Mémoire « Quels enjeux juridiques pour le transfert d’une base de données vers un autre pays ?

Aujourd’hui, dès que nous « surfons » sur internet nous sommes appelés à répondre à toutes sortes de questions nous concernant. Ces questions vont du simple pseudo, à notre adresse complète. Ces renseignements peuvent même permettre de faire le profil complet d’une personne s’ils sont divulgués. C’est tout le problème de la protection des données.

Leur collecte peut s’avérer indispensable : comment envoyer un colis à une personne si on n’a pas le droit de collecter son adresse, comment contrôler la sécurité d’une entreprise si on ne peut pas mettre dans une base de données les informations la concernant afin de ne laisser entrer à l’intérieur que les personnes autorisées ? Mais d’un autre coté, ces données peuvent permettent l’identification d’une personne directement ou indirectement, elles peuvent aussi apporter des informations précieuses sur ces personnes qui peuvent ainsi conduire à des discriminations ou avoir une forte incidence sur leur vie privée.

Il faut donc réussir à conjuguer, la volonté de sécurité qui est de plus en plus présente aujourd’hui dans notre société et en même et le droit au respect de la vie privée auquel tout être humain peut prétendre. Ce droit au respect de sa vie privée est aujourd’hui affirmé par l’ensemble des conventions internationales concernant les droits de l’homme. Il est notamment présent dans la Convention Européenne de Sauvegarde des Droits de l’Homme et des libertés fondamentales (CESDH) en son article 81.

Aujourd’hui, dès que nous « surfons » sur internet nous sommes appelés à répondre à toutes sortes de questions nous concernant. Ces questions vont du simple pseudo, à notre adresse complète. Ces renseignements peuvent même permettre de faire le profil complet d’une personne s’ils sont divulgués. C’est tout le problème de la protection des données.

Leur collecte peut s’avérer indispensable : comment envoyer un colis à une personne si on n’a pas le droit de collecter son adresse, comment contrôler la sécurité d’une entreprise si on ne peut pas mettre dans une base de données les informations la concernant afin de ne laisser entrer à l’intérieur que les personnes autorisées ? Mais d’un autre coté, ces données peuvent permettent l’identification d’une personne directement ou indirectement, elles peuvent aussi apporter des informations précieuses sur ces personnes qui peuvent ainsi conduire à des discriminations ou avoir une forte incidence sur leur vie privée.

Il faut donc réussir à conjuguer, la volonté de sécurité qui est de plus en plus présente aujourd’hui dans notre société et en même et le droit au respect de la vie privée auquel tout être humain peut prétendre. Ce droit au respect de sa vie privée est aujourd’hui affirmé par l’ensemble des conventions internationales concernant les droits de l’homme. Il est notamment présent dans la Convention Européenne de Sauvegarde des Droits de l’Homme et des libertés fondamentales (CESDH) en son article 8.

L’affirmation de ce droit dans la CESDH a bien sûr des conséquences en Europe sur la protection qui va être apportée aux données personnelles. La collecte de ces données n’est pas interdite, elle est simplement réglementée. A cette réglementation, plusieurs garde-fous sont apportés : c’est le cas de la CNIL en France, ou encore du Contrôleur européen à la protection des données personnelles.

Le premier texte à s’être intéressé au sort des données personnelles est la Convention 108 prise dans le cadre du Conseil de l’Europe en date du 28 janvier 1981. Elle met en place certaines règles très légères en matière de protection des données personnelles. Ce sont en fait des grands principes visant à garantir le respect des droits fondamentaux et notamment le droit à la vie privée lors du traitement des données personnelles.

Aujourd’hui, les deux grands textes législatifs, sur lesquels est fondée la protection des données personnelles en France, sont d’une part la Directive européenne du 24 octobre 1995 du Parlement Européen et d’autre part la loi « Informatique et Libertés » du 6 janvier 1978 telles que modifiées par la loi de transposition de la directive de 1995 en date du 6 aout 2004. Ces deux grands textes visent à protéger l’utilisateur de l’outil informatique et instaure une protection des libertés fondamentales sur Internet.

C’est d’ailleurs bien avant les recommandations de l’Union Européenne et la directive de 1995, que la CNIL fût créée. Si une réelle protection des données personnelles n’est effective que depuis 1995 en Europe et 2004 en France, la CNIL à été créé par la loi du 6 janvier 1978. C’est une autorité administrative indépendante. Elle fait l’objet du Chapitre III de cette même loi. Elle possède différentes missions qui sont définies à l’Article 116 de cette même loi. Voici l’une de ses missions : « Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l’égard du traitement de données à caractère personnel, ou à l’anonymisation de ces données, qui lui sont soumis ».

