Défis posés par les flux transfrontières de données à caractère

Eidgenössischer Datenschutzbeauftragter
Préposé fédéral à la protection des données
Incaricato federale per la protezione dei dati
Incumbensà federal per la protecziun da datas
RAPPORT1
Défis posés par les flux transfrontières de données à caractère personnel
par
M. Jean-Philippe WALTER, Dr en droit
Préposé fédéral suppléant à la protection des données
Président du Comité consultatif de la Convention 108
(Suisse)
A. Quelle vie privée au travers des flux transfrontières de données à
caractère personnel ?
1. Globalisation de l’information
La globalisation de l’information, le développement des échanges et du commerce
international, la mobilité croissante (volontaire ou contrainte) des personnes, les exigences
économiques, la pression sur les coûts, ainsi que les exigences de rationalisation entraînent
une augmentation considérable des flux transfrontières de données à caractère personnel,
une densification des réseaux de communication et une accélération massive des échanges
d’information. Les échanges internationaux de données à caractère personnel ne sont ainsi
pas seulement une réalité et une nécessité pour les activités des entreprises internationales
(notamment gestion des données du personnel ou des clients). Ils touchent également
l’ensemble des activités dépassant le cadre régional ou national (entraide administrative ou
judiciaire internationale, tourisme, commerce électronique, recherche scientifique, etc.).
Ainsi, avec l’informatisation des relations de production et des rapports commerciaux, les
données personnelles ne restent pas dans une entreprise ou dans un groupe d’entreprises.
Elles sont également transmises à des partenaires commerciaux à l’étranger, enregistrées
dans des banques de données internationales ou dans des centres de calculs en réseau
dans le cadre notamment d’opérations d’outsourcing gérées par des prestataires de services
actifs au niveau mondial2. Le succès et la généralisation de l’Internet crée un espace
accessible au grand public et aux marchands qui relient des 100 de millions d’utilisateurs
échangeant des masses d’informations.
A l’ère de la globalisation et de l’internationalisation des échanges, le traitement des
données à caractère personnel ne connaît plus de frontières et la technologie rend de plus
en plus facile la dissémination ou la délocalisation des traitements. Quelques exemples plus
ou moins problématiques permettront d’illustrer notre propos :
La délocalisation des traitements dans des pays du tiers monde notamment pour bénéficier
d’une main-d’œuvre qualifiée et moins coûteuse a tendance à augmenter. Ainsi pour
rationaliser la gestion de sa comptabilité, une compagnie aérienne aujourd’hui défunte a
1
Ce rapport a été élaboré à l’instigation du Conseil de l’Europe pour la Conférence sur les défis et les problèmes posés aux
nouvelles autorités de contrôle de la protection des données. Il est publié sur le site www.edsb.ch avec l’autorisation du
Conseil de l’Europe qui en détient exclusivement les droits d’auteurs. Il peut également être consulté sur le site web du Conseil
de l’Europe www.coe.int/dataprotection.
2
Th. Weichert, Die Europäische Datenschutzrichtlinie und Datenschutzregelungen im Ausland, www.hbv.org/dvit/ref3.htm, M.
Schleutermann, Datenvearbeitung im Konzern, dans CR 10/1995, 577s.
2
délocalisé le traitement des données financières en Inde. Une entreprise belge3 de listes
d’adresses a sous-traité ses activités d’encodage, de triage et de sélection dans un pays
africain. Les données ont été collectées auprès des personnes concernées à partir d’un
vaste questionnaire et croisées avec d’autres données provenant de sources publiques.
Pour échapper (ou tenter d’échapper) aux exigences du droit suisse, une entreprise de
marketing qui souhaite commercialiser un test de paternité à grande échelle et faire
effectuer l’analyse des données dans un laboratoire aux Etats-Unis, a simplement décidé de
transférer ses activités à l’étranger, de faire la promotion de son test depuis l’étranger et de
permettre aux personnes intéressées de transmettre directement leur demande d’analyse
au laboratoire américain ou de le faire par l’intermédiaire d’une firme sise à l’étranger.
De plus en plus d’entreprises multinationales et de groupes d’entreprises centralisent le
traitement des données de leur personnel afin de rationaliser la gestion des salaires, des
carrières et de faciliter le traitement des dossiers du personnel. Souvent, cette concentration
du traitement des données de tout ou d’une partie du personnel se fait en deux étapes. Tout
d’abord les données sont transmises de Suisse vers un autre Etat européen, pour être dans
un deuxième temps transférées aux Etats-Unis. En outre, cette centralisation permet des
accès depuis plusieurs points du globe en fonction des besoins de l’entreprise.
Un fournisseur de service publie sur Internet depuis la Thaïlande un annuaire d’adresses et
de numéros de téléphone qu’il a collectés en Suisse ou dans un pays européen.
Un collège ou une association sportive publie sur Internet, sans mauvaise intention et
souvent par ignorance, des photos d’enfants ou de jeunes adultes avec le nom, voire
l’adresse. Des jeunes participent à des forums de discussion et publient avec forces détails
des informations les concernant qui par quelques clics sont accessibles de n’importe quel
coin de la planète. Une agence hungaro-américaine proposait sur son site Internet des
enfants hongrois en vue d’adoption à l’étranger. Sur le site figurait la photo, la date de
4
naissance et les maladies éventuelles .
De nombreux messages publicitaires par courriel (SPAM) proviennent des USA et les
adresses sont collectées ou interceptées à partir de diverses activités de surf sur internet.
Aujourd’hui selon certaines estimations, 1/3 des 30 billions de courriels envoyés
quotidiennement à travers le monde serait lié aux activités de spams5.
Les systèmes informatisés de réservation aérienne, d’hôtel, de logements etc. ne sont pas
nécessairement localisés dans le pays d’où s’opère la réservation. Les sociétés qui gèrent
ces systèmes bénéficient ainsi quotidiennement de données à caractère personnel de
provenance diverses qui permettent de dresser et d’affiner des profils de personnalité ou
d’habitude de consommation.
6
Enfin le phénomène Internet génère une production de données qui peuvent être utilisées à
des fins diverses par des multitudes d’acteurs à travers le monde sans que la personne
concernée ait réellement conscience de la portée des informations qu’elle met à disposition
de manière plus ou moins librement accessible ou sans qu’elle sache qui collecte ou
intercepte des informations à son égard (allusion notamment aux cookies ou autres
3
Exemple tiré de Y. Poullet, Les Safe Harbor Principles – Une protection adéquate ?,
http://www.juriscom.net/uni/doc/20000617.htm
4
E. Simon, La protection des données personnelles sur internet en Hongrie (les manques et les solutions),
http://www.creis.sgdg.org/menu/actualites_creis/donnees_perso_hongrie.htm
5
K. Werbach, Death by Spam, http://slate.msn.com/?id=2074042 (18.11.02)
6
« Aujourd’hui, le simple fait d’allumer un ordinateur branché sur Internet met en route plusieurs processeurs qui exécutent
subrepticement des centaines de programmes sans que l’utilisateur moyen en soit informé ni puisse avoir le moindre contrôle
sérieux sur les données qui y sont traitées. », J-M. Dinant, Les traitements invisibles sur Internet,
http://www.droit.fundp.ac.be/crid/eclip/luxembourg.html
3
mouchards informatiques qui permettent notamment de sélectionner les messages
7
publicitaires à envoyer aux internautes et de profiler ou de contrôler les utilisateurs ).
