Transfert des données personnelles à des pays tiers : mesures de protection adéquates

En dehors de l’Union européenne, on ne peut transférer des données personnelles que vers des pays qui assurent une protection des données correspondante à celle assurée sur le territoire de l’Union européenne. En l’absence d’une telle règle, la forte protection garantie à l’intérieur de l’Union européenne serait rapidement vide de sens étant donné la facilité de circulation des données grâce aux nouvelles technologies.

Tout responsable de traitement qui souhaite exporter des données personnelles hors de l’Union européenne doit d’abord se demander si le pays destinataire assure un niveau de protection adéquat pour de telles données. Il faut retrouver les mêmes principes de protection que ceux établis sur le territoire européen. Pour évaluer la qualité de la protection offerte, il faut tenir compte de la législation du pays en question, des règles déontologiques appliquées, etc. En cas de doute, on peut s’adresser à la Commission de la protection de la vie privée pour savoir si un pays particulier offre une protection adéquate et si les transferts de données vers ce pays sont autorisés.

La notion de protection adéquate est une émanation de la directive du 24 octobre 1995 transposée par la loi du 6 août 2004 en France.

La Commission européenne a déjà adopté des décisions reconnaissant le niveau de protection adéquat des pays suivants :

Argentine, Guernesey, Ile de Man,Suisse, Canada, Etats-Unis (si le destinataire des données aux Etats-Unis a adhéré aux « principes de la sphère de sécurité «, ou « safe harbour principles «).

Dans certains cas, on peut tout de même transférer des données vers des pays qui n’offrent pas un niveau de protection adéquat. C’est notamment le cas si les personnes concernées donnent leur consentement indubitable au transfert de leurs données vers un tel pays, ou lorsque le transfert est nécessaire pour exécuter un contrat avec la personne concernée, ou lorsque les données proviennent d’un registre public destiné à l’information du public (annuaire téléphonique, registre du commerce, par exemple).

Le responsable du traitement peut également offrir lui-même, par la voie contractuelle, une protection appropriée. La protection peut ainsi être assurée au moyen d’un contrat liant celui qui envoie les données et celui qui les reçoit et contenant des garanties suffisantes au regard de la protection des données. Un modèle de contrat offrant des garanties suffisantes est proposé par la Commission européenne (disponible sur le site Internet de la Commission.)

Pour mieux comprendre le sujet il serait opportun de voir, d’une part, les principes qui dictent les transferts de données à caractère personnel (que l’on va appeler ici DCP) selon les dispositions de la directive transposée par la loi du 6 août 2004(I). D’autre part, l’on dressera l’état actuel du transfert en général (II).

I. Les transferts de données à caractère personnel

A. Les principes (art 25 dir et art 68, L du 6 août 2004)

Les transferts de DCP vers des pays tiers sont soumis à des conditions pouvant garantir une protection adéquate.

L’article 25 de la directive 95 dispose que le caractère adéquat s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données. L’expression « toutes les circonstances « a ici une portée très large. En effet l’on appréciera notamment les dispositions en vigueur dans l’Etat tiers en question, les mesures de sécurité qui y sont appliquées, les caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que la nature, l’origine et la destination des données traitées.

Il y a deux possibilités pour interdire voire suspendre le transfert de données vers un pays tiers : (càd non membre communauté )

Soit la Commission des communautés européennes

En effet si la Commission constat qu’un Etat n’appartenant pas à la Communauté européenne n’assure pas un niveau de protection suffisant à l’égard d’un transfert ou d’une catégorie de transferts de données à caractère personnel, alors elle en informe la Commission nationale de l’informatique et des libertés, qui saisie d’une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet Etat, délivre le récépissé avec mention de l’interdiction de procéder au transfert des données.

Soit , la CNIL, autorité nationale en charge de la protection des données, lorsqu’elle estime qu’un Etat n’appartenant pas à la Communauté européenne n’assure pas un niveau de protection suffisant à l’égard d’un transfert ou d’une catégorie de transferts de données, elle en informe sans délai la Commission des Communautés européennes. Lorsqu’elle est saisie d’une déclaration déposée en application des articles 23 ou 24 et faisant apparaître que des données à caractère personnel seront transférées vers cet Etat, la Commission nationale de l’informatique et des libertés délivre le récépissé et peut enjoindre au responsable du traitement de suspendre le transfert des données.

Dès lors la commission a deux options soit :

– Elle constate que l’Etat vers lequel le transfert est envisagé assure un niveau de protection suffisant, la Commission nationale de l’informatique et des libertés notifie au responsable du traitement la cessation de la suspension du transfert.

