Rubrique Juridique

Chaque semaine, gros plan sur la loi et l'Internet

Flux de données transfrontaliers : risques juridiques et moyens de protection
- Mardi 16 avril 2002
-

Les transferts de données personnelles en dehors de l'Union européenne présentent pour les entreprises des risques juridiques nouveaux. Un mécanisme contractuel préventif peut néanmoins les protéger.

par Guillaume Desgens-Pasanau,
Deloitte & Touche Juridique et Fiscal, société d'avocats

Nouvelle réglementation : nouveaux risques
La directive 95/46/CE en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de leurs données personnelles dispose dans son article 25 que "le transfert vers un pays tiers [de l'UE] de données à caractère personnel faisant l'objet d'un traitement (...) ne peut avoir lieu que si le pays en question assure un niveau de protection adéquat" (1). Cette disposition, très protectrice des intérêts des ressortissants de l'Union européenne, vise à limiter les exportations de données personnelles à destination des "paradis de données" (2), pays tiers aux législations peu protectrices. Cette réglementation concerne en particulier les Etats-Unis, eu égard à l'importance quantitative des transferts existant en provenance de pays européens et à l'absence de législation protectrice outre-atlantique

S'est ainsi engagée une négociation politique entre le ministère du commerce américain et la Commission européenne ayant abouti à l'accord dit de "Safe Harbour" (Lire l'article du JDNet du 31/07/01) en date du 26 juillet 2000 (3). Le système ainsi proposé repose sur une solution américaine d'autorégulation et non sur une solution législative, ou encore, selon la qualification récemment retenue, un " effective mix ", c'est-à-dire un système alliant les vertus de l'autorégulation et l'autorité de la puissance publique. En pratique, peu d'entreprises américaines ont accepté de se soumettre à cet accord. Divers auteurs ont par ailleurs mis en avant la faiblesse des principes du "Safe Harbour" aussi bien au niveau du contenu que de sa mise en oeuvre pratique (4).

Une solution : le mécanisme contractuel
Dès lors, comment est-il possible, pour une entreprise, d'exporter des données en dehors de l'Union Européenne sans voir sa responsabilité tant civile que pénale engager ? On rappellera à cet égard que le projet de loi de réforme de la loi du 6 janvier 1978 dite "loi Informatique et Libertés", adopté en première lecture à l'Assemblée Nationale le 30 janvier 2002 (5), envisage d'attribuer à la Commission Nationale de l'Informatique et des Libertés (CNIL) un fort pouvoir de sanctions pécuniaires, outre les sanctions pénales d'ores et déjà existantes dans la loi du 6 janvier 197_.

De fait, les accords du "Safe Harbour" ne sont qu'une réponse juridique partielle qu'il est possible de contourner en utilisant l'une des exceptions prévues à l'article 26 de la directive du 24 octobre 95. Cet article dispose qu'en l'absence d'un "niveau adéquat de protection" dans le pays destinataire, des clauses contractuelles peuvent présenter des garanties suffisantes pour effectuer les transferts de données vers ce pays. En pratique, le responsable du traitement devra, dès lors, inclure dans le contrat relatif à cette opération d'exportation certaines clauses standard, s'il s'agit d'un transfert vers un pays situé hors de l'Union européenne.

Dans ces conditions, le 15 juin 2001, la Commission européenne a adopté un ensemble de clauses contractuelles modèle (6) présentant des "garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes ainsi qu'à l'exercice des droits correspondants". Ces clauses présentées par la Commission ont un caractère obligatoire pour les Etats membres : le projet de loi du 30 janvier 2002 valide ainsi l'utilisation de telles clauses contractuelles (8).

Les clauses contractuelles types : quel contenu ?
Ces clauses types définissent les mécanismes juridiques établissent un partage de responsabilité entre l'exportateur européen et l'importateur de données et retranscrivent les principes fondamentaux inscrits dans la directive. Ces principes sont rappelées dans les annexes rédigées par la Commission et concernent, en substance, la finalité des données, la sécurité et la confidentialité ainsi que le droit d'accès, de rectification, d'effacement et d'opposition relatif à ces données.

Ces clauses contractuelles peuvent être insérées dans un contrat plus large ou faire l'objet d'un contrat spécifique, sachant que le modèle présenté par la Commission exclut les opérations de sous-traitance de données (un autre modèle est en cours de rédaction).

En pratique, la protection de la personne physique faisant l'objet d'un traitement de données est garantie par la clause dite de "tiers bénéficiaire" en vertu de laquelle la personne physique concernée par le traitement peut demander aux deux parties réparation du préjudice subi par une éventuelle violation du contrat (8) signé entre l'exportateur et l'importateur.

Il est par ailleurs spécifié que le droit applicable est celui de l'Etat où est établi l'exportateur de données, donc forcément un Etat européen à la législation protectrice. En pratique, il sera ainsi plus facile pour le "tiers bénéficiaire" de poursuivre la partie établie au sein de l'Union Européenne, plutôt que tenter de d'obtenir une décision judiciaire auprès de la juridiction compétente au sein du pays tiers. Le contrat prévoit également une clause d'indemnisation mutuelle qui permet à chacune des parties, exportateur ou importateur, de réclamer à l'autre partie une indemnisation pour les fautes contractuelles commises.

Les clauses contractuelles types sont accessibles directement sur le site de la Commission. On indiquera également que les autorités de protection de données, telles que la CNIL en France, conservent toutes leurs prérogatives : elles pourront en particulier autoriser d'autres modèles contractuels ou ordonner la suspension du flux de données en cas de "circonstances exceptionnelles".

L'utilisation de ces clauses contractuelles est volontaire. Elle offrira aux entreprises européennes un moyen simple de veiller à leur obligation de respecter un "niveau de protection adéquat". Elle nécessite néanmoins la prise en compte de ces données nouvelles et le renforcement et/ou la validation juridique des contrats existants.

(1) Directive n°95/46/CE, du Parlement et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOCE, L 281, novembre 95, p.31 à 50.
(2) Jean Frayssinet, " le transfert et la protection des données personnelles en provenance de l'Union européenne vers les Etats-Unis : l'accord dit " sphère de sécurité " (ou Safe Harbour ) ", JCP Communication Commerce Electronique, Mars 2001, p.10.
(3)
Décision 2000/520/CE de la Commission du 26 juillet 2000 conformément à la directive 95/46/CE, JOCE, 25 août 2000, L 215, p.7.
(4)
Sur cette question, voir l'étude de Yves Poullet, "les Safe Harbour Principles - Une protection adéquate?", 10 juillet 2000, www.droit-technologie.org.
(5) Projet de loi adopté par l'Assemblée Nationale en première lecture, relatif à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - texte adopté n°180 - 30 janvier 2002.
(6) Décision de la Commission 2001/497/CE du 15 juin 2001 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers les pays tiers en vertu de la directive 95/46/CE, JOCE, L 181, 4 juillet 2001, p.19.
(7) Article 69 du projet de loi en date du 30 janvier 2002.
(8) Cette clause peut juridiquement s'interpréter comme une stipulation pour autrui, envisagée par l'article 1121 du Code civil.

A lire également :

Tous les articles de la rubrique juridique


Au sommaire de l'actualité

 

Dossiers

Marketing viral

Comment transformer l'internaute en vecteur de promotion ? Dossier

Ergonomie

Meilleures pratiques et analyses de sites. Dossier

Annuaires

Sociétés high-tech

Plus de 10 000 entreprises de l'Internet et des NTIC. Dossier

Prestataires

Plus de 5 500 prestataires dans les NTIC. Dossier

Tous les annuaires