2. Défi envers la protection des données
Cette globalisation de la société et des échanges d’informations sans considération de
frontières constitue un défi redoutable pour la protection des données et les autorités
chargées de veiller au respect des dispositions légales. Les données personnelles sont
devenues, hélas, des marchandises, des biens de consommation qui s’achètent, se vendent
et s’échangent. Les flux de données se font indépendamment des frontières. Cela engendre
des risques importants pour le respect de la vie privée du fait de la disparité des
réglementations de la protection des données dans les pays tiers, voire du fait que
nombreux responsables de traitement ou destinataires des données ne sont pas soumis à
des règles de protection des données. Le monde se partage entre les pays qui ont encadré
le traitement de données personnelles par une législation, c’est le cas de la majorité des
pays membres du Conseil de l’Europe, de ceux qui, sans nier la nécessité d’une protection,
estiment à l’instar des Etats-Unis qu’il revient au marché de s’autoréguler et de ceux qui
ignorent le problème. La communication des données en-dehors du champ d’application
d’une loi nationale de protection des données risque d’affaiblir considérablement la
protection des données. Cette communication limite en particulier les droits découlant du
respect de la vie privée et notamment du droit à l’autodétermination individuelle si le
destinataire n’est pas lui-même soumis à des normes de protection des données suffisantes
découlant notamment des standards de la Convention du Conseil de l’Europe pour la
protection des personnes à l’égard du traitement automatisé des données à caractère
personnel (Convention 1088) et de son protocole additionnel sur les autorités de contrôle et
les flux transfrontières de données9. Les personnes concernées et les autorités de contrôle
se voient ainsi démunies du fait de la perte de maîtrise sur les données qui échappent lors
de leur transfert aux dispositions nationales de protection des données. Il est dès lors
important que les flux transfrontières de données à caractère personnel soient encadrés et
que les autorités de protection des données soient en mesure de veiller à ce que les
principes de la protection des données soient pris en compte lors de transferts pour garantir
le respect de la vie privée des individus et des droits qui en découlent.
Si l’existence d’une réglementation couvrant le territoire national ou l’espace européen
(Conseil de l’Europe ou Union européenne) ne veut pas demeurer vain du fait de la
dimension internationale des flux de données à caractère personnel, il est important de
pouvoir garantir un point d’ancrage national, fusse-t-il très étroit, pour permettre aux
personnes concernées de faire valoir leurs droits et aux autorités compétentes d’intervenir
et le cas échéant de sanctionner les abus. En effet par exemple, « lorsqu’un Internaute
européen communique volontairement des données le concernant à un site Web non situé
dans l’Union européenne, cela suppose qu’il se croit protégé par les règles en vigueur dans
son propre pays, par exemple, en matière de loyauté de la collecte des données, et de
transparence dans l’utilisation qui en sera faite. Accepter de communiquer avec un site hors
Union européenne n’a pas pour conséquence de dépouiller l’Internaute de ses droits : sinon
ce serait entraver gravement le développement des échanges par Internet au plan
10
planétaire, et notamment le développement du commerce électronique. »
7
Y. Poullet, op. cit. ; J-M. Dinant, Les traitements invisibles sur Internet.
http://conventions.coe.int/treaty/FR/WhatYouWant.asp?NT=108&CM=8&DF=
9
http://conventions.coe.int/treaty/FR/WhatYouWant.asp?NT=181&CM=8&DF=
10
M. Pinet, Directive 95/46 du 24 octobre 1995 et droit national applicable, Conférence relative à la mise en œuvre de la
Directive 95/46 du 24 octobre 1995, Bruxelles 30 septembre / 1er octobre 2002,
http://europa.eu.int/comm/internal_market/en/dataprot/lawreport/speeches/pinet_fr.pdf , voir aussi Y. Poullet, Pour une
justification des articles 4, 25 et 26 de la directive européenne 95/46 CE en matière de flux transfrontières et de protection des
données, http://europa.eu.int/comm/internal_market/en/dataprot/lawreport/speeches/poullet_fr.pdf
8
4
On ne peut également réduire l’information personnelle au simple rang de marchandises qui
s’échangent, se vendent ou s’approprient au détriment et sans considération de la personne
et des droits qui l’accompagnent, droits dont le respect est indispensable au fonctionnement
de nos sociétés démocratiques. Cela implique également parfois que la personne soit
protégée contre elle-même lorsque le renoncement à l’exercice de ses droits remet en
cause l’existence même de ses droits et par conséquent met en péril l’ensemble des autres
membres de la société et par delà le fonctionnement de la démocratie : « Le consentement
de la personne concernée, qu’il soit simple, indubitable, expresse ou par écrit, est, dans la
directive, la première cause de légitimité d’un traitement de données à caractère personnel
mais ce fondement n’exclut pas marginalement l’intervention d’un juge lorsque la
renonciation à l’exercice du droit à la vie privée représente de par les circonstances, la
nature des données concédées et/ou la puissance du responsable du traitement en question
une renonciation au droit et non simplement à l’exercice d’un droit. En outre, le droit à la vie
privée étant un droit de l’Homme, « la renonciation au bénéfice de ce droit serait d’autant
plus difficilement admissible qu’une obligation positive pèserait sur l’Etat à l’effet d’assurer la
jouissance effective du droit en cause », c’est-à-dire de doter l’individu des moyens qui
permettent l’exercice effectif de ses droits. A cet égard, le rôle positif de l’Etat est multiple. Il
ne s’agit pas simplement de prescrire les modalités suivant lesquelles le consentement sera
réellement éclairé et spécifique et cela sous le contrôle des autorités publiques mais en
outre a posteriori, de s’interroger sur la proportionnalité de la renonciation, le juste équilibre
entre l’objectif poursuivi par les ingérences consenties et les restrictions subies à la libre
11
détermination de l’individu.»
B. Régime légal des flux transfrontières de données selon la Convention
108 et le protocole additionnel
Dès l’adoption des premières lois de protection des données dans les années 1970, les
législateurs nationaux ont perçu le risque inhérent aux flux transfrontières de données et ont
adopté des dispositions légales encadrant la communication internationale de données à
caractère personnel. Le régime adopté était différent d’un pays à l’autre. On distinguait les
lois qui ne régissaient pas spécialement le transfert hors des frontières nationales de celles
12
qui soumettaient le flux à un régime de déclaration préalable, voire d’autorisation . Dans un
monde interdépendant et dans lequel l’échange d’informations joue un rôle fondamental, la
recherche de solutions internationales s’est rapidement avérée nécessaire, notamment pour
éviter l’érection de barrières qui loin d’être efficaces pouvaient freiner ou paralyser certaines
activités transfrontières. Le Conseil de l’Europe et l’OCDE allaient dans ce contexte jouer un
rôle phare dans l’élaboration d’une réglementation internationale et dans l’harmonisation
des législations nationales. Avec l’adoption de la directive 95/46/CE relative à la protection
des personnes physiques à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données, l‘Union européenne a contribué à renforcer l’harmonisation
des législations nationales des Etats membres et à créer un espace permettant d’échanger
des données sans considération de frontières.
11
Y. Poullet, Pour une justification des articles 4, 25, 26 de la directive européenne, op. cit., p. 21 et auteurs cités.
Pour un aperçu des premières réglementations en matière de flux transfrontières de données à caractère personnel, voir
notamment R. Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, Baden-Baden 1990, p. 154ss ; M. Bergmann,
Grenzüberschreitender Datenschutz, Baden-Baden 1985, p. 73ss. ; L. N. Wochner, Der Persönlichkeitsschutz im
grenzüberschreitender Datenverkehr, Zurich, p. 133s; A. Macheret / J.-Ph. Walter, Réglementation des flux transfrontières de
données à caractère personnel, dans Informatique et Protection de la personnalité, Fribourg 1981, p. 217ss.