– Elle constate que l’Etat vers lequel le transfert est envisagé n’assure pas un niveau de protection suffisant, la Commission nationale de l’informatique et des libertés notifie au responsable du traitement l’interdiction de procéder au transfert de données à caractère personnel à destination de cet Etat. «

Il est entendu que tout principe souffre d’exception. A ce titre des dérogations à l’article 25 sont prévues.

B. Les dérogations (art 26 dir et art 69, L du 6 août 2004)

les États membres prévoient qu’un transfert de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2 peut être effectué, à condition que:

– la personne concernée ait indubitablement donné son consentement au transfert envisagé

– ou si le transfert est nécessaire à l’une des conditions suivantes :

A la sauvegarde de la vie de cette personne

A la sauvegarde de l’intérêt public ;

Au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice

A la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;

A l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;

A la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.

Il peut également être fait exception à l’interdiction prévue à l’article 68, par décision de la Commission nationale de l’informatique et des libertés, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.

A ce sujet, la Commission européenne a approuvé de nouvelles clauses contractuelles types que les entreprises peuvent utiliser pour assurer des garanties adéquates lors du transfert de données à caractère personnel de l’UE vers des pays tiers. Ces nouvelles clauses, soumises par une coalition d’entreprises, seront ajoutées à celles qui existent déjà dans le cadre de la décision de la Commission de juin 2001. L’utilisation de clauses contractuelles types permet aux entreprises et autres organismes de s’acquitter facilement de leur obligation, au titre de la directive communautaire de 1995 sur la protection des données, d’assurer une «protection adéquate« des données à caractère personnel transférées à l’extérieur de l’UE.

C. Le groupe article 29

L’article 29 de la directive crée un Groupe de protection des personnes à l’égard du traitement des données à caractère personnel.

C’est une institution de la communauté qui protège les personnes à l’égard du traitement des DCP. Ce groupe a un caractère consultatif et indépendant. Ses membres viennent de trois catégories différentes. Le Groupe se compose d’un représentant de l’autorité ou des autorités de contrôle désignées par chaque Etat membre, d’un représentant de l’autorité ou des autorités créées pour les organismes communautaires et d’un représentant de la Commission.

La mission de cette institution est définie à l’article 30 de la directive. Elle a entre autres pour mission de donner son avis à la Commission sur le niveau de protection dans la communauté et dans les pays tiers. Elle joue, en dehors de cela, un rôle de conseiller à la Commission. Elle l’informe la Commission de l’existence des divergences, nuisibles à l’équivalence de la protection des DCP, entre les législations et pratiques des Etats membres.

Dans une déclaration du 25 novembre 2004, le Groupe de travail invite les États membres à coopérer. En particulier, l’article 28, paragraphe 4, de la directive stipule que les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile et qu’elles peuvent être appelées à exercer leurs pouvoirs sur demande d’une autorité d’un autre État membre.

Une telle coopération peut être particulièrement utile lorsqu’elle est menée bilatéralement entre deux autorités de contrôle concernées, par exemple entre l’autorité en charge de la protection des données du pays où vit la personne concernée et l’autorité en charge de la protection des données du pays où le responsable du traitement est établi.

II. L’état actuel du transfert des DCP vers des pays tiers.

A. Le PNR ou Passenger Name Record

Qu’est-ce que le PNR et quelles données contient-il?

Le PNR est le nom générique des fichiers créés pour chaque voyage réservé par un passager. Ces fichiers sont stockés sur les bases de données de réservation et de contrôle des départs des compagnies aériennes, et permettent à tous les intervenants du secteur aérien (depuis l’agence de voyage jusqu’aux agents d’assistance en escale dans les aéroports en passant par les systèmes informatisés de réservation (SIR) et les compagnies aériennes) de reconnaître chaque passager et d’avoir accès à toutes les informations pertinentes concernant son voyage: vols d’aller et de retour, vols de correspondance (le cas échéant) services spéciaux requis à bord, etc.

Le nombre et la nature des champs d’information dans un système PNR varient d’une compagnie aérienne à une autre. Il existe environ 20 à 25 champs possibles, dont certains comprennent des sous-sections, soit un total d’une soixantaine de champs et sous-champs.

Pourquoi la Commission européenne a-t-elle discuté avec le bureau américain des douanes et de la protection des frontières (US Customs and Border Protection Bureau – CBP) du partage des données des PNR établis par les transporteurs aériens?

La loi américaine du 19 novembre 2001 sur la sûreté de l’aviation et des transports (Aviation and Transportation Security Act) a institué pour les compagnies aériennes assurant des liaisons de passagers au départ, à destination ou via les États-Unis l’obligation de donner aux douanes américaines, à leur demande, accès aux données des PNR figurant dans leurs systèmes de réservation et de contrôle des départs.

