Le transfert des données personnelles

 Le transfert des données personnelles

INTRODUCTION

Les préoccupations relatives à la protection des données personnelles contre l’informatique ont émergé dans les années 1970 lorsque les progrès technologiques ont donné aux Etats la capacité de « fliquer » leur population en constituant de gigantesques bases de données.

Ainsi, au niveau Européen, l’UE a élaboré des textes relatifs à la protection des données personnelles. L’intervention de l’Union Européenne s’est traduite par l’adoption en 1995 de la directive 95/46/CE du 24 Octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive constitue la pierre angulaire de la législation sur la protection des données personnelles dans l’UE.

En France, le texte fondamental concernant les données personnelles est la loi n°78-17 dite « informatique et libertés » adoptée le 6 Janvier 1978. C’est la loi fondatrice de la protection des données personnelles. Elle a été modifiée à de nombreuses reprises particulièrement en 2004 pour transposer la directive européenne de 1995. Cette loi est toujours en vigueur.

Pour assurer la mise en œuvre des droits et des devoirs instaurés par la loi Informatique et libertés de 1987, celle-ci a instauré un organisme spécialisé appelé : la Commission Nationale de l’Informatique et des Libertés (CNIL).

La CNIL est une autorité administrative indépendante qui veille au respect de la loi, dispose d’un pouvoir réglementaire,  peut procéder à des investigations, mais aussi dispose d’un pouvoir de contrôle et de sanctions.

I – Quelques définitions

• Donnée à caractère personnel : Selon l’article 2 de la loi de 1978 et l’article 2 de la Directive 95/46/CE : " Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

• Transfert de données personnelles : Selon la CNIL, un transfert de données personnelles vers un pays se définit comme étant : « toute communication, toute copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, toute copie ou déplacement de ces données d’un support à un autre, quel que soit ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire »

• Traitement de donnée à caractère personnel : Selon la loi de 1978 : «  constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement , l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou tout autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

II-  Transfert de données personnelles dans l’UE

La directive européenne de 1995 a permis de garantir un niveau de protection équivalent dans tous les pays de l’UE. Le transfert de données personnelles entre pays membres de l’EU ne pose pas de difficultés et est de droit au sein de l’UE en raison de la transposition par tous les états membres de l’UE de la directive de 1995.  

Les transferts de données interne à l’UE sont donc possibles sans formalités préalables, assurant ainsi la libre circulation des informations au sein de l’UE.

En vertu de leur signature de l’accord sur l’Espace Economique Européen (EEE), l’Islande, le Liechtenstein et la Norvège, Etats non membres de l’UE mais membres de l’Association Européenne de Libre Echange (AELE), ont transposé la directive de 1995 dans leur droit national et sont donc considérés comme des : « Etats membres » au titre de opérations de transfert international de donnée à caractère personnel.

III- Transfert de données personnelles hors de l’UE

• Le principe :

« Les transferts en dehors de l'UE sont interdits ». En effet, Le transfert de donnée personnelle vers un pays tiers non-membre de l’UE n’est autorisée que si ce pays assure un niveau de protection adéquat ou suffisant. Ainsi, tout transfert de donnée personnelle vers un pays n’assurant pas un niveau de protection suffisant est interdit et doit être au préalable soumis à des formalités visant à s’assurer de leur protection effective.  

Ce principe est posé par l’article 68 de la loi Informatique et Libertés qui indique que : «   Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet ».

L’article ajoute que : « Le caractère suffisant du niveau de protection assuré par un Etat s'apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées ».

• Les exceptions au principe :

L’article 69 de la loi prévoit cependant que des données à caractère personnel peuvent être transférer vers un Etat ne répondant pas aux conditions prévues à l'article 68 dans certaines hypothèses que sont :

1° la personne à laquelle se rapportent les données a consenti expressément à leur transfert

2° le transfert est nécessaire à l'une des conditions suivantes :

• A la sauvegarde de la vie de cette personne ;
• A la sauvegarde de l'intérêt public ;
•  Au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ;
• A la consultation, dans des conditions régulières, d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime ;
• A l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;
•  A la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers.

3° Le transfert peut être enfin autorisé par décision de la CNIL ou, s'il s'agit d'un traitement mentionné au I ou au II de l'article 26, par décret en Conseil d'Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles (Exemple : CCT) ou règles internes dont il fait l'objet.  

...