DROIT EUROPÉEN
Traitement des données à caractère personnelIntroduction |
Le 27 décembre 2004, la Commission européenne a publié pour la troisième fois une décision concernant l'introduction d'un ensemble alternatif de clauses contractuelles type pour le transfert de données à caractère personnel vers des pays tiers (ci-après “la Décision”) [1].
La Décision entre en vigueur le 1er avril 2005.
À la fin de cette contribution, nous donnons un bref aperçu des principales dispositions de la Décision. Néanmoins, il nous a semblé utile d'esquisser, dans un premier temps, le cadre dans lequel cette Décision doit se situer.
Contexte |
La directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données (ci-après “la Directive”) [2] contient un certain nombre de dispositions relatives au transfert de données personnelles vers des pays tiers. Il s'agit ici de communiquer des données personnelles à des tiers qui ne sont pas établis dans un pays de l'UE [3]. Ces dispositions ont été transposées en droit belge par la loi du 11 décembre 1998 [4] modifiant la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard du traitement de données à caractère personnel (ci-après “la Loi”).
Les règles en matière de transfert de données personnelles vers des pays tiers ne portent pas préjudice aux autres dispositions qui se trouvent dans la Directive et la Loi. Cela implique que le responsable du traitement, c'est-à-dire la personne physique ou la personne morale qui détermine les finalités et les moyens du traitement de données à caractère personnel, qui souhaite transférer ces données personnelles vers un pays tiers, doit respecter les autres obligations de la Directive et de la Loi (par ex. l'obligation d'informer les personnes concernées - dont les données personnelles sont traitées - des finalités du traitement).
Le niveau de protection adéquat |
Suivant l'article 25, alinéa 1, de la Directive (et l'art. 21, § 1, de la Loi), les données personnelles qui font l'objet d'un traitement ou qui sont destinées à faire l'objet d'un traitement après leur transfert, ne peuvent être transférées vers un pays tiers que si le pays tiers en question assure un niveau de protection adéquat. Par contre, au sein de l'UE, le transfert des données personnelles est libre.
Par ce régime, le législateur européen a voulu, d'une part, stimuler le commerce international en rendant possible le flux transfrontalier des données personnelles et, d'autre part, éviter que le niveau de protection élevé et harmonisé qui est applicable au sein de l'UE soit sapé par un transfert vers des pays tiers qui n'offrent pas un niveau de protection adéquat.
Ni la Directive, ni la Loi ne donnent une définition de la notion de “niveau de protection adéquat”.
1) | Appréciation par le responsable du traitement lui-même |
Les deux textes légaux énumèrent toutefois un certain nombre de circonstances dont il faut tenir compte pour apprécier dans un cas spécifique le niveau de protection offert par un pays tiers. C'est ainsi qu'en cas de transfert, on doit tenir compte de la nature des données, de la finalité et de la durée du ou des traitements envisagés, du pays d'origine et du pays de destination finale, des règles générales et sectorielles qui s'appliquent dans le pays tiers concerné, ainsi que des codes professionnels et des mesures de sécurité qui sont respectés dans ce pays.
Il appartient au responsable du traitement d'apprécier, sur base de ces circonstances, si dans un cas spécifique il est question d'un niveau de protection adéquat et s'il peut par conséquent transférer ou non les données personnelles vers le pays tiers concerné. Il peut pour ce faire s'inspirer d'un certain nombre de directives qui ont été rédigées au niveau européen [5].
2) | Décision de la Commission européenne |
En outre, l'article 25, alinéa 6, de la Directive prévoit que la Commission européenne est compétente pour juger du niveau de protection d'un pays tiers. C'est ainsi que la Commission a déjà décidé que la Suisse [6], le Canada [7], l'Argentine [8], Guernesey [9] et l'Ile de Man [10] offrent un niveau de protection adéquat. Par conséquent, les données personnelles peuvent en principe être transférées vers ces pays sans condition supplémentaire. Cependant, les instances nationales compétentes peuvent, dans certaines circonstances, suspendre le flux des données vers des importateurs installés dans ces pays.
La Commission a également décidé que les données personnelles peuvent être transférées vers les États-Unis d'Amérique à condition que l'importateur américain de données ait souscrit au principe de la “sphère de sécurité” ou “Safe Harbour” [11].
Ces décisions de la Commission sont contraignantes pour les États membres et pour les responsables du traitement de données personnelles au sein de l'UE. Un transfert de données personnelles par un responsable vers un des pays précités est par conséquent autorisé.
Pas de niveau de protection adéquat |
Si le pays tiers n'offre pas un niveau de protection adéquat, le transfert de données personnelles vers ce pays n'est pas autorisé. Il existe cependant un certain nombre d'exceptions à cette interdiction.
