Défis posés par les flux transfrontières de données à caractère
Transcription
Défis posés par les flux transfrontières de données à caractère
Eidgenössischer Datenschutzbeauftragter Préposé fédéral à la protection des données Incaricato federale per la protezione dei dati Incumbensà federal per la protecziun da datas RAPPORT1 Défis posés par les flux transfrontières de données à caractère personnel par M. Jean-Philippe WALTER, Dr en droit Préposé fédéral suppléant à la protection des données Président du Comité consultatif de la Convention 108 (Suisse) A. Quelle vie privée au travers des flux transfrontières de données à caractère personnel ? 1. Globalisation de l’information La globalisation de l’information, le développement des échanges et du commerce international, la mobilité croissante (volontaire ou contrainte) des personnes, les exigences économiques, la pression sur les coûts, ainsi que les exigences de rationalisation entraînent une augmentation considérable des flux transfrontières de données à caractère personnel, une densification des réseaux de communication et une accélération massive des échanges d’information. Les échanges internationaux de données à caractère personnel ne sont ainsi pas seulement une réalité et une nécessité pour les activités des entreprises internationales (notamment gestion des données du personnel ou des clients). Ils touchent également l’ensemble des activités dépassant le cadre régional ou national (entraide administrative ou judiciaire internationale, tourisme, commerce électronique, recherche scientifique, etc.). Ainsi, avec l’informatisation des relations de production et des rapports commerciaux, les données personnelles ne restent pas dans une entreprise ou dans un groupe d’entreprises. Elles sont également transmises à des partenaires commerciaux à l’étranger, enregistrées dans des banques de données internationales ou dans des centres de calculs en réseau dans le cadre notamment d’opérations d’outsourcing gérées par des prestataires de services actifs au niveau mondial2. Le succès et la généralisation de l’Internet crée un espace accessible au grand public et aux marchands qui relient des 100 de millions d’utilisateurs échangeant des masses d’informations. A l’ère de la globalisation et de l’internationalisation des échanges, le traitement des données à caractère personnel ne connaît plus de frontières et la technologie rend de plus en plus facile la dissémination ou la délocalisation des traitements. Quelques exemples plus ou moins problématiques permettront d’illustrer notre propos : La délocalisation des traitements dans des pays du tiers monde notamment pour bénéficier d’une main-d’œuvre qualifiée et moins coûteuse a tendance à augmenter. Ainsi pour rationaliser la gestion de sa comptabilité, une compagnie aérienne aujourd’hui défunte a 1 Ce rapport a été élaboré à l’instigation du Conseil de l’Europe pour la Conférence sur les défis et les problèmes posés aux nouvelles autorités de contrôle de la protection des données. Il est publié sur le site www.edsb.ch avec l’autorisation du Conseil de l’Europe qui en détient exclusivement les droits d’auteurs. Il peut également être consulté sur le site web du Conseil de l’Europe www.coe.int/dataprotection. 2 Th. Weichert, Die Europäische Datenschutzrichtlinie und Datenschutzregelungen im Ausland, www.hbv.org/dvit/ref3.htm, M. Schleutermann, Datenvearbeitung im Konzern, dans CR 10/1995, 577s. 2 délocalisé le traitement des données financières en Inde. Une entreprise belge3 de listes d’adresses a sous-traité ses activités d’encodage, de triage et de sélection dans un pays africain. Les données ont été collectées auprès des personnes concernées à partir d’un vaste questionnaire et croisées avec d’autres données provenant de sources publiques. Pour échapper (ou tenter d’échapper) aux exigences du droit suisse, une entreprise de marketing qui souhaite commercialiser un test de paternité à grande échelle et faire effectuer l’analyse des données dans un laboratoire aux Etats-Unis, a simplement décidé de transférer ses activités à l’étranger, de faire la promotion de son test depuis l’étranger et de permettre aux personnes intéressées de transmettre directement leur demande d’analyse au laboratoire américain ou de le faire par l’intermédiaire d’une firme sise à l’étranger. De plus en plus d’entreprises multinationales et de groupes d’entreprises centralisent le traitement des données de leur personnel afin de rationaliser la gestion des salaires, des carrières et de faciliter le traitement des dossiers du personnel. Souvent, cette concentration du traitement des données de tout ou d’une partie du personnel se fait en deux étapes. Tout d’abord les données sont transmises de Suisse vers un autre Etat européen, pour être dans un deuxième temps transférées aux Etats-Unis. En outre, cette centralisation permet des accès depuis plusieurs points du globe en fonction des besoins de l’entreprise. Un fournisseur de service publie sur Internet depuis la Thaïlande un annuaire d’adresses et de numéros de téléphone qu’il a collectés en Suisse ou dans un pays européen. Un collège ou une association sportive publie sur Internet, sans mauvaise intention et souvent par ignorance, des photos d’enfants ou de jeunes adultes avec le nom, voire l’adresse. Des jeunes participent à des forums de discussion et publient avec forces détails des informations les concernant qui par quelques clics sont accessibles de n’importe quel coin de la planète. Une agence hungaro-américaine proposait sur son site Internet des enfants hongrois en vue d’adoption à l’étranger. Sur le site figurait la photo, la date de 4 naissance et les maladies éventuelles . De nombreux messages publicitaires par courriel (SPAM) proviennent des USA et les adresses sont collectées ou interceptées à partir de diverses activités de surf sur internet. Aujourd’hui selon certaines estimations, 1/3 des 30 billions de courriels envoyés quotidiennement à travers le monde serait lié aux activités de spams5. Les systèmes informatisés de réservation aérienne, d’hôtel, de logements etc. ne sont pas nécessairement localisés dans le pays d’où s’opère la réservation. Les sociétés qui gèrent ces systèmes bénéficient ainsi quotidiennement de données à caractère personnel de provenance diverses qui permettent de dresser et d’affiner des profils de personnalité ou d’habitude de consommation. 6 Enfin le phénomène Internet génère une production de données qui peuvent être utilisées à des fins diverses par des multitudes d’acteurs à travers le monde sans que la personne concernée ait réellement conscience de la portée des informations qu’elle met à disposition de manière plus ou moins librement accessible ou sans qu’elle sache qui collecte ou intercepte des informations à son égard (allusion notamment aux cookies ou autres 3 Exemple tiré de Y. Poullet, Les Safe Harbor Principles – Une protection adéquate ?, http://www.juriscom.net/uni/doc/20000617.htm 4 E. Simon, La protection des données personnelles sur internet en Hongrie (les manques et les solutions), http://www.creis.sgdg.org/menu/actualites_creis/donnees_perso_hongrie.htm 5 K. Werbach, Death by Spam, http://slate.msn.com/?id=2074042 (18.11.02) 6 « Aujourd’hui, le simple fait d’allumer un ordinateur branché sur Internet met en route plusieurs processeurs qui exécutent subrepticement des centaines de programmes sans que l’utilisateur moyen en soit informé ni puisse avoir le moindre contrôle sérieux sur les données qui y sont traitées. », J-M. Dinant, Les traitements invisibles sur Internet, http://www.droit.fundp.ac.be/crid/eclip/luxembourg.html 3 mouchards informatiques qui permettent notamment de sélectionner les messages 7 publicitaires à envoyer aux internautes et de profiler ou de contrôler les utilisateurs ). 2. Défi envers la protection des données Cette globalisation de la société et des échanges d’informations sans considération de frontières constitue un défi redoutable pour la protection des données et les autorités chargées de veiller au respect des dispositions légales. Les données personnelles sont devenues, hélas, des marchandises, des biens de consommation qui s’achètent, se vendent et s’échangent. Les flux de données se font indépendamment des frontières. Cela engendre des risques importants pour le respect de la vie privée du fait de la disparité des réglementations de la protection des données dans les pays tiers, voire du fait que nombreux responsables de traitement ou destinataires des données ne sont pas soumis à des règles de protection des données. Le monde se partage entre les pays qui ont encadré le traitement de données personnelles par une législation, c’est le cas de la majorité des pays membres du Conseil de l’Europe, de ceux qui, sans nier la nécessité d’une protection, estiment à l’instar des Etats-Unis qu’il revient au marché de s’autoréguler et de ceux qui ignorent le problème. La communication des données en-dehors du champ d’application d’une loi nationale de protection des données risque d’affaiblir considérablement la protection des données. Cette communication limite en particulier les droits découlant du respect de la vie privée et notamment du droit à l’autodétermination individuelle si le destinataire n’est pas lui-même soumis à des normes de protection des données suffisantes découlant notamment des standards de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 1088) et de son protocole additionnel sur les autorités de contrôle et les flux transfrontières de données9. Les personnes concernées et les autorités de contrôle se voient ainsi démunies du fait de la perte de maîtrise sur les données qui échappent lors de leur transfert aux dispositions nationales de protection des données. Il est dès lors important que les flux transfrontières de données à caractère personnel soient encadrés et que les autorités de protection des données soient en mesure de veiller à ce que les principes de la protection des données soient pris en compte lors de transferts pour garantir le respect de la vie privée des individus et des droits qui en découlent. Si l’existence d’une réglementation couvrant le territoire national ou l’espace européen (Conseil de l’Europe ou Union européenne) ne