12
5
1. La Convention du Conseil de l’Europe pour la protection des personnes à
13
l’égard du traitement automatisé des données
1.1 Objectifs de la Convention
La Convention du Conseil de l’Europe pour la protection des personnes à l’égard du
traitement automatisé des données à caractère personnel a été adoptée par le Comité des
Ministres le 17 septembre 1980 et ouverte à la signature le 28 janvier 1981. Elle est entrée en
er
vigueur le 1 octobre 1985 avec la ratification de cinq Etats-membres, à savoir la France,
l’Allemagne, la Norvège, la Suède et l’Espagne. A ce jour, 29 Etats membres l’ont ratifiée14. La
Convention s’articule autour de trois axes :
ƒ les principes de base de la protection des données qui doivent être transposés en droit
interne ;
ƒ la réglementation des flux transfrontières de données ;
ƒ la coopération entre les Parties.
La Convention a pour objectif de concilier le droit au respect à la vie privée et la liberté
d’information, notamment le droit à la libre circulation des données sans considération de
frontières, libertés fondamentales énoncées aux articles 8 et 10 de la Convention
européenne des droits de l’homme. Elle tend également à faciliter l’entraide internationale
dans le domaine de la protection des données, limiter les risques de détournement des
législations nationales, assurer l’équivalence de traitement entre nationaux et étrangers,
encourager l’harmonisation des standards nationaux au bénéfice des personnes concernées
et des responsables de traitement, faciliter la communication internationale des données15.
La Convention veut accroître la protection des particuliers et de leurs droits sur le territoire
des Parties contractantes16.
Il nous paraît utile de rappeler que non seulement l’absence de législation de protection des
données, mais également les différences entre les législations existantes constituent des
entraves à la libre circulation des données et entraînent divers degrés de protection des
droits des personnes concernées, ainsi que des distorsions de concurrence au détriment des
Etats qui ont adopté un régime élevé de protection. Dès lors, l’harmonisation des législations
dont l’objectif est de permettre de garantir un haut niveau de protection des données dans le
respect des systèmes juridiques existants doit être encouragée. Ainsi, la Convention 108 fixe
le plancher minimum de protection que les législations des Etats parties doivent mettre en
place pour garantir le respect des droits et libertés fondamentales et notamment le droit à la
vie privée. Dans ce cadre là, le flux transfrontière de données doit être exempt d’entraves
dues à la protection des données. Elle laisse cependant aux Etats la possibilité d’avoir un
niveau de protection plus élevé en les autorisant également à s’en prévaloir au détriment du
17
libre flux transfrontière des données . La Convention n’exige ainsi pas l’équivalence des
niveaux de protection entre les législations des Etats parties, c’est-à-dire l’exclusion de la
différenciation des niveaux de protection. Elle exige néanmoins le respect d’un standard
minimum élevé et à équivalence de protection, la libre circulation des informations.
13
Pour une analyse de la Convention et de sa pertinence voir notamment J.-Ph. Walter, La Convention du Conseil de l’Europe
pour la protection des personnes à l’égard du traitement automatisé des données, dans A. Epiney / M. Freiermuth (édit.), La
protection des données en Suisse et en Europe, Fribourg, 1999, p. 83ss ; P. de Hert / E. Schreuders, La pertinence de la
Convention n° 108, dans Actes de la Conférence européenne sur la protection des données, Varsovie 19-20 novembre 2001,
Strasbourg 2002, p. 33ss ; O. Estadella Yuste, Pertinence des principes pour la protection des données énoncés dans la
Convention 108 et son protocole additionel, dans Actes précités, p. 49ss.
14
Tous les pays membres de l’Union européenne, ainsi que la Bulgarie, Chypre, République Tchèque, Estonie, Hongrie, Islande,
Lettonie, Lituanie, Norvège, Pologne, Roumanie, Slovaquie, Slovénie, Suisse,
http://conventions.coe.int/treaty/FR/searchsig.asp?NT=108&CM=8&DF=
15
R. J. Schweizer, Die Konvention des Europarates und die Richtlinien der OECD zum internationalen Datenschutz aus
schweizerischer Sicht, dans Informatique et Protection des la personnalité, Fribourg 1981, p. 257.
16
M.-H. Boulanger, C. de Terwangen, Th. Léonard, S. Louveaux, D. Moreau et Y. Poullet, La protection des données à caractère
personnel en droit communautaire, dans Journal des Tribunaux, Droit européen, Bruxelles 1997, p. 122.
17
Art. 11 et 12 de la Convention.
6
1.2 Flux transfrontières de données (art. 12)
Conscient des risques inhérents aux flux transfrontières de données, notamment lorsque le
transfert se fait vers un destinataire n’assurant pas un niveau de protection des données
conforme aux exigences de la Convention, les auteurs de la Convention ont prévu une
disposition particulière, l’article 12 qui règle spécifiquement la communication transfrontière
ou internationale de données. Cette disposition repose sur le principe selon lequel il ne
devrait pas y avoir de communications transfrontières de données en l’absence d’un niveau
de protection des données équivalent à celui du pays d’exportation des données. La
Convention ne donne pas de définition de la protection équivalente, à savoir « une protection
dont l’effet est pour l’essentiel semblable à celle du pays exportateur mais qui ne doit pas
18
nécessairement être identique à celle-ci, ni dans la forme, ni à tous autres égards. »
L’objectif poursuivi par cette disposition est de favoriser la libre circulation des données du
moins entre les Etats parties qui en ratifiant sont sensés remplir les exigences de la
Convention en ayant pris dans leur droit national les mesures nécessaires pour donner effet
19
aux principes de base pour la protection des données . Il doit s’agir d’une protection
similaire, c’est-à-dire de la même nature et ayant les mêmes effets20. En règle générale,
l’équivalence est présumée de par la ratification. Toutefois, il ne faut pas perdre de l’esprit
que la mesure de l’équivalence n’est pas donnée directement par la Convention, mais par le
21
droit national . En effet en l’absence d’un contrôle international prévu par la Convention –
qui au demeurant serait souhaitable – il revient à chaque Etat contractant d’apprécier
l’équivalence. L’Union européenne a mis en place une telle évaluation dans le cadre de
l’appréciation du niveau adéquat des pays tiers conformément à l’article 25 de la directive
95/46. Cette appréciation a débouché sur une reconnaissance d’adéquation pour deux pays
parties à la Convention la Hongrie et la Suisse. La commission ne procède pas – ou pas
encore – à une évaluation des législations des Etats membres22. En Suisse, le Préposé fédéral
à la protection des données établit une liste non exhaustive des pays qu’il considère
bénéficier d’une protection des données équivalente. C’est en principe le cas de tous les
pays contractants. D’autres pays, notamment l’Autriche et l’Espagne gèrent également une
telle liste.
L’article 12 de la Convention régit non seulement le transfert automatisé des données audelà des frontières nationales, mais également d’autres types de transferts « quel que soit le
support utilisé » de données à caractère personnel faisant l’objet d’un tel traitement ou
23
destinées à un tel traitement . La disposition couvre également la collecte de données par
dessus les frontières, notamment celle effectuée par un opérateur internet par exemple lors
de la visite d’un site par un utilisateur (cookies, etc.). Elle tient ainsi compte de tous les
24
25
modes de transfert . La notion de « flux transfrontière de données » couvre toute action qui
implique que des données échappent à la souveraineté d’un Etat pour être traitées dans un
autre Etat ou organisation. Elle nécessite au minimum que deux ordres juridiques différents
soient touchés. La notion contient trois éléments importants :
ƒ des données à caractère personnel font l’objet d’un traitement ou sont destinées à un tel
traitement ;
18
Exposé des motifs accompagnant les lignes directrices de l’OCDE du 23 septembre 1980 sur la protection de la vie privée et
les flux transfrontières de données de caractère personnel, n° 67
19
Art. 4 de la Convention
20
O. Chalazoniti, La protection de l’individu à l’égard des flux transfrontières de données à caractère personnel, une approche à
travers la Convention du Conseil de l’Europe du 28 janvier 1981, Aix-en-Provence 1990, p. 91.