1) | Exceptions prévues à l'article 22, § 1, de la Loi |
Tout d'abord, les données personnelles peuvent quand même être transférées vers un pays tiers qui ne garantit pas un niveau de protection adéquat si:
- “la personne concernée a indubitablement donné son consentement au transfert envisagé;
- le transfert est nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou des mesures préalables à la conclusion de ce contrat, prises à la demande de la personne concernée;
- le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers;
- le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un intérêt public important, ou pour la constatation, l'exercice ou la défense d'un droit en justice;
- le transfert est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée;
- le transfert intervient au départ d'un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l'information du public et est ouvert à la consultation du public ou de toute personne justifiant d'un intérêt légitime, dans la mesure où les conditions légales pour la consultation sont remplies dans le cas particulier”.
2) | Présence de garanties suffisantes |
a) Autorisation individuelle |
L'article 22, § 1, in fine de la Loi prévoit que le Roi peut, après avis de la Commission pour la protection de la vie privée, autoriser un transfert de données personnelles vers un pays tiers qui n'assure pas un niveau de protection adéquat. La condition est toutefois que le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des droits et libertés fondamentaux des personnes, ainsi qu'à l'égard de l'exercice des droits correspondants.
La Loi ne spécifie pas ce qu'il faut entendre par “garanties suffisantes”. Mais le législateur admet que de telles garanties peuvent résulter de dispositions contractuelles adéquates.
Par conséquent, l'exportateur de données personnelles peut conclure une convention avec l'importateur des données et la présenter ensuite aux autorités compétentes. Si celles-ci considèrent que la convention offre des garanties suffisantes, une autorisation de transfert de données personnelles sera accordée.
En outre, on reconnaît également la possibilité d'imposer ce qu'on appelle des “règles d'entreprise contraignantes” (ou “binding corporate rules”) [12]. Cette solution vise tout d'abord les entreprises multinationales. Les règles d'entreprise contraignantes sont des codes de conduite dans lesquels la société mère d'un groupe multinational détermine sous quelles conditions les données personnelles peuvent être transférées au sein du groupe. C'est à nouveau aux autorités nationales, qui donneront le cas échéant une autorisation permettant le transfert, qu'il appartient d'apprécier si, dans un cas concret, l'utilisation de règles d'entreprise contraignantes pour le transfert de données personnelles offre des garanties suffisantes.
Vu que la Loi ne donne pas de définition des garanties suffisantes et que les dispositions contractuelles adéquates ne constituent qu'une possibilité (la Loi utilisant le terme “notamment”), il n'est pas exclu que l'on puisse imaginer d'autres solutions adéquates qui offrent également des garanties suffisantes.
b) Utilisation des clauses contractuelles type approuvées par la Commission européenne |
L'article 26, alinéa 4, de la Directive permet à la Commission européenne de décider que certaines clauses contractuelles type offre des garanties suffisantes. Cela signifie que lorsqu'un exportateur et un importateur de données font appel à ces clauses contractuelles type, le transfert de données personnelles est autorisé. Les États membres sont obligés de s'incliner devant les décisions de la Commission.
En 2001, la Commission a approuvé deux ensembles de clauses contractuelles type. Le premier ensemble porte sur le transfert de données personnelles par un responsable établi dans l'UE vers un responsable établi dans un pays tiers (ci-après “le premier modèle de contrat”) [13]. Le deuxième ensemble de clauses type est applicable au transfert de données personnelles par un responsable établi dans l'UE vers un importateur sous-traitant établi dans un pays tiers [14]. Ces derniers transferts ne requièrent pas les mêmes garanties parce que le sous-traitant agit exclusivement au nom du responsable du traitement.
Les clauses type ne portent que sur la protection des données, ce qui implique que l'exportateur et l'importateur des données peuvent également reprendre d'autres clauses contractuelles dans leur convention pour autant que celles-ci ne soient pas contraires au modèle de contrat.
(i) Le premier modèle de contrat |
Le premier modèle de contrat contient entre autres des clauses relatives:
- aux obligations des parties: c'est ainsi que le modèle de contrat contient un certain nombre de principes en matière de protection des données (par ex. spécificité, qualité et proportionnalité des données, transparence), qui doivent être respectées par l'importateur des données;
- au caractère exécutoire par les personnes concernées: le modèle de contrat contient une stipulation pour autrui sur base de laquelle les personnes concernées qui ne sont pas partie à la convention, peuvent réclamer le respect d'un certain nombre de dispositions contractuelles;
- à la responsabilité des parties contractantes: l'exportateur et l'importateur de données sont solidairement responsables des dommages subis par les personnes concernées qui résulte d'une violation des dispositions qui relèvent de la stipulation pour autrui;
- à l'arbitrage et aux juridictions: dans le cas d'un litige entre la personne concernée et une des parties contractantes, la personne concernée a le choix de soumettre le litige à la médiation, l'arbitrage ou les tribunaux;
- la collaboration des parties contractantes avec les autorités de contrôle;
- l'expiration des clauses du modèle de contrat;
- le droit applicable: le modèle de contrat est soumis au droit de l'État membre de l'établissement de l'exportateur des données;
- l'obligation de ne pas modifier les conditions des clauses.