veut pas demeurer vain du fait de la dimension internationale des flux de données à caractère personnel, il est important de pouvoir garantir un point d’ancrage national, fusse-t-il très étroit, pour permettre aux personnes concernées de faire valoir leurs droits et aux autorités compétentes d’intervenir et le cas échéant de sanctionner les abus. En effet par exemple, « lorsqu’un Internaute européen communique volontairement des données le concernant à un site Web non situé dans l’Union européenne, cela suppose qu’il se croit protégé par les règles en vigueur dans son propre pays, par exemple, en matière de loyauté de la collecte des données, et de transparence dans l’utilisation qui en sera faite. Accepter de communiquer avec un site hors Union européenne n’a pas pour conséquence de dépouiller l’Internaute de ses droits : sinon ce serait entraver gravement le développement des échanges par Internet au plan 10 planétaire, et notamment le développement du commerce électronique. » 7 Y. Poullet, op. cit. ; J-M. Dinant, Les traitements invisibles sur Internet. http://conventions.coe.int/treaty/FR/WhatYouWant.asp?NT=108&CM=8&DF= 9 http://conventions.coe.int/treaty/FR/WhatYouWant.asp?NT=181&CM=8&DF= 10 M. Pinet, Directive 95/46 du 24 octobre 1995 et droit national applicable, Conférence relative à la mise en œuvre de la Directive 95/46 du 24 octobre 1995, Bruxelles 30 septembre / 1er octobre 2002, http://europa.eu.int/comm/internal_market/en/dataprot/lawreport/speeches/pinet_fr.pdf , voir aussi Y. Poullet, Pour une justification des articles 4, 25 et 26 de la directive européenne 95/46 CE en matière de flux transfrontières et de protection des données, http://europa.eu.int/comm/internal_market/en/dataprot/lawreport/speeches/poullet_fr.pdf 8 4 On ne peut également réduire l’information personnelle au simple rang de marchandises qui s’échangent, se vendent ou s’approprient au détriment et sans considération de la personne et des droits qui l’accompagnent, droits dont le respect est indispensable au fonctionnement de nos sociétés démocratiques. Cela implique également parfois que la personne soit protégée contre elle-même lorsque le renoncement à l’exercice de ses droits remet en cause l’existence même de ses droits et par conséquent met en péril l’ensemble des autres membres de la société et par delà le fonctionnement de la démocratie : « Le consentement de la personne concernée, qu’il soit simple, indubitable, expresse ou par écrit, est, dans la directive, la première cause de légitimité d’un traitement de données à caractère personnel mais ce fondement n’exclut pas marginalement l’intervention d’un juge lorsque la renonciation à l’exercice du droit à la vie privée représente de par les circonstances, la nature des données concédées et/ou la puissance du responsable du traitement en question une renonciation au droit et non simplement à l’exercice d’un droit. En outre, le droit à la vie privée étant un droit de l’Homme, « la renonciation au bénéfice de ce droit serait d’autant plus difficilement admissible qu’une obligation positive pèserait sur l’Etat à l’effet d’assurer la jouissance effective du droit en cause », c’est-à-dire de doter l’individu des moyens qui permettent l’exercice effectif de ses droits. A cet égard, le rôle positif de l’Etat est multiple. Il ne s’agit pas simplement de prescrire les modalités suivant lesquelles le consentement sera réellement éclairé et spécifique et cela sous le contrôle des autorités publiques mais en outre a posteriori, de s’interroger sur la proportionnalité de la renonciation, le juste équilibre entre l’objectif poursuivi par les ingérences consenties et les restrictions subies à la libre 11 détermination de l’individu.» B. Régime légal des flux transfrontières de données selon la Convention 108 et le protocole additionnel Dès l’adoption des premières lois de protection des données dans les années 1970, les législateurs nationaux ont perçu le risque inhérent aux flux transfrontières de données et ont adopté des dispositions légales encadrant la communication internationale de données à caractère personnel. Le régime adopté était différent d’un pays à l’autre. On distinguait les lois qui ne régissaient pas spécialement le transfert hors des frontières nationales de celles 12 qui soumettaient le flux à un régime de déclaration préalable, voire d’autorisation . Dans un monde interdépendant et dans lequel l’échange d’informations joue un rôle fondamental, la recherche de solutions internationales s’est rapidement avérée nécessaire, notamment pour éviter l’érection de barrières qui loin d’être efficaces pouvaient freiner ou paralyser certaines activités transfrontières. Le Conseil de l’Europe et l’OCDE allaient dans ce contexte jouer un rôle phare dans l’élaboration d’une réglementation internationale et dans l’harmonisation des législations nationales. Avec l’adoption de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, l‘Union européenne a contribué à renforcer l’harmonisation des législations nationales des Etats membres et à créer un espace permettant d’échanger des données sans considération de frontières. 11 Y. Poullet, Pour une justification des articles 4, 25, 26 de la directive européenne, op. cit., p. 21 et auteurs cités. Pour un aperçu des premières réglementations en matière de flux transfrontières de données à caractère personnel, voir notamment R. Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, Baden-Baden 1990, p. 154ss ; M. Bergmann, Grenzüberschreitender Datenschutz, Baden-Baden 1985, p. 73ss. ; L. N. Wochner, Der Persönlichkeitsschutz im grenzüberschreitender Datenverkehr, Zurich, p. 133s; A. Macheret / J.-Ph. Walter, Réglementation des flux transfrontières de données à caractère personnel, dans Informatique et Protection de la personnalité, Fribourg 1981, p. 217ss. 12 5 1. La Convention du Conseil de l’Europe pour la protection des personnes à 13 l’égard du traitement automatisé des données 1.1 Objectifs de la Convention La Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel a été adoptée par le Comité des Ministres le 17 septembre 1980 et ouverte à la signature le 28 janvier 1981. Elle est entrée en er vigueur le 1 octobre 1985 avec la ratification de cinq Etats-membres, à savoir la France, l’Allemagne, la Norvège, la Suède et l’Espagne. A ce jour, 29 Etats membres l’ont ratifiée14. La Convention s’articule autour de trois axes : les principes de base de la protection des données qui doivent être transposés en droit interne ; la réglementation des flux transfrontières de données ; la coopération entre les Parties. La Convention a pour objectif de concilier le droit au respect à la vie privée et la liberté d’information, notamment le droit à la libre circulation des données sans considération de frontières, libertés fondamentales énoncées aux articles 8 et 10 de la Convention européenne des droits de l’homme. Elle tend également à faciliter l’entraide internationale dans le domaine de la protection des données, limiter les risques de détournement des législations nationales, assurer l’équivalence de traitement entre nationaux et étrangers, encourager l’harmonisation des standards nationaux au bénéfice des personnes concernées et des responsables de traitement, faciliter la communication internationale des données15. La Convention veut accroître la protection des particuliers et de leurs droits sur le territoire des Parties contractantes16. Il nous paraît utile de rappeler que non seulement l’absence de législation de protection des données, mais également les différences entre les législations existantes constituent des entraves à la libre circulation des données et entraînent divers degrés de protection des droits des personnes concernées, ainsi que des distorsions de concurrence au détriment des Etats qui ont adopté un régime élevé de protection. Dès lors, l’harmonisation des législations dont l’objectif est de permettre de garantir un haut niveau de protection des données dans le respect des systèmes juridiques existants doit être encouragée. Ainsi, la Convention 108 fixe le plancher minimum de protection que les législations des Etats parties doivent mettre en place pour garantir le respect des droits et libertés fondamentales et notamment le droit à la vie privée. Dans ce cadre là, le flux transfrontière de données doit être exempt d’entraves dues à la protection des données. Elle laisse cependant aux Etats la possibilité d’avoir un niveau de protection plus élevé en les autorisant également à s’en prévaloir au détriment du 17 libre flux transfrontière des données . La Convention n’exige ainsi pas l’équivalence des niveaux de protection entre les législations des Etats parties, c’est-à-dire l’exclusion de la différenciation des niveaux de protection. Elle exige néanmoins le respect d’un standard minimum élevé et à équivalence de protection, la libre circulation des informations. 13 Pour une analyse de la Convention et de sa pertinence voir notamment J.-Ph. Walter, La Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données, dans A. Epiney / M. Freiermuth (édit.), La protection des données en Suisse et en Europe, Fribourg, 1999, p. 83ss ; P. de Hert / E. Schreuders, La pertinence de la Convention n° 108, dans Actes de la Conférence européenne sur la protection des données, Varsovie 19-20 novembre 2001, Strasbourg 2002, p. 33ss ; O. Estadella Yuste, Pertinence des principes pour la protection des données énoncés dans la Convention 108 et son protocole additionel, dans Actes précités, p. 49ss. 14 Tous les pays membres de l’Union européenne, ainsi que la Bulgarie, Chypre, République Tchèque, Estonie, Hongrie, Islande, Lettonie, Lituanie, Norvège, Pologne, Roumanie, Slovaquie, Slovénie, Suisse, http://conventions.coe.int/treaty/FR/searchsig.asp?NT=108&CM=8&DF= 15 R. J. Schweizer, Die Konvention des Europarates und die Richtlinien der OECD zum internationalen Datenschutz aus schweizerischer Sicht, dans Informatique et Protection des la personnalité, Fribourg 1981, p. 257. 16 M.-H. Boulanger, C. de Terwangen, Th. Léonard, S. Louveaux, D. Moreau et Y. Poullet, La protection des données à caractère personnel en droit communautaire, dans Journal des Tribunaux, Droit européen, Bruxelles 1997, p. 122. 