L’US CBP a indiqué qu’elle avait, depuis l’adoption de l’Aviation and Transportation Security Act le 19 novembre 2001, accès aux données des PNR des compagnies aériennes établies dans d’autres parties du monde et qui exploitent des liaisons à destination, au départ et via les États-Unis.

Dans le cas des compagnies aériennes exploitant des liaisons au départ des pays de l’UE et établies dans ces pays, il apparaît à la Commission, sur la base des engagements pris par les États-Unis dans la déclaration conjointe du 18 février 2003 et dans l’addendum du 4 mars que l’US CBP a accès aux données des PNR des vols transatlantiques depuis le 5 mars 2003. 2003

Comme indiqué dans la déclaration conjointe, l’US CBP demande l’accès aux données des PNR des personnes dont le voyage en cours inclut des vols au départ, à destination ou via les États-Unis. Toutes les étapes entre la réservation initiale et l’achèvement du voyage sont consignées dans le PNR.

Quid des données sensibles incluses dans le PNR?

L’US CBP s’est engagé à continuer à ne pas utiliser les données des PNR entrant dans les catégories indiquées comme sensibles à l’article 8, paragraphe 1 de la directive sur les données à caractère personnel (par ex. les données révélant l’origine ethnique ou les convictions religieuses ou celles relatives à la santé) pour identifier les personnes susceptibles de faire l’objet d’un examen à la frontière par le CBP. En outre, le CBP s’est engagé à mettre en place des filtres spéciaux dans ses systèmes afin de restreindre l’accès aux données de ce type qu’il collecte. Les autres utilisations de ces données par le CBP ou leur transfert à d’autres organismes chargés de faire respecter la loi, aux fins de la prévention ou de la lutte contre le terrorisme et d’autres activités criminelles graves (par ex. à l’appui d’enquêtes suscitées par d’autres informations), seront soumises à une procédure d’approbation spéciale impliquant le Deputy Commissioner du CBP.

L’US CBP demande-t-elle d’accéder aux données du PNR concernant le type de repas consommé par le passager ou son état de santé?

Ces informations sont recueillies par les compagnies aériennes afin de fournir des services spéciaux à certains clients, et peuvent donc être consignées dans certains PNR. L’US CBP a cependant indiqué que ces informations ne sont pas utilisées pour identifier les personnes susceptibles de faire l’objet d’un examen à la frontière par le CBP.

Le CBP peut-il obtenir les données contenues dans les PNR par d’autres moyens?

L’US CBP a indiqué qu’il pouvait déjà obtenir la plupart des données contenues dans les PNR en examinant le billet d’avion et d’autres documents de voyage lors de l’exercice de son autorité normale de contrôle aux frontières. En outre, les quelques catégories d’informations qui ne figurent pas sur ces documents peuvent en général être demandées oralement par le CBP au passager lors de l’examen à la frontière. Toutefois ce type de contrôle ralentirait considérablement le traitement des passagers au départ et à l’arrivée aux États-Unis. Selon l’US CBP, l’accès électronique aux données accélérera les formalités aux frontières et facilitera ainsi le trafic passagers légitime.

Des informations supplémentaires seront-elles à fournir lors de la réservation d’un billet pour satisfaire aux exigences de l’US CBP?

L’US CBP a indiqué qu’il ne demande aux compagnies aériennes de lui communiquer que les sections du PNR qu’elles incluent habituellement dans leur système de contrôle des réservations et des départs, et que les règles d’application de l’exigence relative aux PNR ne font pas obligation aux compagnies aériennes de remplir tous les champs disponibles pour les données des PNR.

D’autres organismes américains auront-ils accès aux données des PNR que l’US CBP obtient auprès des compagnies aériennes?

Le CBP a indiqué qu’aucun organisme à l’étranger ni au niveau du gouvernement fédéral, des États ou des autorités locales n’a directement accès aux PNR par l’intermédiaire de la base de données du CBP. Toutefois, le droit américain prévoit que d’autres autorités chargées de faire respecter la loi peuvent demander au CBP des informations figurant sur les PNR, et que le CBP a la faculté d’accéder ou non à une telle demande. L’US CBP s’est engagé, dans l’exercice de cette faculté, à ne fournir de données des PNR qu’à l’unique fin de la prévention et de la lutte contre le terrorisme et d’autres crimes graves.

