Transfert de données personnelles
vers les Etats-Unis :
peut-on échapper
aux principes de "Safe harbor"?
- Mardi 31 juillet 2001 -

Les textes législatifs et réglementaires ayant depuis quelques années mieux protégé les données personnelles en Europe qu'aux Etats-Unis, le transfert de données d'un continent à l'autre est devenu problématique.

La directive européenne sur la protection des données personnelles, promulguée le 24 octobre 1995, pose, dans son article 25-1, le principe qu'un niveau de protection adéquat des données personnelles doit être respecté avant tout transfert de ces dernières vers un pays qui n'est pas membre de l'Union européenne. Face aux conséquences dramatiques d'une législation externe, qui aurait clairement eu un impact négatif sur un nombre important de compagnies américaines ayant des filiales en Europe, le ministre du Commerce américain a entamé des négociations avec la Commission européenne pour dégager une solution de compromis afin de respecter le standard d'adéquation extraterritoriale .

Le résultat de cette négociation a été l'adoption des principes de "Safe Harbor" (littéralement "Havre de sécurité", mais officiellement traduit par la Commission européenne par "Sphère de sécurité"), rendus publics par la Commission le 26 juillet 2001 et promulgués le 1er novembre 2001. Ils se présentent sous la forme d'une déclaration de droits relative aux données personnelles, et qui reprend, pour l'essentiel, les principes déjà contenus dans la directive européenne 95/46. Mais la promulgation de ce texte a engendré un certain scepticisme. Pour l'heure, les sociétés semblent avoir en effet adopté une attitude plutôt attentiste vis-à-vis des transferts de données personnelles vers les Etats Unis, et seules soixante dix-huit se sont engagées dans le programme à ce jour.

Cette situation peut résulter de plusieurs facteurs qui peuvent se cumuler. Tout d'abord, les sociétés peuvent ne pas être convaincues de la volonté réelle de la Commission européenne d'appliquer le texte. Par ailleurs, elles sont peut-être perplexes devant les différentes options qui s'offrent à eux par le biais des divers dérogations aux principes posés. Enfin, peut être préfèrent-elles simplement être perdues dans la masse des sociétés non adhérentes.

Les principes qui fondent cette déclaration sont au nombre de sept :
1. la notification et le consentement,
2. le choix (possibilité de "opt-in" ou "opt-out" en fonction du type de données en cause),
3. le transfert vers des tiers,
4. la sécurité,
5. l'intégrité des données,
6. l'accès,
7. les recours.

Dès sa mise en application, le programme "Sphère de sécurité" a été critiqué par les représentants de l'industrie américaine. Peut-être en raison de ces échos négatifs, certains experts ou porte-parole de la Commission se sont empressés de préciser que le programme de "Safe Harbor" n'est pas la seule option offerte aux compagnies américaines en vue de se mettre en conformité avec les termes de la directive européenne. La liste des alternatives au programme de "Safe Harbor" qui sont ou non envisagées par la directive elle-même, est la suivante.

1. Le consentement
Les transferts de données personnelles sont autorisés quand la personne concernée a donné son consentement express au transfert. Un tel consentement doit être "spécifique et informé", c'est-à-dire donné en vue d'un transfert qui doit, lui aussi, être déterminé (Art. 2(h) de la Directive 95/46) et en toute connaissance du fait que le régime de protection du pays destinataire n'est pas adéquat. Dans l'hypothèse où le transfert contient des informations relatives à la race, les origines ethniques, les opinions politiques, les croyances religieuses, la santé ou la vie sexuelle, un tel transfert nécessite un consentement explicite.

2. Clauses contractuelles
En l'absence d'un niveau adéquat de protection dans le pays destinataire, des clauses contractuelles peuvent présenter des garanties suffisantes pour effectuer les transferts de données vers ce pays. Le responsable du traitement doit inclure dans le contrat relatif à cette opération certaines clauses standards quand il s'agit d'un transfert à un pays situé hors de l'Union européenne. Cette exception à l'interdiction prévue par l'article 25 de la directive est elle-même fondée sur la dérogation prévue à l'article 26 (2) de la directive. La Commission européenne a adopté un ensemble de clauses contractuelles "modèle" publié le 18 juin 2001.

3. Transferts autorisés
Certains transferts de données peuvent s'opérer même en l'absence d'adéquation. Tel est le cas des transferts effectués dans l'intérêt public, et notamment ceux concernant l'exercice de droits ou la défense dans une action judiciaire, ceux nécessaires pour protéger les intérêts vitaux de la personne considérée, ou ceux réalisés pour l'établissement de registres publics (Article 26 (1) d, e, f).

4. Exécution d'un contrat
La conformité avec le standard d'adéquation n'est pas indispensable pour les transferts de données résultant de l'exécution d'un contrat. Cette dérogation est valable s'il s'agit de l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou de la conclusion ou l'exécution d'un contrat à la demande ou dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers. Cette dernière situation peut, par exemple, concerner les achats de biens de consommation par le biais d'Internet

5. Mise en conformité directe
Cette exception n'est pas spécifiquement envisagée par la directive 95/46. Prenons l'exemple d'une compagnie qui développerait son propre programme pour se mettre en conformité avec les principes contenus dans la directive. La société effectuera, ensuite, sa propre détermination d'adéquation et la soumettra à l'autorité indépendante pour la protection des données de l'Etat membre à partir duquel elle entend exporter ces données.

6. Codes de conduite
Les associations dont l'activité des membres peut relever de différentes branches de commerce et les institutions représentant les différentes catégories de personnes responsables des transferts de données doivent, selon cette dérogation, mettre en œuvre des "Codes de bonne conduite". Ces codes faisant partie des règlements internes des sociétés membres devront ensuite être soumis aux autorités nationales de protection des données pour approbation.

Etant donnée la complexité des termes de la directive et la volonté de la Commission européenne de les faire appliquer, les sociétés, suivant leurs besoins, devront rapidement mettre en place des politiques qui permettent le transfert des données conformément à la directive. Ces politiques nécessiteront une préparation suffisante et la prise en compte de chaque alternative pour "arriver à bon port en évitant l'orage".
[nmuenchinger@salans.com]