Chaque
semaine, gros plan sur la loi et l'Internet
Transfert
de données personnelles
vers les Etats-Unis :
peut-on échapper
aux principes de "Safe harbor"?
-
Mardi 31 juillet 2001 -
Les textes législatifs et réglementaires ayant depuis quelques
années mieux protégé les données personnelles en Europe qu'aux
Etats-Unis, le transfert de données d'un continent à l'autre
est devenu problématique.
La
directive européenne sur la protection des données personnelles,
promulguée le 24 octobre 1995, pose, dans son article 25-1,
le principe qu'un niveau de protection adéquat des données
personnelles doit être respecté avant tout transfert de ces
dernières vers un pays qui n'est pas membre de l'Union européenne.
Face aux conséquences dramatiques d'une législation externe,
qui aurait clairement eu un impact négatif sur un nombre important
de compagnies américaines ayant des filiales en Europe, le
ministre du Commerce américain a entamé des négociations avec
la Commission européenne pour dégager une solution de compromis
afin de respecter le standard d'adéquation extraterritoriale
.
Le résultat de cette négociation
a été l'adoption des principes de "Safe Harbor" (littéralement
"Havre de sécurité", mais officiellement traduit par la Commission
européenne par "Sphère de sécurité"), rendus publics par la
Commission le 26 juillet 2001 et promulgués le 1er novembre
2001. Ils se présentent sous la forme d'une déclaration de
droits relative aux données personnelles, et qui reprend,
pour l'essentiel, les principes déjà contenus dans la directive
européenne 95/46. Mais la promulgation de ce texte a engendré
un certain scepticisme. Pour l'heure, les sociétés semblent
avoir en effet adopté une attitude plutôt attentiste vis-à-vis
des transferts de données personnelles vers les Etats Unis,
et seules soixante dix-huit se sont engagées dans le programme
à ce jour.
Cette situation peut résulter de
plusieurs facteurs qui peuvent se cumuler. Tout d'abord, les
sociétés peuvent ne pas être convaincues de la volonté réelle
de la Commission européenne d'appliquer le texte. Par ailleurs,
elles sont peut-être perplexes devant les différentes options
qui s'offrent à eux par le biais des divers dérogations aux
principes posés. Enfin, peut être préfèrent-elles simplement
être perdues dans la masse des sociétés non adhérentes.
Les principes qui fondent cette
déclaration sont au nombre de sept :
1. la notification et le consentement,
2. le choix (possibilité de "opt-in" ou "opt-out" en fonction
du type de données en cause),
3. le transfert vers des tiers,
4. la sécurité,
5. l'intégrité des données,
6. l'accès,
7. les recours.
Dès sa mise en application, le programme "Sphère de sécurité"
a été critiqué par les représentants de l'industrie américaine.
Peut-être en raison de ces échos négatifs, certains experts
ou porte-parole de la Commission se sont empressés de préciser
que le programme de "Safe Harbor" n'est pas la seule option
offerte aux compagnies américaines en vue de se mettre en
conformité avec les termes de la directive européenne. La
liste des alternatives au programme de "Safe Harbor" qui sont
ou non envisagées par la directive elle-même, est la suivante.
1. Le consentement
Les transferts de données personnelles sont autorisés quand
la personne concernée a donné son consentement express au
transfert. Un tel consentement doit être "spécifique et informé",
c'est-à-dire donné en vue d'un transfert qui doit, lui aussi,
être déterminé (Art. 2(h) de la Directive 95/46) et en toute
connaissance du fait que le régime de protection du pays destinataire
n'est pas adéquat. Dans l'hypothèse où le transfert contient
des informations relatives à la race, les origines ethniques,
les opinions politiques, les croyances religieuses, la santé
ou la vie sexuelle, un tel transfert nécessite un consentement
explicite.
2.
Clauses contractuelles
En l'absence d'un niveau adéquat de protection dans le pays
destinataire, des clauses contractuelles peuvent présenter
des garanties suffisantes pour effectuer les transferts de
données vers ce pays. Le responsable du traitement doit inclure
dans le contrat relatif à cette opération certaines clauses
standards quand il s'agit d'un transfert à un pays situé hors
de l'Union européenne. Cette exception à l'interdiction prévue
par l'article 25 de la directive est elle-même fondée sur
la dérogation prévue à l'article 26 (2) de la directive. La
Commission européenne a adopté un ensemble de clauses contractuelles
"modèle" publié le 18 juin 2001.
3.
Transferts autorisés
Certains transferts de données peuvent s'opérer même en
l'absence d'adéquation. Tel est le cas des transferts effectués
dans l'intérêt public, et notamment ceux concernant l'exercice
de droits ou la défense dans une action judiciaire, ceux nécessaires
pour protéger les intérêts vitaux de la personne considérée,
ou ceux réalisés pour l'établissement de registres publics
(Article 26 (1) d, e, f).
4.
Exécution d'un contrat
La conformité avec le standard d'adéquation n'est pas
indispensable pour les transferts de données résultant de
l'exécution d'un contrat. Cette dérogation est valable s'il
s'agit de l'exécution d'un contrat entre la personne concernée
et le responsable du traitement ou de la conclusion ou l'exécution
d'un contrat à la demande ou dans l'intérêt de la personne
concernée, entre le responsable du traitement et un tiers.
Cette dernière situation peut, par exemple, concerner les
achats de biens de consommation par le biais d'Internet
5.
Mise en conformité directe
Cette exception n'est pas spécifiquement envisagée par la
directive 95/46. Prenons l'exemple d'une compagnie qui développerait
son propre programme pour se mettre en conformité avec les
principes contenus dans la directive. La société effectuera,
ensuite, sa propre détermination d'adéquation et la soumettra
à l'autorité indépendante pour la protection des données de
l'Etat membre à partir duquel elle entend exporter ces données.
6. Codes de conduite
Les associations dont l'activité des membres peut relever
de différentes branches de commerce et les institutions représentant
les différentes catégories de personnes responsables des transferts
de données doivent, selon cette dérogation, mettre en uvre
des "Codes de bonne conduite". Ces codes faisant partie des
règlements internes des sociétés membres devront ensuite être
soumis aux autorités nationales de protection des données
pour approbation.
Etant donnée la complexité des
termes de la directive et la volonté de la Commission européenne
de les faire appliquer, les sociétés, suivant leurs besoins,
devront rapidement mettre en place des politiques qui permettent
le transfert des données conformément à la directive. Ces
politiques nécessiteront une préparation suffisante et la
prise en compte de chaque alternative pour "arriver à bon
port en évitant l'orage".
[nmuenchinger@salans.com]
A lire
également :
Au
sommaire de l'actualité
|