JORF n°295 du 20 décembre 2005

Article 7

L'article 9 est ainsi rédigé :
« Art. 9. - Transfert de données vers l'étranger.
Certains transferts de données à caractère personnel peuvent être réalisés vers des pays tiers à l'Union européenne qui ne sont pas membres de l'Espace économique européen et qui n'ont pas été reconnus par une décision de la Commission européenne comme assurant un niveau de protection adéquat, dès lors que :
- le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes en raison de la mise en oeuvre des clauses contractuelles types émises par la Commission européenne dans ses décisions du 15 juin 2001 (décision n° 2001/497/CE), du 27 décembre 2001 (décision n° 2002/16/CE) ou du 27 décembre 2004 (décision n° 2004/915/CE) ou par l'adoption de règles internes d'entreprise ayant fait l'objet d'une décision favorable de la Commission nationale de l'informatique et des libertés ;
- le responsable de traitement a clairement informé les personnes de l'existence d'un transfert de données vers des pays tiers conformément aux dispositions de l'article 32 de la loi informatique et libertés et de l'article 7 de la présente norme ;
- le responsable de traitement s'engage, sur simple demande de la personne concernée, à apporter une information complète sur : le ou les pays d'établissement du destinataire des données, la finalité du transfert envisagé, la ou les catégories de destinataires des données, la nature de la protection accordée aux données transférées.
Peuvent seuls faire l'objet d'un transfert de données vers une société appartenant au même groupe ou vers un sous-traitant établi dans un pays situé en dehors de l'Union européenne, dès lors qu'ils ne permettent pas un contrôle de l'activité individuelle des salariés, les traitements ayant pour finalité :
- la gestion administrative des personnels mais uniquement pour les traitements permettant :
- la réalisation d'états statistiques ou de listes d'employés pour répondre à des besoins de gestion administrative ;
- la gestion des annuaires internes et des organigrammes ;
- la mise à disposition des personnels d'outils informatiques :
- suivi et maintenance du parc informatique ;
- gestion des annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux ;
- mise en oeuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des employés ;
- gestion de la messagerie électronique professionnelle, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des employés ;
- réseaux privés virtuels internes à l'organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet) ;
Pour chacune de ces finalités, les données pouvant être transférées sont celles limitativement prévues par l'article 3 de la présente norme. »

1 version

Historique des versions

Version 1

L'article 9 est ainsi rédigé :

« Art. 9. - Transfert de données vers l'étranger.

Certains transferts de données à caractère personnel peuvent être réalisés vers des pays tiers à l'Union européenne qui ne sont pas membres de l'Espace économique européen et qui n'ont pas été reconnus par une décision de la Commission européenne comme assurant un niveau de protection adéquat, dès lors que :

- le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes en raison de la mise en oeuvre des clauses contractuelles types émises par la Commission européenne dans ses décisions du 15 juin 2001 (décision n° 2001/497/CE), du 27 décembre 2001 (décision n° 2002/16/CE) ou du 27 décembre 2004 (décision n° 2004/915/CE) ou par l'adoption de règles internes d'entreprise ayant fait l'objet d'une décision favorable de la Commission nationale de l'informatique et des libertés ;

- le responsable de traitement a clairement informé les personnes de l'existence d'un transfert de données vers des pays tiers conformément aux dispositions de l'article 32 de la loi informatique et libertés et de l'article 7 de la présente norme ;

- le responsable de traitement s'engage, sur simple demande de la personne concernée, à apporter une information complète sur : le ou les pays d'établissement du destinataire des données, la finalité du transfert envisagé, la ou les catégories de destinataires des données, la nature de la protection accordée aux données transférées.

Peuvent seuls faire l'objet d'un transfert de données vers une société appartenant au même groupe ou vers un sous-traitant établi dans un pays situé en dehors de l'Union européenne, dès lors qu'ils ne permettent pas un contrôle de l'activité individuelle des salariés, les traitements ayant pour finalité :

- la gestion administrative des personnels mais uniquement pour les traitements permettant :

- la réalisation d'états statistiques ou de listes d'employés pour répondre à des besoins de gestion administrative ;

- la gestion des annuaires internes et des organigrammes ;

- la mise à disposition des personnels d'outils informatiques :

- suivi et maintenance du parc informatique ;

- gestion des annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux ;

- mise en oeuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des employés ;

- gestion de la messagerie électronique professionnelle, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des employés ;

- réseaux privés virtuels internes à l'organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet) ;

Pour chacune de ces finalités, les données pouvant être transférées sont celles limitativement prévues par l'article 3 de la présente norme. »