes juridiques en matière de protection des données personnelles en Nouvelle-Zélande sont principalement définies dans le Privacy Act, tel que modifié par le Privacy (Cross-border Information) Amendment Act du 7 septembre 2010 (Public Act no 113 de 2010). Ce texte antérieur à la directive 95/46/CE ne se limite pas aux données traitées automatiquement ou aux données structurées contenues dans un fichier, mais couvre l'ensemble des informations personnelles, quelle qu'en soit la nature ou la forme. Il concerne les secteurs public et privé dans leur intégralité, avec quelques exceptions spécifiques liées à l'intérêt général auxquelles on peut s'attendre dans une société démocratique. |
| (8) | En Nouvelle-Zélande, il existe plusieurs cadres réglementaires permettant de traiter les questions de vie privée en termes de politique, de règles ou de juridictions. Certains sont fixés par la loi, tandis que d'autres dépendent d'organismes professionnels autorégulateurs, comme dans les domaines des médias, de la commercialisation directe, des messages électroniques non sollicités, des études de marché, de la santé et de l'invalidité, ou encore de la banque, de l'assurance et de l'épargne. |
| (9) | Outre les textes législatifs adoptés par son parlement, la Nouvelle-Zélande possède un corpus de droit coutumier considérable, trouvant sa source dans la common law anglaise, qui consacre des règles et principes coutumiers concernant la protection des données. L'un des fondements de ce corpus est le principe selon lequel la dignité de la personne est une préoccupation première pour la loi. Ce principe de droit coutumier est un élément clé du contexte général des décisions judiciaires prises en Nouvelle-Zélande. La jurisprudence néo-zélandaise fondée sur le droit coutumier traite également d'autres aspects de la vie privée, notamment l'atteinte à la vie privée, la violation du devoir de confidentialité et la protection accessoire dans les contextes de diffamation, de nuisance, de harcèlement, de mensonge malveillant, de négligence et autres. |
| (10) | Les normes juridiques applicables à la protection des données en Nouvelle-Zélande reprennent l'ensemble des principes de base nécessaires à un niveau de protection adéquat pour les personnes physiques, et prévoient aussi des exceptions et des limitations en vue de protéger des intérêts publics majeurs. Les normes juridiques applicables à la protection des données et leurs exceptions reflètent les principes édictés par la directive 95/46/CE. |
| (11) | L'application des normes juridiques en matière de protection des données est garantie par les recours administratifs et juridictionnels, et par un contrôle indépendant effectué par l'autorité compétente, le Commissaire à la protection de la vie privée de Nouvelle-Zélande, qui dispose de pouvoirs similaires à ceux que prévoit l'article 28 de la directive 95/46/CE et qui agit de manière indépendante. En outre, toute partie intéressée a le droit d'introduire un recours en justice afin d'obtenir réparation de préjudices résultant d'un traitement illicite de ses données personnelles. |
| (12) | Il convient dès lors de considérer que la Nouvelle-Zélande assure un niveau adéquat de protection des données à caractère personnel, tel qu’exigé par la directive 95/46/CE. |
| (13) | Cette décision devrait concerner le caractère adéquat de la protection assurée en Nouvelle-Zélande en vue de répondre aux exigences de l’article 25, paragraphe 1, de la directive 95/46/CE. Elle ne devrait pas affecter d’autres conditions ou restrictions relatives à l'application d’autres dispositions de la directive ayant trait au traitement des données à caractère personnel dans les États membres. |
| (14) | Dans un souci de transparence et en vue de permettre aux autorités compétentes des États membres d’assurer la protection des personnes physiques à l’égard du traitement des données à caractère personnel, il convient de préciser dans quelles circonstances exceptionnelles la suspension de certains flux de données peut être justifiée, indépendamment de la constatation d’un niveau de protection adéquat. |
| (15) | Le groupe de travail sur la protection des personnes à l’égard du traitement des données à caractère personnel institué en vertu de l’article 29 de la directive 95/46/CE a émis un avis favorable sur le caractère adéquat du niveau de protection des données à caractère personnel en Nouvelle-Zélande (2), qui a été pris en considération lors de la préparation de la présente décision d'exécution. |
| (16) | Les mesures prévues dans la présente décision sont conformes à l'avis du comité institué par l'article 31, paragraphe 1, de la directive 95/46/CE, |
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
1. Aux fins de l’article 25, paragraphe 2, de la directive 95/46/CE, la Nouvelle-Zélande est considérée comme assurant un niveau de protection adéquat des données à caractère personnel transférées à partir de l’Union européenne.
2. L'autorité de contrôle compétente pour l'application des normes juridiques en matière de protection des données en Nouvelle-Zélande est indiquée à l'annexe de cette décision.