17 Art. 11 et 12 de la Convention. 6 1.2 Flux transfrontières de données (art. 12) Conscient des risques inhérents aux flux transfrontières de données, notamment lorsque le transfert se fait vers un destinataire n’assurant pas un niveau de protection des données conforme aux exigences de la Convention, les auteurs de la Convention ont prévu une disposition particulière, l’article 12 qui règle spécifiquement la communication transfrontière ou internationale de données. Cette disposition repose sur le principe selon lequel il ne devrait pas y avoir de communications transfrontières de données en l’absence d’un niveau de protection des données équivalent à celui du pays d’exportation des données. La Convention ne donne pas de définition de la protection équivalente, à savoir « une protection dont l’effet est pour l’essentiel semblable à celle du pays exportateur mais qui ne doit pas 18 nécessairement être identique à celle-ci, ni dans la forme, ni à tous autres égards. » L’objectif poursuivi par cette disposition est de favoriser la libre circulation des données du moins entre les Etats parties qui en ratifiant sont sensés remplir les exigences de la Convention en ayant pris dans leur droit national les mesures nécessaires pour donner effet 19 aux principes de base pour la protection des données . Il doit s’agir d’une protection similaire, c’est-à-dire de la même nature et ayant les mêmes effets20. En règle générale, l’équivalence est présumée de par la ratification. Toutefois, il ne faut pas perdre de l’esprit que la mesure de l’équivalence n’est pas donnée directement par la Convention, mais par le 21 droit national . En effet en l’absence d’un contrôle international prévu par la Convention – qui au demeurant serait souhaitable – il revient à chaque Etat contractant d’apprécier l’équivalence. L’Union européenne a mis en place une telle évaluation dans le cadre de l’appréciation du niveau adéquat des pays tiers conformément à l’article 25 de la directive 95/46. Cette appréciation a débouché sur une reconnaissance d’adéquation pour deux pays parties à la Convention la Hongrie et la Suisse. La commission ne procède pas – ou pas encore – à une évaluation des législations des Etats membres22. En Suisse, le Préposé fédéral à la protection des données établit une liste non exhaustive des pays qu’il considère bénéficier d’une protection des données équivalente. C’est en principe le cas de tous les pays contractants. D’autres pays, notamment l’Autriche et l’Espagne gèrent également une telle liste. L’article 12 de la Convention régit non seulement le transfert automatisé des données audelà des frontières nationales, mais également d’autres types de transferts « quel que soit le support utilisé » de données à caractère personnel faisant l’objet d’un tel traitement ou 23 destinées à un tel traitement . La disposition couvre également la collecte de données par dessus les frontières, notamment celle effectuée par un opérateur internet par exemple lors de la visite d’un site par un utilisateur (cookies, etc.). Elle tient ainsi compte de tous les 24 25 modes de transfert . La notion de « flux transfrontière de données » couvre toute action qui implique que des données échappent à la souveraineté d’un Etat pour être traitées dans un autre Etat ou organisation. Elle nécessite au minimum que deux ordres juridiques différents soient touchés. La notion contient trois éléments importants : des données à caractère personnel font l’objet d’un traitement ou sont destinées à un tel traitement ; 18 Exposé des motifs accompagnant les lignes directrices de l’OCDE du 23 septembre 1980 sur la protection de la vie privée et les flux transfrontières de données de caractère personnel, n° 67 19 Art. 4 de la Convention 20 O. Chalazoniti, La protection de l’individu à l’égard des flux transfrontières de données à caractère personnel, une approche à travers la Convention du Conseil de l’Europe du 28 janvier 1981, Aix-en-Provence 1990, p. 91. 21 Sp. Simitis, dans: Simitis u. a., Kommentar zum Bundesdatenschutzgesetz, § 1, N. 132. 22 Elle le fait par contre pour les pays membres de l’Espace Economique Européen et pour les candidats à l’adhésion. 23 Art. 12, chiffre 1. Voir aussi J.-Ph. Walter, Grenzüberschreitende Datenflüsse, dans R. J. Schweizer, (édit.) Das neue Datenschutzgesetz des Bundes, Zürich 1993, p. 124s. 24 Rapport explicatif concernant la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, § 63, Strasbourg 1981. 25 J.-Ph. Walter, Grenzüberschreitende Datenflüsse, p. 125 et auteurs cités. 7 les données sont transférées ; celui qui communique et le destinataire sont régis par des ordres juridiques différents. Si l’entité qui communique par delà les frontières les données est également destinataire des données ou si nous sommes en présence d’une communication en vue d’un traitement sur mandat (sous-traitance), la communication demeure un flux transfrontière de données, car au moins une phase du traitement se fait hors du champ d’application de la loi de l’Etat de provenance des données. Le fait qu’une entreprise multinationale ou à caractère international communique des données à une filiale ou un partenaire à l’étranger ne change rien à la notion de flux transfrontière de données et aux obligations légales de protection des données qui en découlent. Aux termes de l’article 12, chiffre 2, « une partie ne peut pas, aux seules fins de la protection de la vie privée, interdire ou soumettre à une autorisation spéciale les flux transfrontières de données à caractère personnel à destination du territoire d’une autre partie. » Cette disposition peut prêter à confusion. Toutefois, selon le rapport explicatif, l’expression « aux seules fins de la protection de la vie privée » apporte une clarification importante dans ce sens qu’un Etat contractant ne peut pas invoquer la Convention pour justifier une restriction à des flux transfrontières de données pour des raisons qui n’ont rien à voir avec la protection de la vie privée (par exemple des barrières déguisées au commerce). La raison fondamentale de cette règle est que, tous les Etats contractants ayant souscrit au « noyau dur » des dispositions en matière de protection des données énoncées au chapitre II, offrent un certain 26 niveau minimal de protection. » Cette disposition ne vise que les exportations de données personnelles et non pas les importations qui sont soumises au droit de la protection des 27 données de l’Etat où aboutissent les données . L’article 12 ne s’oppose cependant pas à l’introduction d’une obligation de déclaration aux fins d’information sur les flux transfrontières de données ou à l’indication, lors d’une procédure de notification des fichiers ou des traitements de données à caractère personnel, des destinataires réguliers de données, tel que prévu à l’article 19 de la directive 95/49/CE. Elle ne s’oppose également pas à l’introduction de règles matérielles régissant l’échange de données (par exemple respect 28 du principe de spécialité) . L’article 12 de la Convention contient deux exceptions aux libres flux des données entre Etats contractants. L’article 12, chiffre 3, lettre a permet, tout d’abord, de soumettre à des conditions restrictives la communication transfrontière de données à caractère personnel lorsque la législation nationale prévoit une réglementation spécifique pour certaines catégories de données personnelles ou de fichiers automatisés en raison de la nature de ces données ou fichiers. Une telle restriction ne pourra se justifier que si le pays destinataire n’offre pas une protection équivalente pour ce type de traitement. Elle ne couvre pas l’ensemble des transferts de données personnelles vers ce destinataire. La restriction vise en 29 particulier les données sensibles énumérées à l’article 6 de la Convention qui seraient assujetties à des garanties spéciales méconnues de l’Etat destinataire. Elle couvre également les traitements manuels ou concernant des personnes morales lorsque l’Etat a usé de la faculté d’étendre le champ d’application de la Convention sur la base de l’article 3, chiffre 2, lettres b et c. Ces restrictions ne peuvent par contre pas s’étendre à l’ensemble des traitements de données effectués dans un Etat au motif que cet Etat soumet à autorisation l’exportation ou au motif que l’Etat destinataire n’a pas d’autorité nationale chargée de veiller 26 Rapport explicatif, § 67. Rapport explicatif, § 66. 28 R. J. Schweizer/J.-Ph. Walter, La Convention du Conseil de l’Europe sur la protection des données personnelles et la réglementation des flux transfrontières de données, dans Droit de l’Informatique, 4 1986, p. 193 (Corrigendum dans 2 1987, p. 122). Ainsi l’article 19 de la loi fédérale sur la protection des données (LPD, RS 235.1, www.edsb.ch) qui règle la communication de données personnelles par des organes fédéraux demeure applicable et un organe fédéral ne pourra notamment pas communiquer à l’étranger des données personnelles par procédure d’appel en l’absence d’une base légale le prévoyant expressément. La publication de liste d’adresses sur Internet nécessite ainsi une base légale expresse. 29 Rapport explicatif, § 69. 