L’US CBP s’est en outre engagé à ce que, lors de l’examen de l’opportunité de communiquer des données à un autre organisme chargé de faire respecter la loi, il s’assurera que l’objet officiel de la demande de transmission des données est conforme à l’objectif pour lequel l’US CBP collecte lui-même ces informations (prévention ou lutte contre le terrorisme ou d’autres crimes graves). En ce qui concerne les demandes de données des PNR classées «sensibles« en application de l’article 8 de la directive communautaire sur les données à caractère personnelle, l’US CBP s’est engagé à mettre en oeuvre une procédure d’approbation spécifique impliquant le Deputy Commissionner avant de communiquer des données de ce type à d’autres organismes chargés de faire respecter la loi.

La loi américaine prévoit-elle une protection contre la divulgation de données du PNR concernant des ressortissants d’autres pays que les États-Unis et auxquelles l’US CBP a accès?

L’US CBP a indiqué que la divulgation de données du PNR auxquelles il a accès est régie d’une manière générale par le Freedom of Information Act (FOIA – loi sur la liberté de l’information), qui autorise l’accès public aux registres d’une agence fédérale américaine, sauf si ces registres (ou une partie d’entre eux) sont protégés de la divulgation par une dérogation prévue par le FOIA. L’US CBP considère les informations du PNR, quel que soit le pays d’origine de la personne concernée, comme des données sensibles et confidentielles, à caractère personnel dans le cas du passager, relevant du secret commercial dans le cas du transporteur aérien. L’US CBP prévoit dans ses règles de conduite que l’obligation de divulgation inscrite dans le FOIA ne s’applique pas à ce type de données (sous réserve de quelques exceptions restreintes dans le cas de demandes de la part des passagers concernés). L’US CBP s’est engagé à adopter cette position en relation avec toute action administrative ou judiciaire faisant suite à une demande de communication des données des PNR sur la base du FOIA.

Dans le cas où un ressortissant de l’UE considère que des données de PNR transmises à l’US CBP et archivées par ce dernier sont susceptibles d’être erronées, de quelles voies de recours dispose-t-il?

Selon l’US CBP, toute personne qui considère que les données de PNR communiquées à l’US CBP et archivées par lui sont susceptibles de contenir des informations erronées peut demander à examiner les données le concernant en application du Freedom of Information Act (FOIA). Si cette personne n’obtient pas satisfaction, le FOIA prévoit des recours administratifs et judiciaires contre une décision d’un organisme concernant la divulgation de données. Une personne faisant l’objet d’un fichier et qui considère celui-ci comme erroné (ou son mandataire) peut prendre contact avec l’Office of Field Operations de l’US CBP, soit par l’intermédiaire de la compagnie aérienne, soit directement, afin de demander la modification des données de PNR archivées par l’US CBP. Celui-ci s’est engagé, s’il juge la demande fondée au vu des pièces justificatives, à effectuer la modification.

Sans préjudice de ce qui précède, la Commission européenne rappelle que dans l’UE, toute personne a droit à un recours judiciaire contre toute atteinte aux droits garantis par la législation nationale de l’État membre en cause applicable en l’espèce. En outre, la Commission rappelle que toute personne peut introduire une plainte auprès de l’autorité de surveillance nationale de l’État membre en cause en ce qui concerne la protection de leurs droits et de leurs libertés en relation avec le traitement des données à caractère personnel.

B. Le protocole safe-harbour

Les différences de culture et de société entre les États-Unis et l’Europe sont souvent mises en avant pour expliquer certaines incompréhensions ou différences qui existent entre les deux continents. Quand on ajoute à ces différences des particularismes juridiques, on aboutit à la signature, le 26 juillet 2000, d’un accord très particulier connu sous le nom du protocole dit de « safe harbour «. Cette formule, que l’on pourrait traduire en Français par protocole de la « sphère de sécurité « (ou même parfois pour les plus poétiques par « havre de paix «) est censée être l’un des aboutissements emblématiques de la mise en place au niveau mondial d’une certaine idée européenne de protection des données personnelles.

En ce qui concerne les Etats-Unis, les négociations étaient particulièrement difficiles car les Américains n’ont absolument pas la même vision de la protection des données. Pour eux, priorité est donnée à l’autorégulation par les opérateurs par le biais de chartes ou codes de bonne conduite élaborés par les entreprises elles-mêmes en interne. Il existe, certes, de nombreuses lois sectorielles qui protègent la vie privée, mais leur manque de cohérence et de visibilité a fait que la Commission européenne a longtemps estimé que les Etats-Unis ne disposaient pas du niveau de protection adéquat exigé par la directive de 1995.

Cependant, pleinement consciente qu’il est difficile de se passer d’un partenaire commercial comme les Etats-Unis, la Commission a engagé, dès 1998, des négociations dans le but de trouver à terme un accord autorisant le libre transfert de données venant d’outre-atlantique.