21
Sp. Simitis, dans: Simitis u. a., Kommentar zum Bundesdatenschutzgesetz, § 1, N. 132.
22
Elle le fait par contre pour les pays membres de l’Espace Economique Européen et pour les candidats à l’adhésion.
23
Art. 12, chiffre 1. Voir aussi J.-Ph. Walter, Grenzüberschreitende Datenflüsse, dans R. J. Schweizer, (édit.) Das neue
Datenschutzgesetz des Bundes, Zürich 1993, p. 124s.
24
Rapport explicatif concernant la Convention pour la protection des personnes à l’égard du traitement automatisé des données
à caractère personnel, § 63, Strasbourg 1981.
25
J.-Ph. Walter, Grenzüberschreitende Datenflüsse, p. 125 et auteurs cités.
7
ƒ les données sont transférées ;
ƒ celui qui communique et le destinataire sont régis par des ordres juridiques différents.
Si l’entité qui communique par delà les frontières les données est également destinataire des
données ou si nous sommes en présence d’une communication en vue d’un traitement sur
mandat (sous-traitance), la communication demeure un flux transfrontière de données, car
au moins une phase du traitement se fait hors du champ d’application de la loi de l’Etat de
provenance des données. Le fait qu’une entreprise multinationale ou à caractère
international communique des données à une filiale ou un partenaire à l’étranger ne change
rien à la notion de flux transfrontière de données et aux obligations légales de protection des
données qui en découlent.
Aux termes de l’article 12, chiffre 2, « une partie ne peut pas, aux seules fins de la protection
de la vie privée, interdire ou soumettre à une autorisation spéciale les flux transfrontières de
données à caractère personnel à destination du territoire d’une autre partie. » Cette
disposition peut prêter à confusion. Toutefois, selon le rapport explicatif, l’expression « aux
seules fins de la protection de la vie privée » apporte une clarification importante dans ce
sens qu’un Etat contractant ne peut pas invoquer la Convention pour justifier une restriction
à des flux transfrontières de données pour des raisons qui n’ont rien à voir avec la protection
de la vie privée (par exemple des barrières déguisées au commerce). La raison fondamentale
de cette règle est que, tous les Etats contractants ayant souscrit au « noyau dur » des
dispositions en matière de protection des données énoncées au chapitre II, offrent un certain
26
niveau minimal de protection. » Cette disposition ne vise que les exportations de données
personnelles et non pas les importations qui sont soumises au droit de la protection des
27
données de l’Etat où aboutissent les données . L’article 12 ne s’oppose cependant pas à
l’introduction d’une obligation de déclaration aux fins d’information sur les flux
transfrontières de données ou à l’indication, lors d’une procédure de notification des fichiers
ou des traitements de données à caractère personnel, des destinataires réguliers de
données, tel que prévu à l’article 19 de la directive 95/49/CE. Elle ne s’oppose également pas
à l’introduction de règles matérielles régissant l’échange de données (par exemple respect
28
du principe de spécialité) .
L’article 12 de la Convention contient deux exceptions aux libres flux des données entre
Etats contractants. L’article 12, chiffre 3, lettre a permet, tout d’abord, de soumettre à des
conditions restrictives la communication transfrontière de données à caractère personnel
lorsque la législation nationale prévoit une réglementation spécifique pour certaines
catégories de données personnelles ou de fichiers automatisés en raison de la nature de ces
données ou fichiers. Une telle restriction ne pourra se justifier que si le pays destinataire
n’offre pas une protection équivalente pour ce type de traitement. Elle ne couvre pas
l’ensemble des transferts de données personnelles vers ce destinataire. La restriction vise en
29
particulier les données sensibles énumérées à l’article 6 de la Convention qui seraient
assujetties à des garanties spéciales méconnues de l’Etat destinataire. Elle couvre
également les traitements manuels ou concernant des personnes morales lorsque l’Etat a
usé de la faculté d’étendre le champ d’application de la Convention sur la base de l’article 3,
chiffre 2, lettres b et c. Ces restrictions ne peuvent par contre pas s’étendre à l’ensemble des
traitements de données effectués dans un Etat au motif que cet Etat soumet à autorisation
l’exportation ou au motif que l’Etat destinataire n’a pas d’autorité nationale chargée de veiller
26
Rapport explicatif, § 67.
Rapport explicatif, § 66.
28
R. J. Schweizer/J.-Ph. Walter, La Convention du Conseil de l’Europe sur la protection des données personnelles et la
réglementation des flux transfrontières de données, dans Droit de l’Informatique, 4 1986, p. 193 (Corrigendum dans 2 1987, p.
122). Ainsi l’article 19 de la loi fédérale sur la protection des données (LPD, RS 235.1, www.edsb.ch) qui règle la communication
de données personnelles par des organes fédéraux demeure applicable et un organe fédéral ne pourra notamment pas
communiquer à l’étranger des données personnelles par procédure d’appel en l’absence d’une base légale le prévoyant
expressément. La publication de liste d’adresses sur Internet nécessite ainsi une base légale expresse.
29
Rapport explicatif, § 69.
27
8
au respect des dispositions de la protection des données de manière indépendante. Dans ce
dernier cas, la situation devra vraisemblablement être jugée différemment lorsque le
protocole additionnel entrera en vigueur.
Les Etats contractants sont également légitimés à restreindre les flux transfrontières de
données vers un autre Etat contractant lorsque ces données concernent des traitements ou
des fichiers que l’Etat destinataire a soustrait au champ d’application de la Convention
30
conformément à l’article 3, chiffre 2, lettre a .
La deuxième exception est prévue à l’article 12, chiffre 3, lettre b. Elle vise le cas où des
données sont transférées vers un Etat non contractant en transitant par un Etat contractant.
Dans ce cas, des restrictions peuvent être introduites pour empêcher que la législation de
l’Etat d’où partent les données ne soit détournée.
Comme relevé auparavant, nous pouvons partir de l’idée qu’il y a entre les Etats parties une
présomption d’un niveau de protection équivalent. Par conséquent, il ne devrait pas y avoir
de restrictions générales dans les échanges de données personnelles. Du fait de l’absence
d’un contrôle préalable à la ratification, un Etat peut ratifier la Convention sans
nécessairement remplir les conditions de l’article 4 ou en les remplissant de manière
insuffisante. Dans un tel cas, nous estimons qu’il y a un intérêt légitime supérieur et qu’un
Etat contractant, par exemple par l’intermédiaire de son autorité de contrôle indépendante,
puisse interdire les transferts de données vers un destinataire situé dans un Etat ne
remplissant pas ou insuffisamment les conditions de l’article 4, à moins que le responsable
du traitement qui communique les données et le destinataire n’offrent des garanties
suffisantes.
L’article 12 de la Convention ne régit par contre pas expressément la communication de
données vers un Etat n’ayant pas ratifié la Convention. Cette lacune est corrigée par le
protocole additionnel. Toutefois nonobstant ce protocole que nous allons examiner ci-après,
nous pouvons déduire d’une interprétation a contrario de l’article 12, chiffre 2 qu’un Etat
contractant peut, voire doit soumettre à des restrictions les flux de données vers un Etat non
contractant qui ne garantirait pas une protection des données équivalente, c’est-à-dire
assurant un niveau de protection répondant aux exigences de la Convention. Il peut le faire
par exemple en soumettant à autorisation les transferts vers ces Etats. Cette interprétation
est confirmée par plusieurs recommandations du Conseil de l’Europe en matière de
protection des données qui prévoient que la communication de données vers des Etats
n’ayant pas ratifié la Convention est licite dans la mesure où ils offrent un niveau de
31
protection conforme aux principes de la Convention 108 . Il résulte néanmoins de l’absence
de dispositions explicites régissant les flux vers des Etats tiers un risque que des régimes par
trop différents soient mis en place et entrainent des restrictions supplémentaires entre les
Parties qui pourraient aller à l’encontre des objectifs de la Convention.
