Le groupe de travail de l’article 29 (qui rassemble les autorités de protection des données personnelles des Etats membres de l’Union Européenne) a publié en avril 2011 l’opinion n° 11/2011, considérant la Nouvelle-Zélande pourvue d’une protection adéquate pour les données personnelles. Plusieurs étapes restent à franchir pour aboutir à une décision de la Commission Européenne. Cette décision revêt une importance particulière, dans la mesure où les clauses types ne sont pas requises pour le transfert de données vers les pays reconnus adéquats par la Commission. En France, l’autorisation de la CNIL n’est par ailleurs pas non plus requise pour le transfert de données vers ces pays.

Précisons que les autorités Néo-Zélandaises sont encouragées par le Groupe de Travail à prendre les mesures nécessaires pour renforcer le cadre juridique actuel (notamment en ce qui concerne le marketing direct), ainsi que pour maintenir l’efficacité de la surveillance des transferts vers les pays qui ne sont pas encore reconnus par la Commission comme offrant une protection adéquate.

Le Groupe de Travail a par ailleurs demandé à l’autorité de protection des données de Nouvelle-Zélande, lorsqu’elle décide d’autoriser ou non un transfert international de données, de prendre en compte non seulement les lignes directrices de l’OCDE et de la directive européenne, mais aussi les décisions de la Commission Européenne et les avis du Groupe de Travail de l’article 29.

Si la décision est prise par la Commission, la Nouvelle-Zélande rejoindra la Suisse (2000), le Canada (2002), l’Argentine (2003), les territoires de Guernesey (2003), l’Isle de Man (2004), Jersey (2008), et Israël (janvier 2011), tous déjà reconnus par la Commission européenne comme offrant une protection adéquate.