21.10.2010   

FR

Journal officiel de l'Union européenne

L 277/27

(1)

En vertu de la directive 95/46/CE, les États membres prévoient que le transfert de données à caractère personnel vers un pays tiers ne peut être effectué que si le pays tiers en question assure un niveau de protection adéquat et si les lois nationales de mise en application d’autres dispositions de la directive sont respectées avant le transfert.

(2)

La Commission peut constater qu’un pays tiers assure un niveau de protection adéquat. Dans ce cas, des données à caractère personnel peuvent être transférées à partir des États membres, sans qu’aucune garantie supplémentaire ne soit nécessaire.

(3)

Conformément à la directive 95/46/CE, le niveau de protection des données doit être apprécié au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données et compte tenu de conditions déterminées, énumérées à son article 25.

(4)

En raison des différentes approches retenues par les pays tiers en matière de protection des données, l’appréciation de l’adéquation doit être réalisée et toute décision fondée sur l’article 25, paragraphe 6, de la directive 95/46/CE arrêtée et mise en œuvre d’une façon qui ne crée pas de discrimination arbitraire ou injustifiée à l’égard des pays tiers où des conditions similaires existent ou entre ces pays tiers ni ne constitue une entrave déguisée au commerce, eu égard aux engagements internationaux actuels de l’Union européenne.

(5)

L’Andorre est un État doté d’un régime de coprincipauté parlementaire dans lequel deux coprinces, le président de la République française et l’évêque d’Urgell, se partagent l’autorité.

(6)

Le droit au respect de la vie privée est consacré par l’article 14 de la Constitution de la Principauté d’Andorre, telle qu’approuvée par référendum populaire le 14 mars 1993.

(7)

Les dispositions juridiques pour la protection des données à caractère personnel en Andorre sont fondées, dans une large mesure, sur les normes définies dans la directive 95/46/CE et figurent dans la loi qualifiée 15/2003 du 18 décembre 2003 relative à la protection des données à caractère personnel (ci-après la «loi qualifiée 15/2003»). Cette législation en matière de protection de données est en outre complétée par le décret du 1er juillet 2004 instituant le registre public pour l’inscription des fichiers contenant des données à caractère personnel et par le décret du 9 juin 2010 portant approbation du règlement de l’Agence andorrane de protection des données. Ce dernier instrument précise plusieurs aspects problématiques soulevés par le groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué en vertu de l’article 29 de la directive 95/46/CE dans son avis du 1er décembre 2009 (2).

(8)

Des dispositions relatives à la protection des données figurent dans plusieurs instruments juridiques réglementant différents secteurs, comme la législation relative au secteur financier, les réglementations en matière de santé et les registres publics.

(9)

L’Andorre a ratifié la convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement des données à caractère personnel, et le protocole additionnel du 8 novembre 2001 à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données, ainsi que la convention du Conseil de l’Europe de sauvegarde des droits de l’homme et des libertés fondamentales du 4 novembre 1950, en vigueur en Andorre depuis le 22 janvier 1996, et le pacte international relatif aux droits civils et politiques du 16 décembre 1966, en vigueur en Andorre depuis le 19 juillet 2006.

(10)

Les normes juridiques applicables à la protection des données en Andorre reprennent l’ensemble des principes de base nécessaires à un niveau de protection adéquat pour les personnes physiques, et prévoient aussi des exceptions et des limitations en vue de protéger des intérêts publics majeurs. L’application de ces normes juridiques en matière de protection des données est garantie par des recours administratifs et juridictionnels et par un contrôle indépendant exercé par l’autorité de contrôle, l’Agence andorrane de protection des données, dotée de pouvoirs d’investigation et d’intervention et agissant en totale indépendance.

(11)

Les autorités andorranes de protection des données ont fourni des explications et donné des assurances sur la façon dont le droit andorran doit être interprété et ont confirmé que la législation andorrane en matière de protection des données était appliquée suivant cette interprétation. La présente décision tient compte de ces explications et de ces assurances et en dépend par conséquent.

(12)

Il convient dès lors de considérer que l’Andorre assure un niveau adéquat de protection des données à caractère personnel, tel qu’exigé par la directive 95/46/CE.

(13)

Dans un souci de transparence et en vue de permettre aux autorités compétentes des États membres d’assurer la protection des personnes physiques à l’égard du traitement des données à caractère personnel, il convient de préciser dans quelles circonstances exceptionnelles la suspension de certains flux de données peut être justifiée, indépendamment de la constatation d’un niveau de protection adéquat.

(14)

Le groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué en vertu de l’article 29 de la directive 95/46/CE a émis un avis favorable sur le caractère adéquat du niveau de protection des données à caractère personnel, qui a été pris en considération lors de la préparation de la présente décision (3). Dans son avis favorable, le groupe de travail a encouragé les autorités andorranes à poursuivre la procédure d’adoption, actuellement en cours, de dispositions supplémentaires qui étendront l’application de la législation andorrane aux décisions individuelles automatisées, la loi qualifiée andorrane relative à la protection des données à caractère personnel ne le reconnaissant pas expressément à l’heure actuelle.

(15)

Les mesures prévues dans la présente décision sont conformes à l’avis du comité institué par l’article 31, paragraphe 1, de la directive 95/46/CE,

a)

une autorité compétente de l’Andorre a constaté que le destinataire ne respectait pas les normes applicables en matière de protection; ou

b)

il est probable que les normes de protection ne sont pas respectées; il y a tout lieu de croire que l’autorité compétente de l’Andorre ne prend pas ou ne prendra pas, en temps voulu, les mesures qui s’imposent pour régler le problème; la poursuite du transfert entraînerait un risque imminent de grave préjudice pour les personnes concernées et les autorités compétentes de l’État membre se sont raisonnablement efforcées dans ces circonstances d’avertir le responsable du traitement en Andorre et de lui donner la possibilité de répondre.