2. Protocole additionnel
Le protocole additionnel à la Convention pour la protection des personnes à l’égard du
traitement automatisé des données à caractère personnel concernant les autorités de
contrôle et les flux transfrontières de données a été adopté le 23 mai 2001 et ouvert à la
signature, le 8 novembre 2001. A ce jour, deux Etats (la Suède et la Slovaquie) l’ont ratifié et
18 autres l’ont signé. Seuls les Etats qui ont ratifié la Convention 108 peuvent adhérer au
protocole additionnel. L’objectif poursuivi par ce protocole est de renforcer la mise en œuvre
30
Art. 3 chiffre 4 et 5 de la Convention ; voir aussi R. Ellger, Der Datenschutz im grenzüberschreitenden Datenverkehr, BadenBaden 1990, p. 479ss.
31
Voir notamment la recommandation R (97) 5 sur la protection des données médicales, la Recommandation R (97) 18 sur la
protection des données à caractère personnel collectées et traitées à des fins statistiques et la Recommandation R (2002) 9 sur
la protection des données à caractère personnel collectées et traitées à des fins d’assurance.
9
des principes contenus dans la Convention, en particulier pour tenir compte de
l’augmentation croissante des flux transfrontières de données, notamment vers des
32
destinataires établis dans un Etat non contractant . « Cet accroissement des flux
transfrontières de données est dû en particulier à la multiplication et à la globalisation des
échanges internationaux ainsi qu’à l’évolution des diverses applications des progrès
technologiques … Or l’effectivité de cette protection implique une harmonisation au niveau
international, non seulement des principes fondamentaux de la protection des données mais
également, dans une certaine mesure, des moyens de mettre en œuvre ces principes – dans
un domaine en perpétuelle évolution et caractérisé par une très forte technicité – et des
conditions dans lesquelles les transferts de données à caractère personnel peuvent être
33
effectués à travers les frontières. » Ce renforcement concerne tout d’abord la nécessité
pour les parties de se doter d’une ou de plusieurs autorités chargées de veiller au respect
des dispositions nationales de protection des données. Ces autorités doivent agir de manière
indépendante et être dotées de compétences effectives, notamment d’investigation et
d’intervention. Ces autorités sont une « partie intégrante du système de contrôle de la
34
protection des données dans une société démocratique. » Il concerne ensuite les flux
transfrontières vers des pays tiers.
2.1 Niveau de protection adéquat
La circulation internationale des informations et notamment de données à caractère
personnel est une réalité et il est aujourd’hui difficilement envisageable et praticable de
dresser des barrières aux flux de données vers des pays qui ne remplissent pas encore les
standards européens en matière de respect de la vie privée. A l’instar de l’article 25 de la
directive 95/46/CE, le protocole additionnel pose en son article 2, chiffre 1 le principe selon
lequel « le transfert de données à caractère personnel vers un destinataire soumis à la
juridiction d’un Etat ou d’une organisation qui n’est pas Partie à la Convention ne peut être
effectué que si cet Etat ou cette organisation assure un niveau de protection adéquat pour le
transfert considéré. »
Contrairement à l’article 25 de la directive 95/46/CE, le protocole additionnel ne donne
aucune indication sur les critères d’appréciation du caractère adéquat du niveau de
protection. Cela tient au fait que les auteurs du protocole voulaient préserver le caractère
général de la Convention 108 et éviter des dispositions par trop détaillées. Cela découle aussi
de la difficulté de fixer dans un texte conventionnel des éléments d’interprétation qui sont
appelés à évoluer. Toutefois l’exposé des motifs se réfère à l’article 25 et donne quelques
éléments qui doivent aider le législateur national, les autorités de contrôle en matière de
35
protection et les responsables de traitement à évaluer le niveau de protection . En règle
générale, le niveau de la protection doit être évalué au cas par cas et pour chaque transfert
ou type de transfert. L’évaluation devrait prendre en considération l’ensemble des
circonstances relatives au transfert et notamment : « la nature des données, les finalités et la
durée des traitements pour lesquels les données sont transférées, le pays d’origine et le
pays de destination finale, les règles de droit, générales et sectorielles applicables dans l’Etat
ou l’organisation en question et les règles professionnelles et de sécurité qui y sont
respectées. »36 L’évaluation doit aussi tenir compte de la technique utilisée pour le traitement
des données et notamment de l’intégration des technologies de la vie privée (PET), y. c. des
outils mis à disposition des personnes concernées pour protéger leur vie privée dans un
contexte donné. L’évaluation n’a pas pour objectif d’imposer le système ou le mécanisme de
protection mis en place par la Convention et le protocole additionnel et repris dans le droit
32
Rapport explicatif au protocole, § 1 et 3.
Rapport explicatif au protocole, § 4.
34
Rapport explicatif au protocole, § 5.
35
Sur la notion d’adéquation, voir aussi Document de travail WP 12 sur les transferts de données personnelles vers des pays
tiers : application des articles 25 et 26 de la directive relative à la protection des données, adopté par le Groupe de travail de
l’article 29, le 24 juillet 1998, http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12fr.pdf
36
Rapport explicatif au protocole, § 27.
33
10
national des Etats contractants. Elle doit permettre d’apprécier si les objectifs de protection
poursuivis sont partagés par le pays tiers ou le destinataire dans le pays tiers. « En ce sens,
la notion de protection adéquate ne représente en aucune manière un affaiblissement de la
protection des données des personnes protégées … Au contraire, elle crée pour
l’évaluateur la nécessité, tout en ne perdant pas de vue les exigences qui fondent … le
besoin de protection, de prendre en considération les adaptations originales des modalités
de cette protection, adaptations proposées par les pays tiers. L’instrument méthodologique
doit laisser la place à cette variabilité de nature et de portée des solutions apportées, à cette
37
recherche de « similarité fonctionnelle ». » En pratique, il ne sera pas toujours aisé de
procéder à une évaluation au cas par cas. Les Etats développeront certainement des
pratiques tendant à reconnaître de manière générale à un Etat ou à une organisation un
niveau adéquat permettant en principe tous les transferts vers les destinataires de cet Etat.
Cette approche globale est plus conforme à la réalité actuelle des échanges transnationaux
de données à caractère personnel. Elle répond aux attentes des responsables de traitement.
Dans ce cadre, l’appréciation devra prendre en compte de la manière dont les principes de la
Convention 108 et de son protocole additionnel sont mis en œuvre ou respectés dans le
38
pays ou l’organisation destinataire . Il faudra également tenir compte des possibilités
offertes par la technologie en vue d’assurer la protection des données. Une attention
particulière doit enfin être prêtée aux possibilités pour les personnes concernées de
défendre leurs droits en cas de non respect dans un cas donné. Les avis du groupe de
l’article 29 de la directive européenne et les décisions d’adéquation de la commission en
application des articles 25 et 31 auront aussi une influence significative pour les Etats non
membres de l’Union européenne dans l’appréciation qu’ils feront du niveau adéquat d’un
pays tiers. Même si le protocole additionnel ne prévoit pas de mécanisme permettant au
comité consultatif de la Convention 108 de reconnaître qu’un pays tiers assure un niveau
adéquat de protection, ce comité devrait être appelé à jouer dans l’examen du niveau de
protection et pourrait émettre à l’avenir émettre des avis d’adéquation qui faciliteraient la
tâche des autorités nationales compétentes.