27 8 au respect des dispositions de la protection des données de manière indépendante. Dans ce dernier cas, la situation devra vraisemblablement être jugée différemment lorsque le protocole additionnel entrera en vigueur. Les Etats contractants sont également légitimés à restreindre les flux transfrontières de données vers un autre Etat contractant lorsque ces données concernent des traitements ou des fichiers que l’Etat destinataire a soustrait au champ d’application de la Convention 30 conformément à l’article 3, chiffre 2, lettre a . La deuxième exception est prévue à l’article 12, chiffre 3, lettre b. Elle vise le cas où des données sont transférées vers un Etat non contractant en transitant par un Etat contractant. Dans ce cas, des restrictions peuvent être introduites pour empêcher que la législation de l’Etat d’où partent les données ne soit détournée. Comme relevé auparavant, nous pouvons partir de l’idée qu’il y a entre les Etats parties une présomption d’un niveau de protection équivalent. Par conséquent, il ne devrait pas y avoir de restrictions générales dans les échanges de données personnelles. Du fait de l’absence d’un contrôle préalable à la ratification, un Etat peut ratifier la Convention sans nécessairement remplir les conditions de l’article 4 ou en les remplissant de manière insuffisante. Dans un tel cas, nous estimons qu’il y a un intérêt légitime supérieur et qu’un Etat contractant, par exemple par l’intermédiaire de son autorité de contrôle indépendante, puisse interdire les transferts de données vers un destinataire situé dans un Etat ne remplissant pas ou insuffisamment les conditions de l’article 4, à moins que le responsable du traitement qui communique les données et le destinataire n’offrent des garanties suffisantes. L’article 12 de la Convention ne régit par contre pas expressément la communication de données vers un Etat n’ayant pas ratifié la Convention. Cette lacune est corrigée par le protocole additionnel. Toutefois nonobstant ce protocole que nous allons examiner ci-après, nous pouvons déduire d’une interprétation a contrario de l’article 12, chiffre 2 qu’un Etat contractant peut, voire doit soumettre à des restrictions les flux de données vers un Etat non contractant qui ne garantirait pas une protection des données équivalente, c’est-à-dire assurant un niveau de protection répondant aux exigences de la Convention. Il peut le faire par exemple en soumettant à autorisation les transferts vers ces Etats. Cette interprétation est confirmée par plusieurs recommandations du Conseil de l’Europe en matière de protection des données qui prévoient que la communication de données vers des Etats n’ayant pas ratifié la Convention est licite dans la mesure où ils offrent un niveau de 31 protection conforme aux principes de la Convention 108 . Il résulte néanmoins de l’absence de dispositions explicites régissant les flux vers des Etats tiers un risque que des régimes par trop différents soient mis en place et entrainent des restrictions supplémentaires entre les Parties qui pourraient aller à l’encontre des objectifs de la Convention. 2. Protocole additionnel Le protocole additionnel à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données a été adopté le 23 mai 2001 et ouvert à la signature, le 8 novembre 2001. A ce jour, deux Etats (la Suède et la Slovaquie) l’ont ratifié et 18 autres l’ont signé. Seuls les Etats qui ont ratifié la Convention 108 peuvent adhérer au protocole additionnel. L’objectif poursuivi par ce protocole est de renforcer la mise en œuvre 30 Art. 3 chiffre 4 et 5 de la Convention ; voir aussi R. Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, BadenBaden 1990, p. 479ss. 31 Voir notamment la recommandation R (97) 5 sur la protection des données médicales, la Recommandation R (97) 18 sur la protection des données à caractère personnel collectées et traitées à des fins statistiques et la Recommandation R (2002) 9 sur la protection des données à caractère personnel collectées et traitées à des fins d’assurance. 9 des principes contenus dans la Convention, en particulier pour tenir compte de l’augmentation croissante des flux transfrontières de données, notamment vers des 32 destinataires établis dans un Etat non contractant . « Cet accroissement des flux transfrontières de données est dû en particulier à la multiplication et à la globalisation des échanges internationaux ainsi qu’à l’évolution des diverses applications des progrès technologiques … Or l’effectivité de cette protection implique une harmonisation au niveau international, non seulement des principes fondamentaux de la protection des données mais également, dans une certaine mesure, des moyens de mettre en œuvre ces principes – dans un domaine en perpétuelle évolution et caractérisé par une très forte technicité – et des conditions dans lesquelles les transferts de données à caractère personnel peuvent être 33 effectués à travers les frontières. » Ce renforcement concerne tout d’abord la nécessité pour les parties de se doter d’une ou de plusieurs autorités chargées de veiller au respect des dispositions nationales de protection des données. Ces autorités doivent agir de manière indépendante et être dotées de compétences effectives, notamment d’investigation et d’intervention. Ces autorités sont une « partie intégrante du système de contrôle de la 34 protection des données dans une société démocratique. » Il concerne ensuite les flux transfrontières vers des pays tiers. 2.1 Niveau de protection adéquat La circulation internationale des informations et notamment de données à caractère personnel est une réalité et il est aujourd’hui difficilement envisageable et praticable de dresser des barrières aux flux de données vers des pays qui ne remplissent pas encore les standards européens en matière de respect de la vie privée. A l’instar de l’article 25 de la directive 95/46/CE, le protocole additionnel pose en son article 2, chiffre 1 le principe selon lequel « le transfert de données à caractère personnel vers un destinataire soumis à la juridiction d’un Etat ou d’une organisation qui n’est pas Partie à la Convention ne peut être effectué que si cet Etat ou cette organisation assure un niveau de protection adéquat pour le transfert considéré. » Contrairement à l’article 25 de la directive 95/46/CE, le protocole additionnel ne donne aucune indication sur les critères d’appréciation du caractère adéquat du niveau de protection. Cela tient au fait que les auteurs du protocole voulaient préserver le caractère général de la Convention 108 et éviter des dispositions par trop détaillées. Cela découle aussi de la difficulté de fixer dans un texte conventionnel des éléments d’interprétation qui sont appelés à évoluer. Toutefois l’exposé des motifs se réfère à l’article 25 et donne quelques éléments qui doivent aider le législateur national, les autorités de contrôle en matière de 35 protection et les responsables de traitement à évaluer le niveau de protection . En règle générale, le niveau de la protection doit être évalué au cas par cas et pour chaque transfert ou type de transfert. L’évaluation devrait prendre en considération l’ensemble des circonstances relatives au transfert et notamment : « la nature des données, les finalités et la durée des traitements pour lesquels les données sont transférées, le pays d’origine et le pays de destination finale, les règles de droit, générales et sectorielles applicables dans l’Etat ou l’organisation en question et les règles professionnelles et de sécurité qui y sont respectées. »36 L’évaluation doit aussi tenir compte de la technique utilisée pour le traitement des données et notamment de l’intégration des technologies de la vie privée (PET), y. c. des outils mis à disposition des personnes concernées pour protéger leur vie privée dans un contexte donné. L’évaluation n’a pas pour objectif d’imposer le système ou le mécanisme de protection mis en place par la Convention et le protocole additionnel et repris dans le droit 32 Rapport explicatif au protocole, § 1 et 3. Rapport explicatif au protocole, § 4. 34 Rapport explicatif au protocole, § 5. 35 Sur la notion d’adéquation, voir aussi Document de travail WP 12 sur les transferts de données personnelles vers des pays tiers : application des articles 25 et 26 de la directive relative à la protection des données, adopté par le Groupe de travail de l’article 29, le 24 juillet 1998, http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12fr.pdf 36 Rapport explicatif au protocole, § 27. 33 10 national des Etats contractants. Elle doit permettre d’apprécier si les objectifs de protection poursuivis sont partagés par le pays tiers ou le destinataire dans le pays tiers. « En ce sens, la notion de protection adéquate ne représente en aucune manière un affaiblissement de la protection des données des personnes protégées … Au contraire, elle crée pour l’évaluateur la nécessité, tout en ne perdant pas de vue les exigences qui fondent … le besoin de protection, de prendre en considération les adaptations originales des modalités de cette protection, adaptations proposées par les pays tiers. L’instrument méthodologique doit laisser la place à cette variabilité de nature et de portée des solutions apportées, à cette 37 recherche de « similarité fonctionnelle ». » En pratique, il ne sera pas toujours aisé de procéder à une évaluation au cas par cas. Les Etats développeront certainement des pratiques tendant à reconnaître de manière générale à un Etat ou à une organisation un niveau adéquat permettant en principe tous les transferts vers les destinataires de cet Etat. Cette approche globale est plus conforme à la réalité actuelle des échanges transnationaux de données à caractère personnel. Elle répond aux attentes des responsables de traitement. Dans ce cadre, l’appréciation devra prendre en compte de la manière dont les principes de la Convention 108 et de son protocole additionnel sont mis en œuvre ou respectés dans le 38 pays ou l’organisation destinataire . Il faudra également tenir compte des possibilités offertes par la technologie en vue d’assurer la protection des données. Une attention particulière doit enfin être prêtée aux possibilités pour les personnes concernées de défendre leurs droits en cas de non respect dans un cas donné. Les avis du groupe de l’article 29 de la directive européenne et les décisions d’adéquation de la commission en application des articles 25 et 31 auront aussi une influence significative pour les Etats non membres de l’Union européenne dans l’appréciation qu’ils feront du niveau adéquat d’un pays tiers. Même si le protocole additionnel ne prévoit pas de mécanisme permettant au comité consultatif de la Convention 108 de reconnaître qu’un pays tiers assure un niveau adéquat de protection, ce comité devrait être appelé à jouer dans l’examen du niveau de protection et pourrait émettre à l’avenir émettre des avis d’adéquation qui faciliteraient la tâche des autorités nationales compétentes. 