[helpc] Flux de données transfrontaliers : risques juridiques et moyens de protection
- From: "Rudy S." <strub.rudy@xxxxxxxxx>
- To: "Helpc" <helpc@xxxxxxxxxxxxx>
- Date: Thu, 18 Apr 2002 12:26:19 +0200
Flux de données transfrontaliers : risques juridiques et moyens de
protection
- Mardi 16 avril 2002 -
Les transferts de données personnelles en dehors de l'Union européenne
présentent pour les entreprises des risques juridiques nouveaux. Un
mécanisme contractuel préventif peut néanmoins les protéger.
Nouvelle réglementation : nouveaux risques
La directive 95/46/CE en date du 24 octobre 1995 relative à la
protection des personnes physiques à l'égard du traitement de leurs
données personnelles dispose dans son article 25 que "le transfert vers
un pays tiers [de l'UE] de données à caractère personnel faisant l'objet
d'un traitement (...) ne peut avoir lieu que si le pays en question
assure un niveau de protection adéquat" (1). Cette disposition, très
protectrice des intérêts des ressortissants de l'Union européenne, vise
à limiter les exportations de données personnelles à destination des
"paradis de données" (2), pays tiers aux législations peu protectrices.
Cette réglementation concerne en particulier les Etats-Unis, eu égard à
l'importance quantitative des transferts existant en provenance de pays
européens et à l'absence de législation protectrice outre-atlantique
S'est ainsi engagée une négociation politique entre le ministère du
commerce américain et la Commission européenne ayant abouti à l'accord
dit de "Safe Harbour" (Lire l'article
<http://www.journaldunet.com/juridique/juridique010731.shtml> du JDNet
du 31/07/01) en date du 26 juillet 2000 (3). Le système ainsi proposé
repose sur une solution américaine d'autorégulation et non sur une
solution législative, ou encore, selon la qualification récemment
retenue, un " effective mix ", c'est-à-dire un système alliant les
vertus de l'autorégulation et l'autorité de la puissance publique. En
pratique, peu d'entreprises américaines ont accepté de se soumettre à
cet accord. Divers auteurs ont par ailleurs mis en avant la faiblesse
des principes du "Safe Harbour" aussi bien au niveau du contenu que de
sa mise en oeuvre pratique (4).
Une solution : le mécanisme contractuel
Dès lors, comment est-il possible, pour une entreprise, d'exporter des
données en dehors de l'Union Européenne sans voir sa responsabilité tant
civile que pénale engager ? On rappellera à cet égard que le projet de
loi de réforme de la loi du 6 janvier 1978 dite "loi Informatique et
Libertés", adopté en première lecture à l'Assemblée Nationale le 30
janvier 2002 (5), envisage d'attribuer à la Commission Nationale de
l'Informatique et des Libertés (CNIL) un fort pouvoir de sanctions
pécuniaires, outre les sanctions pénales d'ores et déjà existantes dans
la loi du 6 janvier 197_.
De fait, les accords du "Safe Harbour" ne sont qu'une réponse juridique
partielle qu'il est possible de contourner en utilisant l'une des
exceptions prévues à l'article 26 de la directive du 24 octobre 95. Cet
article dispose qu'en l'absence d'un "niveau adéquat de protection" dans
le pays destinataire, des clauses contractuelles peuvent présenter des
garanties suffisantes pour effectuer les transferts de données vers ce
pays. En pratique, le responsable du traitement devra, dès lors, inclure
dans le contrat relatif à cette opération d'exportation certaines
clauses standard, s'il s'agit d'un transfert vers un pays situé hors de
l'Union européenne.
Dans ces conditions, le 15 juin 2001, la Commission européenne a adopté
un ensemble de clauses contractuelles modèle (6) présentant des
"garanties suffisantes au regard de la protection de la vie privée et
des libertés et droits fondamentaux des personnes ainsi qu'à l'exercice
des droits correspondants". Ces clauses présentées par la Commission ont
un caractère obligatoire pour les Etats membres : le projet de loi du 30
janvier 2002 valide ainsi l'utilisation de telles clauses contractuelles
(8).
Les clauses contractuelles types : quel contenu ?