2.2 Dérogations
En l’absence d’un niveau de protection des données jugé adéquat, le transfert de données à
caractère personnel vers un pays tiers devrait être prohibé. Le protocole additionnel, à
l’instar de l’article 26 de la directive 95/46 CE prévoit cependant des dérogations. Ainsi aux
termes de l’article 2, chiffre 2, le transfert peut être autorisé si le droit interne de l’Etat
contractant d’où les données devraient être communiquées, le prévoit pour des intérêts
spécifiques de la personne concernée ou pour des intérêts légitimes, notamment des
intérêts publics importants, prévalant les intérêts de la personne concernée. Ces exceptions
devraient couvrir des cas d’espèce et non pas légitimer la communication régulière et
systématique de données vers des Etats tiers n’offrant pas de garanties suffisantes pour le
respect de la vie privée. Le transfert est également possible « si des garanties pouvant
notamment résulter de clauses contractuelles sont fournies par la personne responsable du
transfert, et sont jugées suffisantes par les autorités compétentes, conformément au droit
interne. » Ces garanties peuvent notamment découler de clauses contractuelles incluant les
39
éléments pertinents de la protection des données et notamment préserver les droits des
personnes concernées. Les auteurs du protocole ont adopté une formulation plus générale
et moins détaillée que l’article 26 de la directive européenne, notamment pour rester dans le
cadre et l’esprit de la Convention 108. Cette approche permet de couvrir l’ensemble des
exceptions prévues à l’article 26 de la directive. Elle permet en soi également à un Etat
37
Y. Poullet, Pour une justification des articles 4, 25 et 26 de la directive européenne 95/46/CE en matière de flux transfrontières
et de protection des données, op. cit.
38
Rapport explicatif au protocole, § 29.
39
Voir à ce propos le Guide relatif à l’élaboration des clauses contractuelles régissant la protection des données lors de
communications de données à caractère personnel à des tiers non soumis à un niveau de protection des données adéquat,
adopté par le T-PD lors de sa 18e réunion (9-11 oct. 2002) (annexe IV, doc. T-PD (2002) RAP 18).
11
contractant non membre de l’Union européenne d’être plus restrictif, par exemple en
excluant le consentement de la personne concernée ou de légitimer d’autres exceptions qui
pourraient se justifier en fonction des circonstances du traitement dans la mesure où elles
demeurent dans le cadre de l’article 2, chiffre 2 du protocole. Toutefois la marge de
manœuvre doit demeurer étroite. « Les règles pertinentes de droit interne doivent
néanmoins respecter le principe de droit inhérent à l’ordre juridique européen qui consiste à
interpréter les clauses d’exception de manière restrictive afin que l’exception ne devienne
pas la règle. Cet intérêt peut être de protéger un intérêt public important, tel que défini dans
le contexte de l’article 8 paragraphe 2 de la Convention européenne des droits de l’homme
et de l’article 9 paragraphe 2 de la Convention STE n° 108 ; l’exercice ou la défense d’un droit
en justice ; ou lorsqu’il s’agit de données extraites d’un registre public. Des exceptions
peuvent également être prévues pour répondre à des intérêts spécifiques de la personne
concernée, pour l’exécution d’un contrat conclu avec la personne concernée ou dans
l’intérêt de celle-ci, pour la protection de ses intérêts vitaux ou lorsqu’elle a donné son
consentement. Dans ce cas, avant de consentir, la personne concernée doit être informée
40
de manière appropriée du transfert envisagé.»
C. Réglementations des flux transfrontières au niveau national
La plupart des lois nationales de protection des données des Etats parties à la Convention
108 contiennent des dispositions particulières régissant les flux transfrontières de données
soumettant le transfert des données au-delà des frontières nationales au respect de
conditions spécifiques. En plus de ces conditions spécifiques, le préalable au transfert est
que le traitement des données et leur communication respectent les autres conditions
légales et notamment les principes de base de la protection des données définis aux articles
5 et suivants de la Convention. Du fait de la directive européenne et dans une certaine
mesure du protocole additionnel à la Convention 108, ces réglementations nationales ont un
point commun : le transfert est en règle générale possible si le destinataire des données est
soumis à un régime de protection des données assurant un niveau de protection adéquat. Le
transfert vers des pays n’assurant pas un niveau de protection adéquat est également
possible dans certaines circonstances et moyennant le respect de conditions déterminées.
Le système de la notification ou de l’autorisation préalable sont encore bien implantés.
L’approche contractuelle est également retenue dans la plupart des législations.
1. Suisse
1.1 De lege lata
41
La loi fédérale sur la protection des données du 19 juin 1992 (LPD) renferme une disposition
particulière régissant les flux transfrontières de données. La philosophie du législateur suisse
était d’éviter d’introduire un système par trop bureaucratique avec des obligations
d’annonce et d’autorisation préalable au transfert de données à l’étranger. Elle met la
responsabilité du respect des normes de protection des données sur les épaules de celui qui
traite, respectivement qui communique des données à l’étranger. Ainsi aux termes de
l’article 6, 1er alinéa LPD, « aucune donnée personnelle ne peut être communiquée à
l’étranger si la personnalité des personnes concernées devait s’en trouver menacée,
notamment du fait de l’absence d’une protection des données équivalente à celle qui est
garantie en Suisse. » C’est dès lors au responsable de traitement qu’incombe l’appréciation
du risque d’atteinte à la vie privée. Il doit tenir compte dans son appréciation en particulier
de la nature des données communiquées, de la qualité du destinataire, des finalités du
traitement et des mesures de sécurité. La loi lui donne néanmoins un critère d’appréciation :
40
41
Rapport explicatif au protocole, § 31.
RS 235.1, www.edsb.ch
12
l’existence ou la non existence d’une législation équivalente au droit suisse dans le pays
destinataire, c’est-à-dire une loi reprenant les principes de base de la protection des
données, garantissant les droits des personnes concernées et instaurant une autorité de
contrôle indépendante. Il découle de cette règle qu’en principe, il n’y a pas d’obstacles aux
transferts de données personnelles de la Suisse vers les Etats qui disposent d’une législation
assurant une protection des données équivalente, ce qui est en règle générale le cas des
Etats contractants à la Convention 108. Le Préposé fédéral à la protection des données
publie une liste indicative et non exhaustive des Etats ayant une législation équivalente. La
reconnaissance de l’équivalence de législation peut être limitée si le champ d’application
matériel n’est pas le même. Ainsi, si la loi du destinataire ne régit pas le traitement de
données concernant des personnes juridiques ou le traitement manuel des données, la
reconnaissance d’équivalence tombe pour ce type de traitement. Si le destinataire ne réside
pas dans un Etat doté d’une législation de protection des données équivalente, l’exportateur
n’est pas en droit de lui transmettre des données, si la communication constitue une
menace grave pour la personnalité des personnes concernées. L’exportation sera ainsi
possible si la protection des données fait l’objet d’un contrat ou si la personne concernée a
donné, en l’espèce, son consentement préalable, libre et en connaissance de cause. Le
consentement ne nous parait cependant pas dispenser le responsable du traitement de
prendre d’autres mesures pour garantir la protection des données. Le transfert pourra
également intervenir si l’exportateur justifie, en l’espèce, d’un intérêt privé ou public
prépondérant légitimant la communication des données en l’absence d’une protection
42
suffisante .
Dans certains cas, le transfert de fichiers est soumis à une déclaration préalable au Préposé
fédéral à la protection des données. Le transfert de fichier couvre également les
communications régulières de données, notamment les accès par procédure d’appel (par
ex. accès en ligne) et les transmissions de fichiers à un tiers mandaté pour effectuer un
traitement pour le compte de celui qui transmet le fichier. Selon l’article 6, alinéa 2, LPD,
cette déclaration intervient lorsque la communication a lieu à l’insu de la personne
concernée ou lorsqu’elle ne découle pas d’une obligation légale. L’obligation de déclaration
tombe si les données sont communiquées dans un Etat assurant un niveau de protection
équivalent pour autant qu’ils ne s’agissent pas de données sensibles ou de profils de la
personnalité. Elle tombe également lorsque les données sont communiquées à des fins ne
se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la
planification ou de la statistique, à condition que les résultats soient publiés sous une forme
ne permettant pas d’identifier les personnes concernées. En pratique, le système de la
déclaration n’a pas eu l’effet escompté, notamment du fait que le nombre de déclarations
reste minime par rapport au volume présumé des transferts et que d’autre part le Préposé
fédéral à la protection n’a pas les ressources suffisantes pour assurer un suivi des
déclarations.