2.2 Dérogations En l’absence d’un niveau de protection des données jugé adéquat, le transfert de données à caractère personnel vers un pays tiers devrait être prohibé. Le protocole additionnel, à l’instar de l’article 26 de la directive 95/46 CE prévoit cependant des dérogations. Ainsi aux termes de l’article 2, chiffre 2, le transfert peut être autorisé si le droit interne de l’Etat contractant d’où les données devraient être communiquées, le prévoit pour des intérêts spécifiques de la personne concernée ou pour des intérêts légitimes, notamment des intérêts publics importants, prévalant les intérêts de la personne concernée. Ces exceptions devraient couvrir des cas d’espèce et non pas légitimer la communication régulière et systématique de données vers des Etats tiers n’offrant pas de garanties suffisantes pour le respect de la vie privée. Le transfert est également possible « si des garanties pouvant notamment résulter de clauses contractuelles sont fournies par la personne responsable du transfert, et sont jugées suffisantes par les autorités compétentes, conformément au droit interne. » Ces garanties peuvent notamment découler de clauses contractuelles incluant les 39 éléments pertinents de la protection des données et notamment préserver les droits des personnes concernées. Les auteurs du protocole ont adopté une formulation plus générale et moins détaillée que l’article 26 de la directive européenne, notamment pour rester dans le cadre et l’esprit de la Convention 108. Cette approche permet de couvrir l’ensemble des exceptions prévues à l’article 26 de la directive. Elle permet en soi également à un Etat 37 Y. Poullet, Pour une justification des articles 4, 25 et 26 de la directive européenne 95/46/CE en matière de flux transfrontières et de protection des données, op. cit. 38 Rapport explicatif au protocole, § 29. 39 Voir à ce propos le Guide relatif à l’élaboration des clauses contractuelles régissant la protection des données lors de communications de données à caractère personnel à des tiers non soumis à un niveau de protection des données adéquat, adopté par le T-PD lors de sa 18e réunion (9-11 oct. 2002) (annexe IV, doc. T-PD (2002) RAP 18). 11 contractant non membre de l’Union européenne d’être plus restrictif, par exemple en excluant le consentement de la personne concernée ou de légitimer d’autres exceptions qui pourraient se justifier en fonction des circonstances du traitement dans la mesure où elles demeurent dans le cadre de l’article 2, chiffre 2 du protocole. Toutefois la marge de manœuvre doit demeurer étroite. « Les règles pertinentes de droit interne doivent néanmoins respecter le principe de droit inhérent à l’ordre juridique européen qui consiste à interpréter les clauses d’exception de manière restrictive afin que l’exception ne devienne pas la règle. Cet intérêt peut être de protéger un intérêt public important, tel que défini dans le contexte de l’article 8 paragraphe 2 de la Convention européenne des droits de l’homme et de l’article 9 paragraphe 2 de la Convention STE n° 108 ; l’exercice ou la défense d’un droit en justice ; ou lorsqu’il s’agit de données extraites d’un registre public. Des exceptions peuvent également être prévues pour répondre à des intérêts spécifiques de la personne concernée, pour l’exécution d’un contrat conclu avec la personne concernée ou dans l’intérêt de celle-ci, pour la protection de ses intérêts vitaux ou lorsqu’elle a donné son consentement. Dans ce cas, avant de consentir, la personne concernée doit être informée 40 de manière appropriée du transfert envisagé.» C. Réglementations des flux transfrontières au niveau national La plupart des lois nationales de protection des données des Etats parties à la Convention 108 contiennent des dispositions particulières régissant les flux transfrontières de données soumettant le transfert des données au-delà des frontières nationales au respect de conditions spécifiques. En plus de ces conditions spécifiques, le préalable au transfert est que le traitement des données et leur communication respectent les autres conditions légales et notamment les principes de base de la protection des données définis aux articles 5 et suivants de la Convention. Du fait de la directive européenne et dans une certaine mesure du protocole additionnel à la Convention 108, ces réglementations nationales ont un point commun : le transfert est en règle générale possible si le destinataire des données est soumis à un régime de protection des données assurant un niveau de protection adéquat. Le transfert vers des pays n’assurant pas un niveau de protection adéquat est également possible dans certaines circonstances et moyennant le respect de conditions déterminées. Le système de la notification ou de l’autorisation préalable sont encore bien implantés. L’approche contractuelle est également retenue dans la plupart des législations. 1. Suisse 1.1 De lege lata 41 La loi fédérale sur la protection des données du 19 juin 1992 (LPD) renferme une disposition particulière régissant les flux transfrontières de données. La philosophie du législateur suisse était d’éviter d’introduire un système par trop bureaucratique avec des obligations d’annonce et d’autorisation préalable au transfert de données à l’étranger. Elle met la responsabilité du respect des normes de protection des données sur les épaules de celui qui traite, respectivement qui communique des données à l’étranger. Ainsi aux termes de l’article 6, 1er alinéa LPD, « aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver menacée, notamment du fait de l’absence d’une protection des données équivalente à celle qui est garantie en Suisse. » C’est dès lors au responsable de traitement qu’incombe l’appréciation du risque d’atteinte à la vie privée. Il doit tenir compte dans son appréciation en particulier de la nature des données communiquées, de la qualité du destinataire, des finalités du traitement et des mesures de sécurité. La loi lui donne néanmoins un critère d’appréciation : 40 41 Rapport explicatif au protocole, § 31. RS 235.1, www.edsb.ch 12 l’existence ou la non existence d’une législation équivalente au droit suisse dans le pays destinataire, c’est-à-dire une loi reprenant les principes de base de la protection des données, garantissant les droits des personnes concernées et instaurant une autorité de contrôle indépendante. Il découle de cette règle qu’en principe, il n’y a pas d’obstacles aux transferts de données personnelles de la Suisse vers les Etats qui disposent d’une législation assurant une protection des données équivalente, ce qui est en règle générale le cas des Etats contractants à la Convention 108. Le Préposé fédéral à la protection des données publie une liste indicative et non exhaustive des Etats ayant une législation équivalente. La reconnaissance de l’équivalence de législation peut être limitée si le champ d’application matériel n’est pas le même. Ainsi, si la loi du destinataire ne régit pas le traitement de données concernant des personnes juridiques ou le traitement manuel des données, la reconnaissance d’équivalence tombe pour ce type de traitement. Si le destinataire ne réside pas dans un Etat doté d’une législation de protection des données équivalente, l’exportateur n’est pas en droit de lui transmettre des données, si la communication constitue une menace grave pour la personnalité des personnes concernées. L’exportation sera ainsi possible si la protection des données fait l’objet d’un contrat ou si la personne concernée a donné, en l’espèce, son consentement préalable, libre et en connaissance de cause. Le consentement ne nous parait cependant pas dispenser le responsable du traitement de prendre d’autres mesures pour garantir la protection des données. Le transfert pourra également intervenir si l’exportateur justifie, en l’espèce, d’un intérêt privé ou public prépondérant légitimant la communication des données en l’absence d’une protection 42 suffisante . Dans certains cas, le transfert de fichiers est soumis à une déclaration préalable au Préposé fédéral à la protection des données. Le transfert de fichier couvre également les communications régulières de données, notamment les accès par procédure d’appel (par ex. accès en ligne) et les transmissions de fichiers à un tiers mandaté pour effectuer un traitement pour le compte de celui qui transmet le fichier. Selon l’article 6, alinéa 2, LPD, cette déclaration intervient lorsque la communication a lieu à l’insu de la personne concernée ou lorsqu’elle ne découle pas d’une obligation légale. L’obligation de déclaration tombe si les données sont communiquées dans un Etat assurant un niveau de protection équivalent pour autant qu’ils ne s’agissent pas de données sensibles ou de profils de la personnalité. Elle tombe également lorsque les données sont communiquées à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, à condition que les résultats soient publiés sous une forme ne permettant pas d’identifier les personnes concernées. En pratique, le système de la déclaration n’a pas eu l’effet escompté, notamment du fait que le nombre de déclarations reste minime par rapport au volume présumé des transferts et que d’autre part le Préposé fédéral à la protection n’a pas les ressources suffisantes pour assurer un suivi des déclarations. 1.2 De lege ferenda La loi fédérale sur la protection des données est actuellement en cours de révision. Le projet initial prévoit de revoir le régime des flux transfrontières de données, notamment pour le mettre en parfaite conformité avec le protocole additionnel à la Convention 108 : exigence d’un niveau de protection des données adéquat avec une énumération exhaustive des exceptions, à savoir : - Il existe des garanties suffisantes, notamment contractuelles, permettant d’assurer un niveau de protection adéquat à l’étranger, - le consentement de la personne concernée pour le cas d’espèce a été requis, 42 Art. 12 et 13 LPD: tel serait par exemple le cas d’une communication de données nécessaires à l’exécution d’un contrat de voyage entre une agence de voyage suisse et la personne concernée désirant se rendre dans une île du Pacifique sud. 13 - le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat pour autant que les données concernent le co-contractant, la communication est en l’espèce indispensable soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice, la communication est en l’espèce nécessaire pour protéger la vie ou l’intégrité corporelle de la personne concernée, la personne concernée a rendu les données accessibles à tout un chacun et ne s’est pas opposée formellement au traitement, la communication a lieu entre des personnes morales réunies sous une direction unique et soumises à des règles uniformes sur la protection des données qui garantissent une de protection appropriée. Le projet prévoit d’abandonner le système de la déclaration préalable. Toutefois, le Préposé fédéral à la protection des données sera informé des garanties prises pour assurer un niveau de protection adéquat ou approprié. Il pourra, si nécessaire, intervenir et émettre des recommandations. 