Clauses types pour les transferts de données à caractère personnel de l’UE vers des pays tiers et loi du 6 août 2004

/ /
Publié le 10 janvier 2005
Par .

Les entreprises transférant des données à caractère personnel de l’Union Européenne vers des pays tiers pourront se référer à de nouvelles clauses types approuvées par la Commission européenne, dans le cadre de la directive communautaire 95/46/CE du 24 octobre 1995 sur la protection des données (communiqué de presse IP/05/12 du 07/01/2005 [europa.eu.int]). Ceci nous donne l’occasion…

Les entreprises transférant des données à caractère personnel de l’Union Européenne vers des pays tiers pourront se référer à de nouvelles clauses types approuvées par la Commission européenne, dans le cadre de la directive communautaire 95/46/CE du 24 octobre 1995 sur la protection des données (communiqué de presse IP/05/12 du 07/01/2005 [europa.eu.int]).

 

Ceci nous donne l’occasion de rappeler que la loi du 6 août 2004 est venue transposer cette directive dans notre droit interne en réformant la loi « Informatique et libertés » du 6 janvier 1978.

 

Ainsi, désormais, les transferts intra-communautaires de telles données ne nécessitent plus de déclarations ordinaires. Quant aux transferts extra-communautaires, ils ne sont autorisés, en application de la directive et selon l’article 68 nouveau de la loi, qu’à l’égard des pays assurant « un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet ». La directive parle, pour sa part, d’un niveau « adéquat » de protection (au regard de la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées, selon l’article 25 de la directive 95/46 transposé au paragraphe 2 de l’article 68 de la loi « Informatique et libertés »).

 

Quels sont les pays assurant ce niveau de protection suffisant ? Ce sont la Suisse, le Canada, l’Argentine ou les territoires britanniques de Guernesey, l’Ile de Man, ou encore les Etats-Unis, mais dans la mesure où les sociétés américaines, vers lesquelles sont transférées ces données, adhérent aux « principes de la sphère de sécurité » » du Ministère du commerce des États-Unis.

 

Quant aux transferts des données vers les autres Etats tiers, les entreprises exportatrices pourront s’appuyer sur les nouvelles clauses contractuelles types établies par la Commission, en concertation avec les entreprises, la Chambre de commerce internationale et le groupe de travail « Article 29 », et qui viennent compléter les clauses mises en place en 2001.

 

La directive liste les hypothèses où il ne sera pas nécessaire de recourir à ces clauses. Ces hypothèses se retrouvent à l’article 69 nouveau de la loi « Informatique et libertés ». Ainsi, l’exigence d’un niveau de protection suffisant des droits et libertés pourra être abandonnée, notamment, lorsque la personne dont les données sont transférées a donné son consentement à un tel transfert, ou encore lorsque ce transfert est nécessaire à l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci (article 69-5°) ou à la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers (article 69-6°).

 

La mise en œuvre de ces clauses types, qui ne constituent, selon le communiqué IP/05/12, qu’un « moyen parmi d’autres … pour protéger les données de manière appropriée », devrait être revue en 2008.

 

Sandrine Rouja

Rédactrice en chef de Juriscom.net