Transferts internationaux de données personnelles : Bruxelles veut changer les règles du jeu
La Commission européenne propose d'introduire le concept de "binding corporate rules" dans la révision de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. En quoi consistent ces nouvelles règles et quelles sont les conséquences dans le contexte de la protection des données personnelles?
La Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (transposée en France sous la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) pose un principe général d'interdiction de transférer des données à caractère personnel en dehors de l'Union européenne vers un pays tiers dont le droit applicable n'offre pas un niveau de protection « adéquat » des données personnelles, c'est-à-dire un niveau de protection équivalent à celui qui existe au sein de l'Union européenne. Pour se conformer à cette obligation, les sociétés disposent de différents instruments juridiques reconnus par la Commission européenne et par les autorités nationales de protection des données personnelles comme apportant un niveau de protection adéquat (ex. dérogations légales, clauses contractuelles types de la Commission européenne, adhésion aux principes de Safe Harbor). Malgré les avantages que procurent ces différents instruments, ils ne répondent pas toujours aux attentes des sociétés en raison notamment des contraintes liées à la mondialisation de l'économie, à la globalisation des échanges de données et aux développements technologiques.
Dans ce contexte, la Commission européenne a décidé, dans le cadre de la révision de la Directive 95/46/CE (dont le nouveau texte sera présenté à l'automne 2011) d'introduire expressément le concept de règles d'entreprise contraignantes (appelées « binding corporate rules » en anglais) afin de faciliter le transfert de données personnelles hors de l'Union européenne. La Commission européenne confirme ainsi la position tenue par les autorités nationales de protection (regroupées sous le groupe dit « Groupe de l'Article 29 ») qui, depuis 2003, promeuvent les BCR comme une alternative juridique pouvant intéresser les sociétés multinationales qui mettent en place des transferts de données fréquents, massifs et structurels au sein d'un groupe de sociétés.
Les BCR peuvent être définis comme un ensemble de règles juridiques contraignantes, ou juridiquement exécutoires, qui s'appliquent aux transferts internationaux de données. A l'instar de ce qui existe dans d'autres domaines juridiques (ex. les politiques groupe en matière de protection de l'environnement, l'application de pratiques commerciales déontologiques, le respect des règles de concurrence sur le marché ou la lutte contre la corruption et le blanchiment d'argent), les BCR constituent un code de conduite qui énonce la politique interne applicable aux transferts intra-groupe de données personnelles, conformément aux principes européens de protection des données personnelles. Les BCR permettent ainsi à une société multinationale d'encadrer l'ensemble des transferts qu'elle met en place au sein du groupe grâce à un seul instrument juridique.
Les BCR permettent aussi d'instaurer une véritable politique globale, ou norme interne, en matière de protection des données personnelles au sein du groupe. En effet, les BCR s'appliquent uniformément à l'ensemble du groupe, indépendamment du lieu d'implantation des filiales ou de la nationalité des personnes concernées par les traitements. Ils contribuent ainsi à uniformiser les pratiques et, ce faisant, à prévenir les risques inhérents aux traitements de données personnelles, en particulier dans les pays qui ne disposent pas d'une législation sur la protection des données personnelles. Les BCR permettent aussi d'introduire au sein de l'entreprise un ensemble de valeurs sociales autour de la protection et de la sécurité des données personnelles.
En pratique, le groupe qui adopte des BCR s'engage à prendre certaines mesures concrètes concernant notamment l'information des personnes, la gestion des plaintes, la formation du personnel, l'audit des traitements de données ou la gouvernance en matière de données personnelles, en vue de respecter les principes européens de protection des données personnelles (ex. légalité du traitement, légitimité, transparence, proportionnalité, sécurité et confidentialité). Ainsi, toute société qui adopte des BCR doit démontrer les engagements qu'elle a pris au regard de la protection des données personnelles. A ce titre, la Commission européenne entend aussi introduire dans la révision de la Directive 95/46/CE un principe de responsabilité (appelé « accountability » en anglais) aux termes duquel les responsables de traitement auront l'obligation de prendre des mesures proactives lors du traitement de données personnelles afin de démontrer aux autorités nationales de protection le respect des principes énoncés dans la Directive.
Enfin, les BCR permettent surtout à une société de disposer d'un corpus de règles juridiques qui répond aux besoins, à la structure, à la culture et au mode de gouvernance du groupe. La société définit elle-même le champ d'application géographique et matériel de ses BCR. Elle peut également rédiger ses BCR dans un langage et un style propres à la société, afin de les rendre clairs et compréhensibles pour l'ensemble de ses salariés, de ses consommateurs et de ses partenaires commerciaux. Contrairement à d'autres mécanismes juridiques, tels que les clauses types de la Commission européenne, les BCR se présentent donc comme un mécanisme juridique souple et sur mesure qu'une société peut adapter à ses besoins.
Il n'est donc pas étonnant de voir de plus en plus de groupes internationaux s'intéresser aux BCR et les adopter. Le législateur européen a bien compris qu'une dynamique était en place dans ce domaine et qu'il fallait donner aux sociétés les moyens juridiques pour atteindre leurs objectifs.