2. Autres exemples de réglementations nationales 2.1 Autriche 43 Les § 12 et 13 de la loi sur la protection des données règlent le transfert de données à l’étranger. En particulier et dans la mesure où le traitement est licite, il prévoit que les données à destination des pays membres de l ‘Union européenne peuvent être communiquées librement sauf s’il s’agit d’un transfert entre organes publics concernant des domaines ne relevant du droit communautaire. Il n’y a également pas d’obstacle aux transferts de données vers des Etats qui jouissent d’un niveau de protection adéquat. Ces Etats sont recensés dans une ordonnance de la Chancellerie fédérale. Les transferts à destination d’Etats sans niveau de protection adéquat sont par contre soumis à autorisation préalable de la commission de la protection des données. La loi énumère en outre une série de cas où nonobstant l’absence de niveau adéquat, le transfert est néanmoins possible sans autorisation. 2.2 Belgique 44 Les articles 21 et 22 de la loi relative à la protection des données à caractère personnel régissent le transfert de données vers des pays non membres de la Communauté européenne. Le transfert ne peut avoir lieu que si le pays destinataire assure un niveau de protection adéquat et pour autant que les autres dispositions légales de la protection des données soient respectées. Le Roi peut interdire dans certaines circonstances la communication de données personnelles vers des Etats non membres de la Communauté européenne. Il prend au préalable l’avis de la Commission de la protection de la vie privée. La loi énumère également les cas dans lesquels des transferts peuvent être envisagés en l’absence d’un niveau de protection adéquat. Les exceptions sont identiques à celles énumérées à l’article 26 de la directive 95/46/CE. 2.3 Italie 45 La loi sur la protection des données contient également des dispositions spécifiques sur les flux transfrontières de données. L’article 6 prévoit en particulier que le traitement de 43 Bundesgesetz über den Schutz personenbezogener Daten (DSG 2002), http://www.bka.gv.at/datenschutz/ Version coordonnée de la loi relative à la protection des données à caractère personnel du 8 décembre 1992, http://www.privacy.fgov.be/textes_normatifs/version_coordonnée.pdf 45 Loi du 31 décembre 1996 sur la Protection des personnes physiques et morales et d’autres organismes à l’égard du traitement des données à caractère personnel, http://www.privacy.it/legge675frcoord.html 44 14 données personnelles qui sont conservées à l’étranger, mais qui sont effectués en Italie est soumis aux dispositions de la loi italienne. En outre l’article 28 soumet à notification préalable auprès du Garante à la protection des données, les transferts vers des Etats non membres de l’Union européenne, ainsi que les transferts concernant des données sensibles ou des données relevant du code de procédure pénale, même si le destinataire réside dans un pays membre de l’Union européenne. Le transfert est interdit si la législation de l’Etat de destination ou de transit des données n’assure pas un niveau de protection adéquat. Le niveau doit être équivalent à la loi italienne s’il s’agit de données sensibles ou de données relevant du code de procédure pénale. L’article 28, chiffres 4 et 6 de la loi énumère les exceptions à l’interdiction de transfert qui se recoupent avec les dérogations de l’article 26 de la directive européenne et du protocole additionnel : - la personne concernée a manifestement donné son consentement, - le transfert est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, pour des mesures précontractuelles prises à la demande de la personne concernée ou pour la conclusion ou l’exécution d’un contrat passé en faveur de la personne concernée, - le transfert est nécessaire à la protection d’un intérêt public important, - le transfert est nécessaire aux fins d’investigations pénales ou pour exercer ou défendre un droit en justice, - le transfert est nécessaire pour protéger la vie ou l’intégrité physique de la personne concernée ou d’un tiers, - le transfert est effectué suite à une requête d’accès aux documents administratifs ou à une requête d’informations pouvant être extraites d’un registre public ou autres documents accessibles au public, - le transfert est autorisé par le Garante sur la base de garanties appropriées, notamment d’ordre contractuel, - le transfert vise une finalité scientifique ou statistique. Les notifications sont en principe inscrites au registre des traitements et peuvent faire l’objet de contrôles de la part du Garante. 2.4 Hongrie En Hongrie également, les flux transfrontières de données personnelles font l’objet de 46 dispositions spécifiques dans la loi sur la protection des données . L’article 9 postule ainsi une interdiction de transfert à l’étranger, à moins que la personne concernée y ait consenti ou que le transfert soit autorisé par la loi et pour autant que le destinataire des données obéisse aux mêmes principes de protection des données que ceux énoncés dans la loi. 2.5 République Tchèque 47 Aux termes de l’article 27 de loi sur la protection des données , les données personnelles ne peuvent être communiquées à l’étranger que dans la mesure où la législation du pays dans lequel elles seront traitées correspond aux exigences de la loi tchèque. Tout comme d’autres lois, l’article 27 énonce des exceptions au principe de l’équivalence. Ces dérogations sont pour l’essentiel similaires à celles de l’article 26 de la directive européenne. En outre, la loi prévoit que le responsable du traitement doit requérir une autorisation de transfert auprès de l’Office de la protection des données. Cette autorisation peut concerner une communication isolée ou plusieurs transferts. L’autorisation doit être délivrée sans délais et est limitée dans le temps. Les transferts prévus dans une loi spéciale ou reposant sur un traité international ne sont pas soumis à autorisation. 46 Act n° LXIII of 1992 on Protection of Personal Data and Disclosure of Data of Public Interest, http://www.obh.hu/adatved/indexek/AVTV-EN.htm 47 Act N° 101 of 4 April 2000 on Protection of the Personal Data and on Amendments to Some Related Acts, http://www.uoou.cz/eng/legisl.php3 15 2.6 Lituanie er Le transfert de données à l’étranger est en principe soumis à autorisation (art. 24, 1 al. loi 48 sur la protection des données ). L’autorisation est délivrée par l’autorité en charge de veiller au respect de la loi (autorité de surveillance). L’autorité délivre une autorisation lorsque le destinataire des données est soumis à une législation assurant un niveau de protection des données adéquat. L’autorisation peut également être accordée si le transfert fait l’objet d’un contrat fixant les obligations du destinataire des données afin d’assurer la protection des données transférées. La loi prévoit également des dérogations à l’obligation d’autorisation lorsque : - la personne concernée a consenti au transfert, - les données sont nécessaires à la conclusion ou à l’exécution d’un contrat entre le responsable du traitement et un tiers, - les données sont nécessaires à l’exécution d’un contrat auquel la personne concernée est partie, - le transfert est nécessaire aux intérêts de l’Etat, - les données sont nécessaires pour une procédure judiciaire, - les données sont nécessaires à la sauvegarde des intérêts vitaux de la personne concernée, - les données sont nécessaires pour prévenir ou éclaircir un crime, - la communication résulte d’un accord international auquel la Lituanie est partie. 2.7 Pologne 49 La loi sur la protection des données régit également spécifiquement les flux transfrontières de données. Aux termes de l’article 47, 1er alinéa, le transfert de données personnelles est licite dans la mesure où le pays de destination des données assure au moins un niveau de protection équivalent à celui de la loi polonaise. Cette exigence d’équivalence tombe si la communication est prévue par une loi spéciale ou par un accord international. En outre, le 50 responsable du traitement peut communiquer des données si : - la personne concernée y a consenti par écrit, - le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable de traitement ou à l’exécution de mesures prises à la demande de la personne concernée, - le transfert est nécessaire à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée, - le transfert est nécessaire ou requis par un intérêt public légitime ou pour l’exercice d’un droit en justice, - le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée, - le transfert porte sur des données qui ont été rendues publiques. En outre, l’Inspecteur général de la protection des données peut autoriser le flux 51 transfrontière dans d’autres cas . 2.8 Espagne 52 Les articles 33 et 34 de la loi sur la protection des données régissent les flux transfrontières de données. Ces dispositions sont complétées par une instruction de l’agence de la 48 Law on Legal Protection of Personal Data (11 June 1996, No. I-1374, New version 17 July 2000, No. VIII1852, As last amended on 20 June 2002, No. IX-970), http://www.ada.lt/en/docs/lawonlegalprot.doc 49 50 51 Act of August 29, 1997 on the Protection of Personal Data, http://www.giodo.gov.pl/English/Bgiw1220.htm Art. 47, 3e alinéa. Art. 48. 