Article 2
1. Sans préjudice des pouvoirs leur permettant de prendre des mesures pour assurer le respect des dispositions nationales adoptées conformément à des dispositions autres que l’article 25 de la directive 95/46/CE, les autorités compétentes des États membres peuvent exercer les pouvoirs dont elles disposent actuellement pour suspendre le transfert de données vers un destinataire établi en Nouvelle-Zélande afin de protéger les personnes physiques à l’égard du traitement de données à caractère personnel qui les concerne dans les cas suivants:
| a) | lorsqu'une autorité compétente néo-zélandaise a constaté que le destinataire ne respecte pas les normes applicables en matière de protection; ou |
| b) | lorsque la probabilité est grande que les normes de protection ne sont pas respectées, il y a de bonnes raisons de penser que l’autorité compétente de Nouvelle-Zélande ne prend pas ou ne prendra pas en temps voulu les mesures qui s’imposent pour régler la question, la poursuite du transfert entraînerait un risque imminent de grave préjudice pour les personnes concernées et les autorités compétentes de l’État membre se sont raisonnablement efforcées en l'espèce d’avertir le responsable du traitement en Nouvelle-Zélande et de lui donner la possibilité de répondre. |
2. La suspension du transfert cesse dès que les normes de protection sont assurées et que l’autorité compétente dans les États membres concernés en est avertie.
Article 3
1. Les États membres informent sans tarder la Commission des mesures adoptées sur la base de l’article 2.
2. Les États membres et la Commission s'informent mutuellement des cas dans lesquels les mesures prises par les autorités néo-zélandaises chargées de veiller au respect des normes de protection ne suffisent pas à assurer ce respect.
3. Si les informations recueillies au titre de l’article 2, paragraphe 1, et des paragraphes 1 et 2 du présent article montrent qu’un quelconque organisme chargé de faire respecter les normes de protection en Nouvelle-Zélande ne remplit pas efficacement sa mission, la Commission en informe l’autorité néo-zélandaise compétente et, si nécessaire, présente un projet de mesures à prendre conformément à la procédure visée à l’article 31, paragraphe 2, de la directive 95/46/CE en vue d’annuler ou de suspendre la présente décision ou d’en limiter la portée.
Article 4
La Commission évalue la mise en œuvre de la présente décision et fait part de toute constatation appropriée au comité institué par l'article 31 de la directive 95/46/CE, et notamment de tout élément susceptible d'avoir une incidence sur l'appréciation faite à l'article 1er de la présente décision selon laquelle la Nouvelle-Zélande assure un niveau de protection adéquat au sens de l'article 25 de la directive 95/46/CE, ainsi que de tout élément montrant que la décision est appliquée de façon discriminatoire.
Article 5
Les États membres prennent toutes les mesures nécessaires pour se conformer à la présente décision d'ici le 20 mars 2013.
Article 6
Les États membres sont destinataires de la présente décision.
Fait à Bruxelles, le 19 décembre 2012.
Par la Commission
Viviane REDING
Vice-président
(1) JO L 281 du 23.11.1995, p. 31.
(2) Avis 11/2011 du 4 avril 2011 sur le niveau de protection des données à caractère personnel en Nouvelle-Zélande. Disponible sur http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp182_fr.pdf.
ANNEXE
Autorité de contrôle compétente visée à l’article 1er, paragraphe 2, de la présente décision:
| Privacy Commissioner |
| Te Mana Matapono Matatapu |
| Level 4 |
| 109-111 Featherston Street |
| Wellington 6143 |
| NOUVELLE-ZÉLANDE |
| Tél. +64 44747590 |
| Adresse électronique de contact: enquiries@privacy.org.nz. |
| Site internet: http://privacy.org.nz/ |
Décision de la Banque centrale européenne du 11 novembre 2010 concernant les comptes annuels de la Banque centrale européenne (refonte) (BCE/2010/21) (2011/65/UE)
31/12/2016
Décision de la Banque centrale européenne du 25 novembre 2010 concernant la répartition du revenu monétaire des banques centrales nationales des États membres dont la monnaie est l’euro (refonte) (BCE/2010/23) (2011/66/UE)
31/12/2016
Décision (PESC) 2016/1136 du Conseil du 12 juillet 2016 portant mise à jour de la liste des personnes, groupes et entités auxquels s'appliquent les articles 2, 3 et 4 de la position commune 2001/931/PESC relative à l'application de mesures spécifiques en vue de lutter contre le terrorisme, et abrogeant la décision (PESC) 2015/2430
23/12/2016
Décision de la Commission du 20 mars 1997 établissant les modalités de communications par les États membres de certaines informations adressées à la Commission dans le cadre du système des ressources propres des Communautés (97/245/CE, Euratom)
22/12/2016