Chaque
semaine, gros plan sur la loi et l'Internet
Flux
de données transfrontaliers : risques juridiques et
moyens de protection
-
Mardi 16 avril 2002
-
Les
transferts de données personnelles en dehors de l'Union européenne
présentent pour les entreprises des risques juridiques nouveaux.
Un mécanisme contractuel préventif peut néanmoins les protéger.
par
Guillaume Desgens-Pasanau,
Deloitte & Touche Juridique et Fiscal, société d'avocats
|
Nouvelle
réglementation : nouveaux risques
La
directive 95/46/CE en date du 24 octobre 1995 relative à la
protection des personnes physiques à l'égard du traitement
de leurs données personnelles dispose dans son article 25
que "le transfert vers un pays tiers [de l'UE] de données
à caractère personnel faisant l'objet d'un traitement (...)
ne peut avoir lieu que si le pays en question assure un niveau
de protection adéquat" (1). Cette
disposition, très protectrice des intérêts des ressortissants
de l'Union européenne, vise à limiter les exportations de
données personnelles à destination des "paradis de données"
(2), pays tiers aux législations
peu protectrices. Cette réglementation concerne en particulier
les Etats-Unis, eu égard à l'importance quantitative des transferts
existant en provenance de pays européens et à l'absence de
législation protectrice outre-atlantique
S'est
ainsi engagée une négociation politique entre le ministère
du commerce américain et la Commission européenne ayant abouti
à l'accord dit de "Safe Harbour"
(Lire l'article
du JDNet du 31/07/01)
en date du 26 juillet 2000 (3).
Le système ainsi proposé repose sur une solution américaine
d'autorégulation et non sur une solution législative, ou encore,
selon la qualification récemment retenue, un " effective mix
", c'est-à-dire un système alliant les vertus de l'autorégulation
et l'autorité de la puissance publique. En pratique, peu d'entreprises
américaines ont accepté de se soumettre à cet accord. Divers
auteurs ont par ailleurs mis en avant la faiblesse des principes
du "Safe Harbour" aussi bien au niveau du contenu que de sa
mise en oeuvre pratique (4).
Une
solution : le mécanisme contractuel
Dès lors, comment est-il possible, pour une entreprise,
d'exporter des données en dehors de l'Union Européenne sans
voir sa responsabilité tant civile que pénale engager ? On
rappellera à cet égard que le projet de loi de réforme de
la loi du 6 janvier 1978 dite "loi Informatique et Libertés",
adopté en première lecture à l'Assemblée Nationale le 30 janvier
2002 (5), envisage d'attribuer
à la Commission Nationale de l'Informatique et des Libertés
(CNIL) un fort pouvoir de sanctions pécuniaires, outre les
sanctions pénales d'ores et déjà existantes dans la loi du
6 janvier 197_.
De
fait, les accords du "Safe Harbour" ne sont qu'une réponse
juridique partielle qu'il est possible de contourner en utilisant
l'une des exceptions prévues à l'article 26 de la directive
du 24 octobre 95. Cet article dispose qu'en l'absence d'un
"niveau adéquat de protection" dans le pays destinataire,
des clauses contractuelles peuvent présenter des garanties
suffisantes pour effectuer les transferts de données vers
ce pays. En pratique, le responsable du traitement devra,
dès lors, inclure dans le contrat relatif à cette opération
d'exportation certaines clauses standard, s'il s'agit d'un
transfert vers un pays situé hors de l'Union européenne.
Dans
ces conditions, le 15 juin 2001, la Commission européenne
a adopté un ensemble de clauses contractuelles modèle (6)
présentant des "garanties suffisantes au regard
de la protection de la vie privée et des libertés et droits
fondamentaux des personnes ainsi qu'à l'exercice des droits
correspondants". Ces clauses présentées par la Commission
ont un caractère obligatoire pour les Etats membres : le projet
de loi du 30 janvier 2002 valide ainsi l'utilisation de telles
clauses contractuelles (8).
Les
clauses contractuelles types : quel contenu ?