16 protection des données régissant les flux internationaux de données53. Cette instruction clarifie la procédure suivie par l’Agence de protection des données dans le traitement des flux transfrontières de données. Le principe retenu par la loi espagnole est que le transfert, temporaire ou permanent, ne peut intervenir que si le destinataire réside dans un pays qui assure un niveau de protection des données comparable à celui de la législation espagnole. Dans les autres cas, le transfert doit faire l’objet d’une autorisation préalable de l’Agence espagnole de la protection des données. Cette autorisation n’est délivrée que si le destinataire offre des garanties adéquates, notamment d’ordre contractuel. La loi précise les critères à prendre en compte pour définir le caractère adéquat en tenant compte des circonstances entourant les données ou les catégories de données à transférer : nature des données, finalité et durée du traitement, pays d’origine des données et pays de destination des données, législation en vigueur dans le pays tiers, les rapports de la Commission européenne, ainsi que les règles professionnelles et les mesures de sécurité en vigueur dans le pays tiers. L’autorisation n’est par contre pas nécessaire si le transfert est destiné à un destinataire situé dans un Etat membre de l’Union européenne ou d’un pays que la commission européenne a déclaré 54 bénéficier d’un niveau de protection adéquat . Dans tous les cas, le transfert ne peut avoir lieu que s’il est conforme aux autres exigences de la loi et notamment aux conditions de licéité du traitement et de respect des droits des personnes concernées (en particulier l’information préalable des personnes concernées). Le transfert doit également être mentionné lors de la notification du fichier en vue d’enregistrement dans le registre général de la protection des données55. La loi espagnole prévoit en outre d’autres dérogations à l’autorisation (art. 34) lorsque : - le transfert résulte d’un accord international auquel l’Espagne est partie, - le transfert est nécessaire à des fins médicales ou de santé, - le transfert de données concerne des mouvements financiers, - la personne concernée y a consenti de manière indubitable, - le transfert est nécessaire pour la conclusion ou l’exécution d’un contrat conclu ou à conclure dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers, - le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public, - le transfert est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice, - le transfert intervient à la demande d’une personne justifiant d’un intérêt légitime et les données proviennent d’un registre public. 2.9 Suède Le régime des flux transfrontières de données en Suède repose également sur l’exigence d’un niveau de protection des données adéquat. Le système de l’autorisation préalable qui prévalait avant la transposition de la directive européenne a été abandonné. Aux termes de er 56 l’article 33, 1 alinéa de loi sur la protection des données , le transfert de données personnelles à des pays tiers est interdit à moins que ce pays n’assure un niveau de protection des données adéquat. La loi définit, de manière similaire à d’autres lois et notamment la loi espagnole et à l’article 25 de la directive européenne, les critères 52 Organic Law 15/1999 of 13 December ont the Protection of Personal Data, https://www.agenciaprotecciondatos.org/ley_15_ingles_v2_pdf.pdf 53 Instruction 1/2000 of 1 December 2000 issued by the Data Protection Agency on the rules governing international data movements, https://www.agenciaprotecciondatos.org/instruccion_1-2000_ingles_pdf.pdf 54 55 56 Art. 34, lettre k. C’est le cas de la Hongrie et de la Suisse. Art. 26, alinéa 2. Personal Data Act (1998:204), http://www.datainspektionen.se/in_english/default.asp?content=/in_english/start/start.shtml 17 d’appréciation de l’adéquation. La loi précise également qu’il est possible de communiquer des données vers des Etats parties à la Convention 108. A l’instar d’autres lois, l’article 34 précise les dérogations à l’exigence du niveau adéquat, à savoir lorsque les données sont nécessaires à: - l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou pour prendre des mesures précontractuelles à la demande de la personne concernée, - la conclusion ou l’exécution d’un contrat dans l’intérêt de la personne concernée, entre le responsable du traitement et une partie tiers, - la constatation, l’exercice ou la défense d’un droit en justice, - la protection des intérêts vitaux de la personne concernée. En outre, la loi prévoit une délégation au Gouvernement pour prévoir d’autres dérogations au transfert de données vers certains Etats, lorsque le transfert est régi par un contrat offrant des garanties suffisantes pour protéger les droits des personnes concernées, lorsque le transfert répond à un intérêt public important ou lorsqu’il y a d’autres garanties suffisantes 57 pour protéger les droits des personnes concernées. Ces exemptions sont prévues dans l’ordonnance d’application de loi58. Les données peuvent notamment également être communiquées vers des Etats reconnus adéquat par la Commission européenne ou lorsque des clauses contractuelles conformes aux contrats type de la Commission européenne sont utilisées. D. Rôle des autorités de protection des données Les tâches des autorités de protection des données en matière de flux transfrontières de données sont définies dans les lois nationales. A la lumière de l’examen de différentes lois nationales, nous pouvons recenser les tâches et compétences qui sont celles plus ou moins de l’ensemble des autorités, à savoir : - - - - Examen des notifications ou déclarations de transfert avec dans certains pays l’enregistrement de la notification dans le registre des traitements, voire la délivrance d’une autorisation de transfert ; Investigation sur la conformité aux exigences légales avec le cas échéant exercice des pouvoirs d’intervention dévolus à l’autorité (recommandation, décision et parfois sanction ou dénonciation à l’autorité judiciaire compétente) ; Evaluation du niveau adéquat de protection de cas en cas et/ou de manière générale, avec dans certains Etats l’établissement d’une liste des Etats dotés d’une législation de protection des données garantissant ce niveau de protection des données adéquat ; Examen des clauses contractuelles ou d’autres garanties propres à assurer la protection des droits des personnes concernées ; Adoption de recommandations générales ou d’instructions (avec parfois une valeur normative) ; Information des personnes concernées sur leurs droits ; Information des responsables de traitement sur leurs obligations ; Collaboration avec les autorités de protection des données d’autres Etats, notamment conformément aux articles 13 et suivants de la Convention 108 et à l’article 1, chiffre 5 du Protocole additionnel. Même si la Commission européenne avec la collaboration active du groupe de l’article 29, le Comité consultatif du Conseil de l’Europe ou la Conférence européenne des commissaires à 57 Art. 35. Articles 12 et 13 Personal Data Ordinance (1998:1191), http://justitie.regeringen.se/inenglish/_issues/dataprotection/personal_data_ordinance.pdf 58 18 la protection des données et notamment son groupe de travail sur les plaintes permettent de renforcer la collaboration internationale et de développer des instruments permettant une approche commune de la gestion des flux transfrontières de données, l’action des autorités nationales de protection des données est encore très axée sur une approche nationale des problèmes. En outre la plupart des autorités nationales de protection des données concentrent leurs activités sur le traitement des notifications et des plaintes et adoptent en cela une attitude réactive et par trop juridique de la protection des données. Cette approche réactive voulue par le législateur permet-elle réellement de garantir le respect de la vie privée lors du traitement de données personnelles qui est l’objectif de l’ensemble de nos législations ? La loi, aussi bonne fusse-t-elle, ne permet pas de garantir le respect de la vie privée. La loi permet de chercher des solutions qui elles garantiront le respect des droits et des libertés fondamentales lors du traitement de données personnelles. Or les autorités nationales de protection des données, à l’instar nous semble-t-il de nos collègues espagnoles, ne devraient-elles pas à l’avenir jouer un rôle pro-actif dans l’exercice de leurs tâches de surveillance ? En d’autres termes, si le principe selon lequel le transfert de données à caractère personnel effectué par un responsable de traitement situé dans un Etat partie à la Convention 108 vers un destinataire dans un Etat tiers ne peut intervenir que si cet Etat assure un niveau de protection des données adéquat est fondamental et ne doit pas être remis en question, le rôle des autorités nationales de protection des données ne devraient pas se limiter à vérifier le respect des conditions légales préalables au transfert pour permettre de concrétiser ce principe. En matière de flux transfrontières de données, l’objectif que nous poursuivons dans l’exercice de nos tâches est d’éviter que les individus se trouvent dépourvus de toute protection dès le moment où les données à caractère personnel quittent notre territoire et par conséquent notre sphère de compétences. Cet objectif n’est par contre pas d’empêcher les échanges d’informations, ce qui dans un monde globalisé serait illusoire. Même si en l’absence d’une réglementation de protection des données déployant ses effets au-delà du continent européen, il est possible et nécessaire de trouver un rattachement au territoire national pour l’ensemble ou du moins une grande majorité des flux transfrontières de données issus de ce territoire et ainsi de pouvoir sanctionner les violations de nos 59 dispositions légales , il nous paraît tout aussi nécessaire de développer une politique qui promeut la reconnaissance et le respect universels des principes de la protection des données qui découlent de la Convention 108 et des Lignes directrices de l’OCDE et qui permet aux personnes concernées d’exercer effectivement leurs droits. La protection des données est un droit fondamental de l’Homme et une condition du fonctionnement d’une société démocratique. Elle est une condition essentielle pour permettre la libre circulation des informations. Dans cette perspective, la collecte et le traitement des données doit respecter le droit à l’autodétermination en matière d’informations des personnes. Nos réglementations nationales et internationales de protection des données contiennent les règles nécessaires à permettre l’exercice de