Tout d’abord, il convient de déterminer ce qu’est une donnée personnelle. La directive de 1995 en donne une définition dans son article 2 (a). Cette définition a ensuite été reprise par la loi du 6 aout 2004 qui modifie la loi Informatique et Libertés et qui dans son article 2 alinéa 2 donne la définition suivante d’une donnée personnelle : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

A l’intérieur même de cette catégorie de données appelées données personnelles, il y a une autre catégorie de données qui bénéficie d’un niveau encore plus élevé de protection : ce sont les données considérées comme sensibles : « Une donnée sensible est une donnée qui fait apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle d’une personne. » Ici les données collectées ne permettent plus simplement d’identifier une personne, mais d’en donner des caractéristiques qui peuvent aujourd’hui amener à des discriminations. C’est le cas, par exemple, des données biométriques lesquelles peuvent permettre de déterminer la couleur de peau d’une personne par le visage, donner l’activité de la personne par la reconnaissance veineuse et même déterminer son état de santé grâce à la rétine. La collecte de ces données est aujourd’hui interdite par l’article 88 de la loi Informatique et Libertés sauf exceptions qui sont prévues dans ce même article.

Cependant même si, comme on vient de le voir, tout est mis en oeuvre au sein de l’Union Européenne pour concilier protection de la vie privée et intérêt sécuritaire, des dérives existent toujours, notamment avec les fichiers de police. D’un autre coté, quand on se place dans le domaine des organisations privées qui constituent une base de données, au vue du nombre de bases de données personnelles non déclarées, on peut se demander si la CNIL en France et son équivalent dans les autres pays européens sont efficaces. Et même quand un fichier est déclaré, les contrôles de la CNIL sont aujourd’hui très rares et ne peuvent donc assurer un contrôle efficace des garanties qui ont été données par le responsable de traitement lors de la mise en place de la base et de sa déclaration.

De plus, il faut définir ce qu’est un traitement de données plus communément appelés base de données. Il est définit par la loi « Informatique et Libertés » de 1978 comme « toute opération et tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion ainsi que le verrouillage, l’effacement ou la destruction ».

La question de la protection des données, si elle est aujourd’hui plutôt satisfaisante en Europe, il n’en est pas de même dans l’ensemble des pays du monde, très peu de pays se sont intéressés à cette question. Si le nombre de pays possédant une protection équivalente à l’Union Européenne est très faible, le chiffre augmente jusqu’à 25 si on prend en compte les pays ayant mis en place une législation concernant la protection des données personnelles.

Cependant cette législation reste très restreinte et dans la plupart des cas ne concerne que certaines activités ou encore certaines catégories de données personnelles très limitées. Certains pays, comme Monaco ou la Nouvelle-Zélande, ont mis en place une commission chargée des contrôles des traitements de données personnelles.

Il en est de même au niveau du droit international où la question de la protection des données personnelles reste quasiment ignorée des grandes organisations et des grandes conventions. Si, comme on l’a vu plus haut, indépendamment de l’Union Européenne, il existe la Convention n° 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel de 1981, les deux seules autres conventions ne sont que des lignes directrices émises par l’ONU9 et l’OCDE10. Elles contiennent des grands principes comme ceux contenues dans la Convention 108 du Conseil de l’Europe. Le prochain texte sera sans doute la nouvelle directive adoptée par l’Union Européenne dans ce domaine qui fera partie du paquet télécom prochainement.

Au regard de ce constat sur la législation mondiale, il convient d’inscrire la constitution d’une base de données dans un contexte international. Dans ce contexte de flux continu de données, le transfert d’une base de données ou tout simplement d’une partie d’une base de données personnelle constituée en France devient problématique. En effet, s’il n’était pas envisagé par le droit positif, il suffirait d’envoyer la base de données, collectée en France, à l’étranger pour la soustraire aux formalités et protections européennes. Or ce n’est pas le cas, la directive de 1995 reprise par la loi de transposition de 2004 a prévu le cas des transferts de données personnelles vers l’étranger. Quelles sont alors les procédures et règles à respecter pour exporter une base de données depuis la France ?

La CNIL, quant à elle stipule qu’il faut entendre par transfert de données « toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, copie ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire ».

Contexte international d’une part, d’un point de vue du secteur privé, où la plupart des multinationales sont amenées à transférer les données qu’elles collectent en France vers d’autres succursales à l’étranger, voir même vers leur maison-mère (Titre I). D’autre part, on retrouve tous les fichiers de police qui, on le sait aujourd’hui, sont de plus en plus importants depuis les attentats du 11 septembre 2001 dans un objectif de sécurité accrue à l’intérieur des pays mais aussi à l’extérieur : contrôle aux frontières, régulation de l’immigration. Toutes ces problématiques sont à l’origine de transferts par les états vers l’étranger de données personnelles et parfois hautement sensibles (Titre II).

Anne-Gaëlle LEFEBVRE

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.