Ces clauses types définissent les mécanismes juridiques
établissent un partage de responsabilité entre l'exportateur
européen et l'importateur de données et retranscrivent les
principes fondamentaux inscrits dans la directive. Ces principes
sont rappelées dans les annexes rédigées par la Commission
et concernent, en substance, la finalité des données, la sécurité
et la confidentialité ainsi que le droit d'accès, de rectification,
d'effacement et d'opposition relatif à ces données.
Ces clauses
contractuelles peuvent être insérées dans un contrat plus
large ou faire l'objet d'un contrat spécifique, sachant que
le modèle présenté par la Commission exclut les opérations
de sous-traitance de données (un autre modèle est en cours
de rédaction).
En pratique,
la protection de la personne physique faisant l'objet d'un
traitement de données est garantie par la clause dite de "tiers
bénéficiaire" en vertu de laquelle la personne physique concernée
par le traitement peut demander aux deux parties réparation
du préjudice subi par une éventuelle violation du contrat
(8) signé entre l'exportateur
et l'importateur.
Il est
par ailleurs spécifié que le droit applicable est celui de
l'Etat où est établi l'exportateur de données, donc forcément
un Etat européen à la législation protectrice. En pratique,
il sera ainsi plus facile pour le "tiers bénéficiaire" de
poursuivre la partie établie au sein de l'Union Européenne,
plutôt que tenter de d'obtenir une décision judiciaire auprès
de la juridiction compétente au sein du pays tiers. Le contrat
prévoit également une clause d'indemnisation mutuelle qui
permet à chacune des parties, exportateur ou importateur,
de réclamer à l'autre partie une indemnisation pour les fautes
contractuelles commises.
Les clauses
contractuelles types sont accessibles directement sur le site
de la Commission. On indiquera également que les autorités
de protection de données, telles que la CNIL en France, conservent
toutes leurs prérogatives : elles pourront en particulier
autoriser d'autres modèles contractuels ou ordonner la suspension
du flux de données en cas de "circonstances exceptionnelles".
L'utilisation
de ces clauses contractuelles est volontaire. Elle offrira
aux entreprises européennes un moyen simple de veiller à leur
obligation de respecter un "niveau de protection adéquat".
Elle nécessite néanmoins la prise en compte de ces données
nouvelles et le renforcement et/ou la validation juridique
des contrats existants.
(1)
Directive n°95/46/CE, du Parlement et du Conseil, du 24 octobre
1995, relative à la protection des personnes physiques à l'égard
du traitement des données à caractère personnel et à la libre
circulation de ces données, JOCE, L 281, novembre 95, p.31
à 50.
(2) Jean Frayssinet, " le transfert et la protection des données
personnelles en provenance de l'Union européenne vers les
Etats-Unis : l'accord dit " sphère de sécurité " (ou Safe
Harbour ) ", JCP Communication Commerce Electronique, Mars
2001, p.10.
(3) Décision
2000/520/CE de la Commission du 26 juillet 2000 conformément
à la directive 95/46/CE, JOCE, 25 août 2000, L 215, p.7.
(4) Sur
cette question, voir l'étude de Yves Poullet, "les Safe Harbour
Principles - Une protection adéquate?", 10 juillet 2000, www.droit-technologie.org.
(5) Projet de loi adopté par l'Assemblée Nationale en première
lecture, relatif à la protection des personnes physiques à
l'égard des traitements de données à caractère personnel et
modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique,
aux fichiers et aux libertés - texte adopté n°180 - 30 janvier
2002.
(6) Décision de la Commission 2001/497/CE du 15 juin 2001
relative aux clauses contractuelles types pour le transfert
de données à caractère personnel vers les pays tiers en vertu
de la directive 95/46/CE, JOCE, L 181, 4 juillet 2001, p.19.
(7) Article 69 du projet de loi en date du 30 janvier 2002.
(8) Cette clause peut juridiquement s'interpréter comme une
stipulation pour autrui, envisagée par l'article 1121 du Code
civil.
A
lire également :
Au
sommaire de l'actualité
|
|