Les transferts de données à caractère personnel entre institutions ou organes communautaires ou en leur sein sont soumis à certaines conditions énoncées à l'article 7 du règlement (CE) n°45/2001. Ils doivent, par exemple, être nécessaires à l'exécution légitime des missions d'intérêt public concernées. Ces conditions viennent s'ajouter aux autres critères de licéité du traitement.

Des conditions analogues, mais souvent plus strictes, s'appliquent aux transferts à des destinataires situés dans les États membres de l'UE et de l'EEE et, plus spécialement, à des destinataires situés dans des pays tiers.

Les transferts à des destinataires autres que les institutions et organes communautaires qui sont soumis à la législation nationale adoptée en application de la directive 95/46/CE (et donc régis par les dispositions de l'article 8 du règlement 45/2001), tels que des entreprises privées ou des administrations nationales, requièrent également, dans la plupart des cas, que le destinataire démontre la nécessité du transfert. Il doit par exemple démontrer que le transfert est nécessaire à l'exécution d'une mission effectuée dans l'intérêt public.

L'ensemble des États membres de l'UE ainsi que ceux de l'EEE (Islande, Norvège et Liechtenstein) appliquent les dispositions de la directive 95/46/CE. Ces pays respectent ainsi les principes de la protection des données à caractère personnel énoncés dans la directive.

Les transferts de donnés à caractère personnel à des destinataires qui ne sont pas soumis à la législation nationale adoptée en application de la directive 95/46/CE sont régis par les dispositions plus strictes de l'article 9 du règlement (CE) nº 45/2001. Ce transfert ne peut avoir lieu que pour autant qu'un niveau de protection adéquat soit assuré dans le pays du destinataire ou au sein de l'organisation internationale destinataire, et qu'il vise exclusivement à permettre l'exécution des missions qui relèvent de la compétence du responsable du traitement.

La Commission européenne évalue le caractère adéquat du niveau de protection offert par le destinataire (en coopération avec le groupe "Article 29").

Une décision de la Commission européenne constatant qu'un pays tiers assure un niveau de protection adéquate a pour effet de permettre le transfert, sans garanties supplémentaires, de données à caractère personnel depuis les 27 États membres de l'UE et les trois États membres de l'EEE vers le pays tiers concerné. La Commission européenne fournit une liste de ces pays ainsi qu'un contrat type pour le transfert de données à caractère personnel vers des pays tiers.

► Décision de la Commission relative au caractère adéquat de la protection des données à caractère personnel dans les pays tiers
► Sphère de sécurité
► Décision d'adéquation

Lien: glossaire

Les entreprises et autres organismes soumis à la législation nationale adoptée en application de la directive 95/46/CE sur la protection des données personnelles peuvent appliquer des clauses contractuelles types pour assurer un "niveau de protection adéquat des données à caractère personnel", qui doivent être transférées à l'extérieur de l'UE, de l'EEE et des pays qui assurent une niveau de protection adéquat.

Les clauses contractuelles types comportent des règles relatives aux litiges, aux exigences en matière d'audit, aux sanctions ainsi qu'aux compétences des autorités nationales chargées de la protection des données.

Le recours à des clauses contractuelles types ainsi qu'à des règles d'entreprise contraignantes s'inscrit dans le cadre des activités de la Commission européenne visant à mieux mettre en œuvre la directive 95/46/CE.

► Plus d'informations sur les clauses contractuelles types