Ces clauses types définissent les mécanismes juridiques établissent un
partage de responsabilité entre l'exportateur européen et l'importateur
de données et retranscrivent les principes fondamentaux inscrits dans la
directive. Ces principes sont rappelées dans les annexes rédigées par la
Commission et concernent, en substance, la finalité des données, la
sécurité et la confidentialité ainsi que le droit d'accès, de
rectification, d'effacement et d'opposition relatif à ces données.
Ces clauses contractuelles peuvent être insérées dans un contrat plus
large ou faire l'objet d'un contrat spécifique, sachant que le modèle
présenté par la Commission exclut les opérations de sous-traitance de
données (un autre modèle est en cours de rédaction).
En pratique, la protection de la personne physique faisant l'objet d'un
traitement de données est garantie par la clause dite de "tiers
bénéficiaire" en vertu de laquelle la personne physique concernée par le
traitement peut demander aux deux parties réparation du préjudice subi
par une éventuelle violation du contrat (8) signé entre l'exportateur et
l'importateur.
Il est par ailleurs spécifié que le droit applicable est celui de l'Etat
où est établi l'exportateur de données, donc forcément un Etat européen
à la législation protectrice. En pratique, il sera ainsi plus facile
pour le "tiers bénéficiaire" de poursuivre la partie établie au sein de
l'Union Européenne, plutôt que tenter de d'obtenir une décision
judiciaire auprès de la juridiction compétente au sein du pays tiers. Le
contrat prévoit également une clause d'indemnisation mutuelle qui permet
à chacune des parties, exportateur ou importateur, de réclamer à l'autre
partie une indemnisation pour les fautes contractuelles commises.
Les clauses contractuelles types sont accessibles directement sur le
site de la Commission
<http://europa.eu.int/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXn
umdoc&lg=FR&numdoc=32001D0497&model=guichett%20> . On indiquera
également que les autorités de protection de données, telles que la CNIL
en France, conservent toutes leurs prérogatives : elles pourront en
particulier autoriser d'autres modèles contractuels ou ordonner la
suspension du flux de données en cas de "circonstances exceptionnelles".
L'utilisation de ces clauses contractuelles est volontaire. Elle offrira
aux entreprises européennes un moyen simple de veiller à leur obligation
de respecter un "niveau de protection adéquat". Elle nécessite néanmoins
la prise en compte de ces données nouvelles et le renforcement et/ou la
validation juridique des contrats existants.
(1) Directive n°95/46/CE, du Parlement et du Conseil, du 24 octobre
1995, relative à la protection des personnes physiques à l'égard du
traitement des données à caractère personnel et à la libre circulation
de ces données, JOCE, L 281, novembre 95, p.31 à 50.
(2) Jean Frayssinet, " le transfert et la protection des données
personnelles en provenance de l'Union européenne vers les Etats-Unis :
l'accord dit " sphère de sécurité " (ou Safe Harbour ) ", JCP
Communication Commerce Electronique, Mars 2001, p.10.
(3) Décision 2000/520/CE de la Commission du 26 juillet 2000
conformément à la directive 95/46/CE, JOCE, 25 août 2000, L 215, p.7.
(4) Sur cette question, voir l'étude de Yves Poullet, "les Safe Harbour
Principles - Une protection adéquate?", 10 juillet 2000,
www.droit-technologie.org
<http://www.droit-technologie.org/fr/index.asp> .
(5) Projet de loi adopté par l'Assemblée Nationale en première lecture,
relatif à la protection des personnes physiques à l'égard des
traitements de données à caractère personnel et modifiant la loi n°
78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés - texte adopté n°180 - 30 janvier 2002.
(6) Décision de la Commission 2001/497/CE du 15 juin 2001 relative aux
clauses contractuelles types pour le transfert de données à caractère
personnel vers les pays tiers en vertu de la directive 95/46/CE, JOCE, L
181, 4 juillet 2001, p.19.
(7) Article 69 du projet de loi en date du 30 janvier 2002.
(8) Cette clause peut juridiquement s'interpréter comme une stipulation
pour autrui, envisagée par l'article 1121 du Code civil.
--->>>
Shaka( Rudy)
HelPC list owner
<mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx
Other related posts:
- » [helpc] Flux de données transfrontaliers : risques juridiques et moyens de protection
