Via EULawBlog.
La Commission a publié sa décision, conformément aux articles 25 et 31 de la directive 95/46, constatant le niveau de protection adéquat des données personnelles sur l'île de Jersey.
Ceci appelle tout de suite deux commentaires.
Tout d'abord le statut particulier de l'île de Jersey. Il s'agit en effet d'une dépendance du Royaume-Uni, dirigée par un bailli. L'île est toutefois totalement indépendante du Royaume-Uni sauf en matière de politique étrangère. L'île n'est pas non plus formellement membre de l'UE mais a un statut "d'associé". Ainsi, sur base du protocole n°3 à l'acte d'adhésion du Royaume-Uni, la Cour a considéré que Jersey et le Royaume-Uni ne formaient qu'un seul et même Etat du point de vue de la libre circulation des marchandises (CJCE, arrêt 8 novembre 2005, C-293/02, Jersey Potatoes, note E. Bernard, Europe, Janvier 2006, n°1, comm. 12. Encore un beau cas de situation purement interne...)..
Ensuite, la question qui se pose est celle de ce fameux niveau de protection adéquat. La directive prévoit en effet une circulation des données à caractère personnelle entre pays membres (sous certaines conditions notamment quant à la loyauté du traitement des données, la qualité de ces données etc.). Mais la directive ne s'arrête pas là puisqu'elle prévoit que ce régime peut être étendu à certains pays tiers si les pays tiers en question assurent "un niveau de protection adéquat" (article 25.1 de la directive précitée). (NB: Le lecteur curieux pourra se reporter à la doctrine relative à cette question et notamment B. Havelange et A-C Lacoste, "Les flux transfrontaliers de données à caractère personnel en droit européen", JDE, 2001, n°10, p. 241).
En l'occurrence, Jersey est considéré comme un "pays tiers" en ce qui concerne la protection des données. Il fallait donc vérifier, afin que les données puissent circuler vers ce pays, qu'il offrait toute garantie en ce domaine (article 25.2 de la directive précitée). La Commission considère que c'est le cas: "les normes de droit applicables à Jersey englobent tous les principes fondamentaux nécessaires pour constater un niveau de protection adéquat des personnes physiques. L’application de ces normes est garantie par les recours juridictionnels et par un contrôle indépendant exercé par le commissaire à la protection des données, autorité dotée de pouvoirs d’investigation et d’intervention".
Quid si ce niveau n'avait pas été atteint? Dans un tel cas, le transfert de données est interdit sauf cas exceptionnels prévus par l'article 26.
En photo: l'île de Jersey.