Les détails du transfert (comme par ex. les catégories des personnes concernées, les finalités du transfert, les catégories de données qui sont transférées et le délai de conservation des données personnelles qui sont transférées) doivent être spécifiés dans une annexe qui fait partie intégrante du modèle de contrat.
(ii) Le deuxième modèle de contrat |
Le premier modèle de contrat qui est encore toujours utilisé, facilite le transfert de données personnelles vers un pays tiers pour les entreprises.
Néanmoins, la Commission européenne a approuvé dans sa Décision un deuxième modèle de contrat qui est applicable au transfert des données personnelles par un responsable établi dans l'UE vers un responsable dans un pays tiers. Ce deuxième modèle de contrat est né à l'issue de négociations entre la Commission européenne et une coalition d'organisations du monde des entreprises. Le monde des entreprises insistait parce qu'il considérait que le premier modèle de contrat n'était pas suffisamment pratique d'un point de vue de son utilisation.
Le nouveau modèle de contrat va en grande partie plus loin que le premier modèle de contrat mais déroge à ce dernier sur un certain nombre de points. Les clauses dérogatoires sont principalement à l'avantage de l'exportateur de données établi dans l'UE.
Tout d'abord, le régime de la responsabilité solidaire de l'exportateur et de l'importateur des données est remplacé par un régime reposant sur des obligations de diligence. Ce principe signifie que l'exportateur de données doit entreprendre des démarches raisonnables pour s'assurer que l'importateur de données est à même de satisfaire aux obligations juridiques émanant du modèle de contrat. Ces démarches raisonnables peuvent notamment ressortir de l'exécution d'un audit dans les bâtiments de l'importateur de données. Il est également expressément précisé que chaque partie contractante est responsable à l'égard de l'autre partie pour les dommages qui résultent du non-respect du modèle de contrat.
Dans le deuxième modèle de contrat, une plus grande implication de l'exportateur de données dans le traitement des plaintes des personnes concernées est en outre prévue. Le modèle de contrat donne à l'exportateur de données également la possibilité de suspendre temporairement le transfert de données personnelles à l'importateur si ce dernier ne respecte pas le contrat. En outre, l'exportateur peut mettre fin à la convention, entre autres si le transfert est suspendu pendant plus d'un mois suite à des manquements contractuels de l'importateur.
Enfin, un certain nombre de limitations ont été apportées au droit d'accès de la personne concernée aux données qui sont conservées à son sujet (par ex.: celui qui conserve les données sur la personne concernée peut refuser une demande d'accès aux données en cas de demande abusive comme la demande répétée systématique d'une information). Les droits de rectification, de suppression ou d'objection peuvent également être limités.
À titre de contrepoids pour cette flexibilité plus grande (et la limitation possible de la responsabilité de l'exportateur de données), les autorités nationales peuvent plus facilement suspendre ou interdire le transfert de données personnelles. Ce sera le cas lorsque l'exportateur refuse de prendre des mesures appropriées pour faire valoir les obligations contractuelles à l'encontre de l'importateur de données ou lorsque ce dernier refuse de coopérer de bonne foi avec les autorités nationales compétentes.
[1] | J.O.C.E. L 385/74 du 29 décembre 2004. |
[2] | J.O.C.E. L 281/31 du 23 novembre 1995. |
[3] | Par extension, ce régime est applicable à l'égard des États membres de l'EEE que sont la Norvège, le Liechtenstein et l'Islande. |
[4] | M.B. 3 février 1999. |
[5] | Voy. e.a. Document de travail WP 12 ”Transferts de données personnelles vers des pays tiers: Application des articles 25 et 26 de la directive relative à la protection des données”, approuvé le 24 juillet 1998 par le Groupe 29 institué par la Directive (voy. art. 29 Directive). |
[6] | J.O.C.E. L 215/1 du 25 août 2000. |
[7] | J.O.C.E. L 2/13 du 4 janvier 2002. Le Canada est un cas particulier en ce sens que les données personnelles ne peuvent être transmises qu'aux importateurs de données canadiens qui tombent sous la loi canadienne sur la protection des renseignements personnels et les documents électroniques (“Personal Information Protection and Electronic Documents Act”). |
[8] | J.O.C.E. L 168/19 du 5 juillet 2003. |
[9] | J.O.C.E. L 308/27 du 25 novembre 2003. |
[10] | J.O.C.E. L 151/48 du 30 avril 2004. |
[11] | J.O.C.E. L 215/7 du 25 août 2000. En outre, des règles spécifiques sont applicables en ce qui concerne les données personnelles des passagers des avions qui sont transmises aux USA. |
[12] | Document de travail WP 74: “Transferts de données personnelles vers des pays tiers: Application de l'article 26 (2) de la directive de l'UE relative à la protection des données aux règles d'entreprise contraignantes applicables aux transferts internationaux de données”, approuvé le 3 juin 2003 par le Groupe 29. |
[13] | J.O.C.E. L 181/19 du 4 juillet 2001. |
[14] | J.O.C.E. L 6/52 du 10 janvier 2002. |