Les entreprises transférant des données à caractère personnel de l’Union Européenne vers des pays tiers pourront se référer à de nouvelles clauses types approuvées par la Commission européenne. Par loi du 6 août 2004 transposant la directive communautaire 95/46/CE du 24 octobre 1995, sur la protection des données, les transferts intra-communautaires de telles données ne nécessitent plus de déclarations ordinaires. Les transferts extra-communautaires ne sont autorisés, selon l’article 68 nouveau de la loi, qu’à l’égard des pays assurant « un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet ». La directive parle d’un niveau « adéquat » de protection (au regard de la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées, selon l’article 25 de la directive 95/46 transposé au paragraphe 2 de l’article 68 de la loi « Informatique et libertés »).
Les pays assurant ce niveau de protection suffisant sont la Suisse, le Canada, l’Argentine ou les territoires britanniques de Guernesey, l’Ile de Man, les Etats-Unis, à conditions que les sociétés américaines, vers lesquelles sont transférées ces données, adhérent aux « principes de la sphère de sécurité »” du Ministère du commerce des États-Unis.
Quant aux transferts des données vers les autres Etats tiers, les entreprises exportatrices pourront s’appuyer sur les nouvelles clauses contractuelles types établies par la Commission, en concertation avec les entreprises, la Chambre de commerce internationale et le groupe de travail “Article 29”, et qui viennent compléter les clauses mises en place en 2001.
La directive décrit les cas de figure où il ne sera pas nécessaire de recourir à ces clauses. Ces hypothèses se retrouvent à l’article 69 nouveau de la loi « Informatique et libertés ». Ainsi, l’exigence d’un niveau de protection suffisant des droits et libertés pourra être abandonnée, notamment, lorsque la personne dont les données sont transférées a donné son consentement, ou encore lorsque ce transfert est nécessaire à l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci (article 69-5°) ou à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers (article 69-6°).