La
centralisation de bases de données locales, le partage
intra-groupe d'outils informatiques et de services techniques,
le recours à des prestataires externes situés hors du
territoire, la location ou la cession de fichiers commerciaux
à l'étranger, représentent une variété de situations
qui ont toutes en commun la même problématique :
le transfert de données personnelles hors du territoire.
Dans
ce domaine, le principe juridique est clair. Il est
issu de l'article 24 de la loi du 6 janvier 1978 et
de l'article 25 de la Directive européenne 95/46/CE
du 24 octobre 1995. Ainsi, la Directive européenne,
tout en reconnaissant l'importance de ces flux au regard
du développement du commerce international, prévoit
qu'ils sont possibles uniquement si le pays destinataire
tiers à l'Union assure un niveau de protection adéquat.
Ce
niveau de protection adéquat est analysé en prenant
en compte les caractéristiques du traitement de données
personnelles concerné (la nature des données, la finalité
et la durée du traitement envisagé, les règles de sécurité,
etc.). Les Etats membres sont d'ailleurs obligés d'empêcher
tout transfert vers un pays tiers n'assurant pas un
niveau de protection adéquat.
L'objectif
est de préserver les droits et libertés fondamentaux
des personnes, dont le respect de la vie privée, en
évitant des flux non contrôlés de données, facilités
par l'informatisation et les réseaux, soit en d'autres
termes, la constitution de "Paradis de données". La
question est donc la suivante : quelles sont les possibilités
offertes pour que ces flux puissent être assurés et
ce, en conformité avec le système juridique mis en place
?
Le
principe de la "sphère de sécurité"
En premier lieu, la Commission européenne peut constater
qu'un pays tiers assure un niveau de protection adéquat.
Elle rend alors une décision en ce sens et les Etats
membres doivent s'y conformer. Ainsi, les heureux élus
sont à ce jour, la Hongrie, la Suisse, le Canada, les
Etats-Unis ("Safe Harbour") et dernièrement l'Argentine.
Il convient en pratique de se référer aux décisions
rendues pour le pays concerné afin de vérifier que le
traitement n'est pas exclu du champ d'application de
ladite décision.
On
rappellera brièvement que le principe de la " Sphère
de sécurité " ou "Safe Harbour" fut le fruit d'une longue
et tumultueuse négociation entre la Commission européenne
et le Ministère du Commerce américain, le principe in
fine retenu étant celui de l'adhésion volontaire des
entreprises américaines au respect d'un corps de principes
protecteurs. Soulignons à toutes fins utiles qu'il n'existe
pas de difficultés particulières s'agissant du Liechtenstein,
de l'Islande et de la Norvège, membres de l'EEE.
Les
dérogations possibles
En second lieu, la Directive prévoit dans son article
26 une série de dérogations au principe de protection
adéquate, tels que le consentement de la personne, la
poursuite d'intérêts légitimes (intérêt public important,
intérêt vital de la personne), l'exécution d'un contrat
ou de mesures pré-contractuelles.
Par
ailleurs, toujours au titre de ces dérogations, la Commission
peut établir des clauses contractuelles types qui devront
être intégrées par les Etats membres. A ce jour, deux
décisions ont été rendues en ce sens (15 juin et 27
décembre 2001). La première régit les relations de l'exportateur
et du (ou des) importateur(s) de données, tous deux
responsables de traitement, vers des pays tiers n'assurant
pas un niveau de protection adéquat. La seconde concerne
les flux entre un responsable de traitement exportateur
de données et un importateur de données sous-traitant.
Enfin,
un Etat membre peut autoriser un transfert lorsque le
responsable du traitement offre des garanties suffisantes
au regard du traitement considéré. L'Etat membre doit
informer la Commission et les quatorze autres Etats
membres des autorisations ainsi accordées (c'est le
système de l'autorisation). Ces derniers peuvent émettre
leurs observations et exprimer leur opposition. Les
garanties offertes par l'entreprise peuvent notamment
prendre la forme de clauses contractuelles appropriées
ou bien encore de code de bonne conduite.
Le
groupe de travail "Article 29" (organe consultatif européen
indépendant travaillant sur ces sujets) a rendu tout
récemment un document de travail sur les règles contraignantes
d'entreprises pour répondre aux multinationales qui
souhaitent se doter d'une politique vraiment globale
en matière de protection de la vie privée sous la forme
de codes de bonne conduite.
La
mise en pratique
Ces solutions étant exposées, quelle est la réalité
du terrain ? La réalité est beaucoup moins lisse. Ne
soyons pas pessimistes et imaginons que votre destination
soit l'un des pays exotiques reconnus comme assurant
un niveau de protection adéquat. Vous n'avez alors aucun
souci à vous faire, sauf à vérifier tout de même la
teneur de la décision rendue par la Commission. Pour
les Etats-Unis, c'est un peu plus complexe puisque tous
les secteurs ne sont pas concernés par le Safe Harbour
et surtout de nombreuses sociétés américaines se refusent
à adopter ce système (et n'ont donc pas adhéré).
Si
le pays de destination n'est pas visé ou le système
du Safe Harbour tout simplement impensable, qu'à cela
ne tienne, vous allez mettre en avant le système des
exceptions. Attention aux déceptions. Ces exceptions
sont peu nombreuses et d'interprétation stricte. Elles
se heurtent à des incompatibilités de taille. A titre
d'exemple, le système du consentement pour un salarié
semble exclu dès lors que ce dernier, en situation de
subordination vis à vis de son employeur, ne peut donner
un consentement libre et éclairé au transfert de ses
données. La Commission Nationale de l'Informatique et
des Libertés (CNIL) pourrait prendre officiellement
position en ce sens.
Des
clauses inintelligibles
Il reste encore les clauses contractuelles types de
la Commission (en a parte, quid si l'entité française
n'a pas la personnalité morale, une succursale par exemple
?). Même si elles ont le mérite d'exister et d'être
reconnues par toutes les autorités locales, force est
de constater qu'elles sont inintelligibles et que certaines
clauses, notamment celle en matière de responsabilité
solidaire ou celle du tiers bénéficiaire (sorte de stipulation
pour autrui au profit de la personne dont les données
personnelles font l'objet du traitement), sont très
mal perçues. De plus, certains considèrent qu'il s'agit
ici d'une véritable abnégation de la liberté contractuelle
puisqu'elles n'offrent aucune marge de manuvres (autre
que des ajouts compatibles) et constituent de facto
un minima à signer.
Pourquoi
alors ne pas faire un contrat sur mesure ou mettre en
place un code de bonne conduite au sein du groupe ?
Oui, c'est possible mais il ne faut pas être pressé.
Dans les deux cas, c'est un véritable parcours du combattant
pour l'entreprise concernée. Elle doit déjà faire face
au circuit interne de validation (définition du projet
et mise en conformité, rédaction des clauses ou du code,
négociation, signature) puis dans un second temps s'attaquer
au circuit administratif des autorités locales pour
espérer obtenir l'autorisation. Tout un programme
Cette
complexité pratique nuit à l'objectif poursuivi, alors
même que les flux internationaux de données ne sont
pas totalement étrangers à l'augmentation croissante
des saisines de la CNIL. Il semble qu'un peu de simplicité
et de flexibilité dans les solutions offertes concourrait
à plus de réalisme. Cette prise de conscience semble
déjà d'actualité puisque la CNIL compte rédiger des
clauses contractuelles types plus "lisibles" sur la
base de celles existantes.
[marie-laure.laffaire@fr.eylaw.com]
Sommaire
de la rubrique
|