ce droit à l’autodétermination. Notre rôle en tant qu’autorité de surveillance est de veiller à ce que ces règles soient respectées et intégrées dans les processus de traitements des données et les systèmes d’informations, notamment en favorisant le recours aux technologies pour intégrer les principes de base de la protection des données (PET). L’action des autorités nationales de protection des données doit ainsi s’attacher à sensibiliser les personnes concernées et les responsables de traitement aux risques liés aux flux transfrontières de données. Cela passe par : - une politique d’information active, 59 Voir à ce sujet notamment M. Pinet, op. cit. 19 - - une évaluation des risques et l’élaboration d’ « outils » pour permettre de réaliser les exigences de la protection des données et diminuer les risques d’atteinte aux droits des personnes concernées, un contrôle et le cas échéant la prise de sanctions, une intensification de la collaboration internationale. Si nous voulons que la protection des données soit réellement effective, notamment dans le cadre des flux transfrontières de données, nous ne pouvons pas uniquement nous concentrer sur le traitement des plaintes. Pour pouvoir répondre aux défis de la globalisation, nous devons mettre l’accent sur la prévention en axant nos actions sur l’étude des secteurs à risque avec pour objectif de définir les exigences de protection des données adapter à ces secteurs et proposer des solutions pour leur permettre de continuer à fonctionner en tenant compte des exigences de la protection des données. Cette action préventive doit aussi s’attacher à définir et à promouvoir des outils permettant à l’individu de protéger sa vie privée. Elle doit encourager les responsables de traitement à prendre leur responsabilité et à développer et utiliser des instruments, comme l’audit de protection des données, les incitant à mettre leur organisation et leur processus de traitements en conformité avec les exigences légales. L’effectivité de la protection des données passe ensuite par des contrôles a posteriori pour vérifier le respect des exigences légales et le cas échéant sanctionner les abus. Cette approche doit être accompagnée d’une politique active d’information, non seulement pour attirer l’attention sur les risques, mais également pour communiquer les exigences de protection des données et les moyens de concrétiser ces exigences. Les abus graves doivent également être dénoncés et faire l’objet d’une publicité adéquate pour éviter les récidives. Enfin, il faut également faire de la publicité pour les produits ou les systèmes qui sont conformes à la protection des données. Les « bons élèves » méritent également d’être signalés. La définition des exigences et les solutions préconisées nécessitent une concertation avec tous les acteurs concernés. Ils doivent pouvoir faire valoir leur point de vue et être en mesure d’eux-mêmes de proposer des solutions de concrétisation des principes de la protection des données. Il est en effet préférable que les solutions viennent des responsables de traitement que de leur imposer des exigences qu’ils ne sont pas prêts à accepter. Enfin, nous devons renforcer la collaboration internationale entre les autorités de protection des données et coordonner nos forces, qui pour beaucoup d’entre-nous sont restreintes, pour œuvrer à améliorer la protection des données en Europe et au-delà. En ce sens, il ne serait pas inutile que la Conférence européenne des commissaires à la protection des données puisse se doter d’une structure permanente sous forme d’un secrétariat restreint. 20 RÉSUMÉ La communication des données en-dehors du champ d’application d’une loi nationale de protection des données risque d’affaiblir considérablement la protection des données. Cette communication limite en particulier les droits découlant du respect de la vie privée si le destinataire n’est pas lui-même soumis à des normes de protection des données suffisantes découlant notamment des standards de la Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108) et de son protocole additionnel sur les autorités de contrôle et les flux transfrontières de données. Les personnes concernées et les autorités de contrôle se voient ainsi démunies du fait de la perte de maîtrise sur les données qui échappent lors de leur transfert aux dispositions nationales de protection des données. Il est dès lors important que les flux transfrontières de données à caractère personnel soient encadrés et que les autorités de protection des données soient en mesure de veiller à ce que les principes de la protection des données soient pris en compte lors de transferts pour garantir le respect de la vie privée des individus et des droits qui en découlent. Dans un monde interdépendant et dans lequel l’échange d’informations joue un rôle fondamental, la recherche de solutions internationales s’est rapidement avérée nécessaire, notamment pour éviter l’érection de barrières qui loin d’être efficaces pouvaient freiner ou paralyser certaines activités transfrontières. Le Conseil de l’Europe et l’OCDE allaient dans ce contexte jouer un rôle phare dans l’élaboration d’une réglementation internationale et dans l’harmonisation des législations nationales. Avec l’adoption de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, l ‘Union européenne a contribué à renforcer l’harmonisation des législations nationales des Etats membres et à créer un espace permettant d’échanger des données sans considération de frontières. Non seulement l’absence de législation de protection des données, mais également les différences entre les législations existantes constituent des entraves à la libre circulation des données. Dès lors, l’harmonisation des législations dont l’objectif est de permettre de garantir un haut niveau de protection des données dans le respect des systèmes juridiques existants doit être encouragée. Ainsi, la Convention 108 fixe le plancher minimum de protection que les législations des Etats parties doivent mettre en place pour garantir le respect des droits et libertés fondamentales et notamment le droit à la vie privée. Dans ce cadre là, le flux transfrontière de données doit être exempt d’entraves dues à la protection des données. La Convention exige le respect d’un standard minimum élevé et à équivalence de protection, la libre circulation des informations. L’article 12 de la Convention 108 repose sur le principe selon lequel il ne devrait pas y avoir de communications transfrontières de données en l’absence d’un niveau de protection des données équivalent à celui du pays d’exportation des données. Il postule en principe le libre flux entre Etats contractants. Par contre, il ne régit pas expressément la communication de données vers un Etat n’ayant pas ratifié la Convention. Le protocole additionnel à la Convention comble cette lacune et tend à renforcer la mise en œuvre des principes contenus dans la Convention. Ainsi, le transfert de données à caractère personnel vers un destinataire soumis à la juridiction d’un Etat ou d’une organisation qui n’est pas Partie à la Convention ne peut, en principe, être effectué que si cet Etat ou cette organisation assure un niveau de protection adéquat pour le transfert des données. La plupart des lois nationales de protection des données des Etats parties à la Convention 108 contiennent des dispositions spécifiques régissant les flux transfrontières de données soumettant le transfert des données au-delà des frontières nationales au respect de conditions spécifiques. Ces réglementations nationales ont un point commun : le transfert est en règle générale possible si le destinataire des données est soumis à un régime de protection des données assurant un niveau de protection adéquat. Le transfert vers des pays 21 n’assurant pas un niveau de protection adéquat est également possible dans certaines circonstances et moyennant le respect de conditions déterminées. Le système de la notification ou de l’autorisation préalable sont encore bien implantés. L’approche contractuelle est également retenue dans la plupart des législations. Les tâches des autorités de protection des données en matière de flux transfrontières de données sont définies dans les lois nationales. La plupart des autorités nationales de protection des données concentrent leurs activités sur le traitement des notifications et des plaintes et adoptent en cela une attitude réactive et par trop juridique de la protection des données. Les tâches de surveillance des autorités de protection des données devraient évoluer vers une approche pro-active. L’objectif des autorités de protection des données est d’éviter que les individus se trouvent dépourvus de toute protection dès le moment où les données à caractère personnel quittent le territoire national et leur sphère de compétences. Cet objectif n’est par contre pas d’empêcher les échanges d’informations. Il est nécessaire de développer une politique qui promeut la reconnaissance et le respect universels des principes de la protection des données qui découlent de la Convention 108 et des Lignes directrices de l’OCDE et qui permet aux personnes concernées d’exercer effectivement leurs droits. Les réglementations nationales et internationales de protection des données contiennent les règles nécessaires à permettre l’exercice de ce droit à l’autodétermination. Le rôle des autorités de surveillance est de veiller à ce que ces règles soient respectées et intégrées dans les processus de traitements des données et les systèmes d’informations, notamment en favorisant le recours aux technologies pour intégrer les principes de base de la protection des données (PET). L’action des autorités nationales de protection des données doit ainsi s’attacher à sensibiliser les personnes concernées et les responsables de traitement aux risques liés aux flux transfrontières de données. Cela passe par : - une politique d’information active, - une évaluation des risques et l’élaboration d’ « outils » pour permettre de réaliser les exigences de la protection des données et diminuer les risques d’atteinte aux droits des personnes concernées, - un contrôle et le cas échéant la prise de sanctions, - une intensification de la collaboration internationale.