1.2 De lege ferenda
La loi fédérale sur la protection des données est actuellement en cours de révision. Le projet
initial prévoit de revoir le régime des flux transfrontières de données, notamment pour le
mettre en parfaite conformité avec le protocole additionnel à la Convention 108 : exigence
d’un niveau de protection des données adéquat avec une énumération exhaustive des
exceptions, à savoir :
- Il existe des garanties suffisantes, notamment contractuelles, permettant d’assurer un
niveau de protection adéquat à l’étranger,
- le consentement de la personne concernée pour le cas d’espèce a été requis,
42
Art. 12 et 13 LPD: tel serait par exemple le cas d’une communication de données nécessaires à l’exécution d’un contrat de
voyage entre une agence de voyage suisse et la personne concernée désirant se rendre dans une île du Pacifique sud.
13
-
le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat pour
autant que les données concernent le co-contractant,
la communication est en l’espèce indispensable soit à la sauvegarde d’un intérêt public
prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice,
la communication est en l’espèce nécessaire pour protéger la vie ou l’intégrité corporelle
de la personne concernée,
la personne concernée a rendu les données accessibles à tout un chacun et ne s’est pas
opposée formellement au traitement,
la communication a lieu entre des personnes morales réunies sous une direction unique
et soumises à des règles uniformes sur la protection des données qui garantissent une
de protection appropriée.
Le projet prévoit d’abandonner le système de la déclaration préalable. Toutefois, le Préposé
fédéral à la protection des données sera informé des garanties prises pour assurer un niveau
de protection adéquat ou approprié. Il pourra, si nécessaire, intervenir et émettre des
recommandations.
2. Autres exemples de réglementations nationales
2.1 Autriche
43
Les § 12 et 13 de la loi sur la protection des données règlent le transfert de données à
l’étranger. En particulier et dans la mesure où le traitement est licite, il prévoit que les
données à destination des pays membres de l ‘Union européenne peuvent être
communiquées librement sauf s’il s’agit d’un transfert entre organes publics concernant des
domaines ne relevant du droit communautaire. Il n’y a également pas d’obstacle aux
transferts de données vers des Etats qui jouissent d’un niveau de protection adéquat. Ces
Etats sont recensés dans une ordonnance de la Chancellerie fédérale. Les transferts à
destination d’Etats sans niveau de protection adéquat sont par contre soumis à autorisation
préalable de la commission de la protection des données. La loi énumère en outre une série
de cas où nonobstant l’absence de niveau adéquat, le transfert est néanmoins possible sans
autorisation.
2.2 Belgique
44
Les articles 21 et 22 de la loi relative à la protection des données à caractère personnel
régissent le transfert de données vers des pays non membres de la Communauté
européenne. Le transfert ne peut avoir lieu que si le pays destinataire assure un niveau de
protection adéquat et pour autant que les autres dispositions légales de la protection des
données soient respectées. Le Roi peut interdire dans certaines circonstances la
communication de données personnelles vers des Etats non membres de la Communauté
européenne. Il prend au préalable l’avis de la Commission de la protection de la vie privée.
La loi énumère également les cas dans lesquels des transferts peuvent être envisagés en
l’absence d’un niveau de protection adéquat. Les exceptions sont identiques à celles
énumérées à l’article 26 de la directive 95/46/CE.
2.3 Italie
45
La loi sur la protection des données contient également des dispositions spécifiques sur les
flux transfrontières de données. L’article 6 prévoit en particulier que le traitement de
43
Bundesgesetz über den Schutz personenbezogener Daten (DSG 2002), http://www.bka.gv.at/datenschutz/
Version coordonnée de la loi relative à la protection des données à caractère personnel du 8 décembre 1992,
http://www.privacy.fgov.be/textes_normatifs/version_coordonnée.pdf
45
Loi du 31 décembre 1996 sur la Protection des personnes physiques et morales et d’autres organismes à l’égard du
traitement des données à caractère personnel, http://www.privacy.it/legge675frcoord.html
44
14
données personnelles qui sont conservées à l’étranger, mais qui sont effectués en Italie est
soumis aux dispositions de la loi italienne. En outre l’article 28 soumet à notification
préalable auprès du Garante à la protection des données, les transferts vers des Etats non
membres de l’Union européenne, ainsi que les transferts concernant des données sensibles
ou des données relevant du code de procédure pénale, même si le destinataire réside dans
un pays membre de l’Union européenne. Le transfert est interdit si la législation de l’Etat de
destination ou de transit des données n’assure pas un niveau de protection adéquat. Le
niveau doit être équivalent à la loi italienne s’il s’agit de données sensibles ou de données
relevant du code de procédure pénale. L’article 28, chiffres 4 et 6 de la loi énumère les
exceptions à l’interdiction de transfert qui se recoupent avec les dérogations de l’article 26
de la directive européenne et du protocole additionnel :
- la personne concernée a manifestement donné son consentement,
- le transfert est nécessaire à l’exécution d’un contrat auquel la personne concernée est
partie, pour des mesures précontractuelles prises à la demande de la personne
concernée ou pour la conclusion ou l’exécution d’un contrat passé en faveur de la
personne concernée,
- le transfert est nécessaire à la protection d’un intérêt public important,
- le transfert est nécessaire aux fins d’investigations pénales ou pour exercer ou défendre
un droit en justice,
- le transfert est nécessaire pour protéger la vie ou l’intégrité physique de la personne
concernée ou d’un tiers,
- le transfert est effectué suite à une requête d’accès aux documents administratifs ou à
une requête d’informations pouvant être extraites d’un registre public ou autres
documents accessibles au public,
- le transfert est autorisé par le Garante sur la base de garanties appropriées, notamment
d’ordre contractuel,
- le transfert vise une finalité scientifique ou statistique.
Les notifications sont en principe inscrites au registre des traitements et peuvent faire l’objet
de contrôles de la part du Garante.
2.4 Hongrie
En Hongrie également, les flux transfrontières de données personnelles font l’objet de
46
dispositions spécifiques dans la loi sur la protection des données . L’article 9 postule ainsi
une interdiction de transfert à l’étranger, à moins que la personne concernée y ait consenti
ou que le transfert soit autorisé par la loi et pour autant que le destinataire des données
obéisse aux mêmes principes de protection des données que ceux énoncés dans la loi.
2.5 République Tchèque
47
Aux termes de l’article 27 de loi sur la protection des données , les données personnelles ne
peuvent être communiquées à l’étranger que dans la mesure où la législation du pays dans
lequel elles seront traitées correspond aux exigences de la loi tchèque. Tout comme d’autres
lois, l’article 27 énonce des exceptions au principe de l’équivalence. Ces dérogations sont
pour l’essentiel similaires à celles de l’article 26 de la directive européenne. En outre, la loi
prévoit que le responsable du traitement doit requérir une autorisation de transfert auprès
de l’Office de la protection des données. Cette autorisation peut concerner une
communication isolée ou plusieurs transferts. L’autorisation doit être délivrée sans délais et
est limitée dans le temps. Les transferts prévus dans une loi spéciale ou reposant sur un
traité international ne sont pas soumis à autorisation.