Les « safe harbour principles «, élaborés dès 1998 par les Etats-Unis, visent précisément à définir un niveau de protection proche de celui de la directive européenne. Le dispositif mis en place prévoit que les entreprises américaines qui ont volontairement adhéré à ces « principles «, sont présumées offrir un niveau de protection adéquat.

Finalement, c’est dans sa troisième décision du 26 juillet 2000 que la Commission reconnaît les règles du « safe harbour « en considérant qu’elles garantissent effectivement aux entreprises qui y adhèrent le niveau de protection adéquat exigé par la directive.

Les principes retenus sont l’aboutissement d’un consensus entre l’approche européenne, privilégiant un contrôle effectué par des autorités administratives, et l’approche américaine centrée sur l’autorégulation.

Les entreprises américaines qui choisissent d’adhérer aux principes du « safe harbour « prennent officiellement l’engagement de respecter un certain nombre de règles qui reprennent, dans les grandes lignes, celles posées par la directive de 1995. En acceptant ces principes, les entreprises adhérentes acceptent donc un certain nombre d’engagements.

Elles s’engagent ainsi à informer les personnes des raisons de la collecte et de l’utilisation des données personnelles ainsi collectées (finalité du traitement). Elles s’engagent également à offrir aux personnes concernées la faculté de s’opposer à un usage des données qui serait incompatible avec les finalités du traitement et le droit de s’opposer à la communication de ces données à des tiers pour tout autre usage que la finalité initiale. Elles s’engagent à ne collecter des données sensibles qu’avec le consentement exprès des personnes concernées. Elles doivent enfin prévoir l’exercice d’un droit d’accès et de rectification, s’engager à ne céder des données personnelles qu’à d’autres entreprises adhérentes au « safe harbor « et également garantir la sécurité du traitement et l’intégrité des données enregistrées. Par ailleurs, une entreprise adhérente qui ne respecte pas ces engagements, peut faire l’objet de poursuite devant la Federal Trade Commission (FTC).

On le voit, ces principes sont proches de ceux qui animent la loi Informatique et Libertés de 1978 (principes de finalité, de proportionnalité, droit d’accès etc.). Et pourtant, cette « sphère de sécurité « devrait plus véritablement être définie comme étant une sphère à responsabilité et à portée limitée.

Tout d’abord, ce protocole est peu contraignant pour les États-Unis car ce n’est pas un accord général et il n’a pas de portée obligatoire. Le principe qui le régit ce protocole étant celui du volontariat, sa portée dépend principalement du comportement des entreprises américaines.

A cette absence de contrainte il faut ensuite ajouter une défiance latente vis-à-vis de la notion européenne de la protection des données, Clifford Stearns, président de la sous-commission du commerce et de la protection des consommateurs n’affirme-t-il pas qu’« adopter les standards européens sur la protection de la vie privée pourrait avoir un impact potentiellement négatif sur le commerce « ?

Ces éléments font que le protocole de « safe harbour « a du mal à réellement s’imposer auprès des entreprises américaines puisqu’à peine deux cents d’entre elles y ont adhéré (dont Hewlett-Packard, Intel, Microsoft…), chiffre tout à fait dérisoire si on le compare à celui des entreprises qui transfèrent quotidiennement des informations nominatives aux Etats-Unis.

Cependant, même si peu d’entreprises ont adhéré et que sur un certain nombre de points les principes de la directive de 1995 sont moins bien respectés, le fait même que la première puissance commerciale ait accepté de le signer et de d’y inclure certains principes de protection propres à l’Union Européenne est déjà un premier pas. D’ailleurs, ces tentatives d’exportation d’une idée européenne de protection des données continuent puisque, sur le modèle de cet accord conclu avec les États-Unis, la Commission européenne a signé des protocoles similaires avec d’autres pays (comme par exemple avec le Canada en janvier 2002 ou encore, prochainement, avec le Japon ou l’Australie).

CONCLUSION :

Enfin, même si une dynamique se met en place et qu’il est important de continuer à défendre une idée, qui n’est pas uniquement propre à l’Europe, d’une protection maximale des données personnelles, il faut garder pleinement à l’esprit qu’il est fort délicat de faire fi non seulement des différentes cultures juridiques mais aussi, et surtout, des contingences commerciales et de l’existence de nombreux paradis de données (les entreprises sont les premières concernées). Espérons que l’on arrive un jour à un « havre de paix « dans ce domaine…

Par Haja RAKOTOZAFY
Naïma MAZZA

Tweet about this on TwitterShare on Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.