46
Act n° LXIII of 1992 on Protection of Personal Data and Disclosure of Data of Public Interest,
http://www.obh.hu/adatved/indexek/AVTV-EN.htm
47
Act N° 101 of 4 April 2000 on Protection of the Personal Data and on Amendments to Some Related Acts,
http://www.uoou.cz/eng/legisl.php3
15
2.6 Lituanie
er
Le transfert de données à l’étranger est en principe soumis à autorisation (art. 24, 1 al. loi
48
sur la protection des données ). L’autorisation est délivrée par l’autorité en charge de veiller
au respect de la loi (autorité de surveillance). L’autorité délivre une autorisation lorsque le
destinataire des données est soumis à une législation assurant un niveau de protection des
données adéquat. L’autorisation peut également être accordée si le transfert fait l’objet d’un
contrat fixant les obligations du destinataire des données afin d’assurer la protection des
données transférées. La loi prévoit également des dérogations à l’obligation d’autorisation
lorsque :
- la personne concernée a consenti au transfert,
- les données sont nécessaires à la conclusion ou à l’exécution d’un contrat entre le
responsable du traitement et un tiers,
- les données sont nécessaires à l’exécution d’un contrat auquel la personne concernée
est partie,
- le transfert est nécessaire aux intérêts de l’Etat,
- les données sont nécessaires pour une procédure judiciaire,
- les données sont nécessaires à la sauvegarde des intérêts vitaux de la personne
concernée,
- les données sont nécessaires pour prévenir ou éclaircir un crime,
- la communication résulte d’un accord international auquel la Lituanie est partie.
2.7 Pologne
49
La loi sur la protection des données régit également spécifiquement les flux transfrontières
de données. Aux termes de l’article 47, 1er alinéa, le transfert de données personnelles est
licite dans la mesure où le pays de destination des données assure au moins un niveau de
protection équivalent à celui de la loi polonaise. Cette exigence d’équivalence tombe si la
communication est prévue par une loi spéciale ou par un accord international. En outre, le
50
responsable du traitement peut communiquer des données si :
- la personne concernée y a consenti par écrit,
- le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le
responsable de traitement ou à l’exécution de mesures prises à la demande de la
personne concernée,
- le transfert est nécessaire à l’exécution d’un contrat conclu dans l’intérêt de la personne
concernée,
- le transfert est nécessaire ou requis par un intérêt public légitime ou pour l’exercice d’un
droit en justice,
- le transfert est nécessaire pour protéger les intérêts vitaux de la personne concernée,
- le transfert porte sur des données qui ont été rendues publiques.
En outre, l’Inspecteur général de la protection des données peut autoriser le flux
51
transfrontière dans d’autres cas .
2.8 Espagne
52
Les articles 33 et 34 de la loi sur la protection des données régissent les flux transfrontières
de données. Ces dispositions sont complétées par une instruction de l’agence de la
48
Law on Legal Protection of Personal Data (11 June 1996, No. I-1374, New version 17 July 2000, No. VIII1852, As last amended on 20 June 2002, No. IX-970), http://www.ada.lt/en/docs/lawonlegalprot.doc
49
50
51
Act of August 29, 1997 on the Protection of Personal Data, http://www.giodo.gov.pl/English/Bgiw1220.htm
Art. 47, 3e alinéa.
Art. 48.
16
protection des données régissant les flux internationaux de données53. Cette instruction
clarifie la procédure suivie par l’Agence de protection des données dans le traitement des
flux transfrontières de données.
Le principe retenu par la loi espagnole est que le transfert, temporaire ou permanent, ne
peut intervenir que si le destinataire réside dans un pays qui assure un niveau de protection
des données comparable à celui de la législation espagnole. Dans les autres cas, le transfert
doit faire l’objet d’une autorisation préalable de l’Agence espagnole de la protection des
données. Cette autorisation n’est délivrée que si le destinataire offre des garanties
adéquates, notamment d’ordre contractuel. La loi précise les critères à prendre en compte
pour définir le caractère adéquat en tenant compte des circonstances entourant les données
ou les catégories de données à transférer : nature des données, finalité et durée du
traitement, pays d’origine des données et pays de destination des données, législation en
vigueur dans le pays tiers, les rapports de la Commission européenne, ainsi que les règles
professionnelles et les mesures de sécurité en vigueur dans le pays tiers. L’autorisation
n’est par contre pas nécessaire si le transfert est destiné à un destinataire situé dans un Etat
membre de l’Union européenne ou d’un pays que la commission européenne a déclaré
54
bénéficier d’un niveau de protection adéquat . Dans tous les cas, le transfert ne peut avoir
lieu que s’il est conforme aux autres exigences de la loi et notamment aux conditions de
licéité du traitement et de respect des droits des personnes concernées (en particulier
l’information préalable des personnes concernées). Le transfert doit également être
mentionné lors de la notification du fichier en vue d’enregistrement dans le registre général
de la protection des données55.
La loi espagnole prévoit en outre d’autres dérogations à l’autorisation (art. 34) lorsque :
- le transfert résulte d’un accord international auquel l’Espagne est partie,
- le transfert est nécessaire à des fins médicales ou de santé,
- le transfert de données concerne des mouvements financiers,
- la personne concernée y a consenti de manière indubitable,
- le transfert est nécessaire pour la conclusion ou l’exécution d’un contrat conclu ou à
conclure dans l’intérêt de la personne concernée, entre le responsable du traitement et
un tiers,
- le transfert est nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un
intérêt public,
- le transfert est nécessaire à la constatation, l’exercice ou la défense d’un droit en justice,
- le transfert intervient à la demande d’une personne justifiant d’un intérêt légitime et les
données proviennent d’un registre public.
2.9 Suède
Le régime des flux transfrontières de données en Suède repose également sur l’exigence
d’un niveau de protection des données adéquat. Le système de l’autorisation préalable qui
prévalait avant la transposition de la directive européenne a été abandonné. Aux termes de
er
56
l’article 33, 1 alinéa de loi sur la protection des données , le transfert de données
personnelles à des pays tiers est interdit à moins que ce pays n’assure un niveau de
protection des données adéquat. La loi définit, de manière similaire à d’autres lois et
notamment la loi espagnole et à l’article 25 de la directive européenne, les critères
52
Organic Law 15/1999 of 13 December ont the Protection of Personal Data,
https://www.agenciaprotecciondatos.org/ley_15_ingles_v2_pdf.pdf
53
Instruction 1/2000 of 1 December 2000 issued by the Data Protection Agency on the rules governing international data
movements, https://www.agenciaprotecciondatos.org/instruccion_1-2000_ingles_pdf.pdf
54
55
56
Art. 34, lettre k. C’est le cas de la Hongrie et de la Suisse.
Art. 26, alinéa 2.
Personal Data Act (1998:204), http://www.datainspektionen.se/in_english/default.asp?content=/in_english/start/start.shtml
17
d’appréciation de l’adéquation. La loi précise également qu’il est possible de communiquer
des données vers des Etats parties à la Convention 108.
A l’instar d’autres lois, l’article 34 précise les dérogations à l’exigence du niveau adéquat, à
savoir lorsque les données sont nécessaires à:
- l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou
pour prendre des mesures précontractuelles à la demande de la personne concernée,
- la conclusion ou l’exécution d’un contrat dans l’intérêt de la personne concernée, entre
le responsable du traitement et une partie tiers,
- la constatation, l’exercice ou la défense d’un droit en justice,
- la protection des intérêts vitaux de la personne concernée.
En outre, la loi prévoit une délégation au Gouvernement pour prévoir d’autres dérogations au
transfert de données vers certains Etats, lorsque le transfert est régi par un contrat offrant
des garanties suffisantes pour protéger les droits des personnes concernées, lorsque le
transfert répond à un intérêt public important ou lorsqu’il y a d’autres garanties suffisantes
57
pour protéger les droits des personnes concernées. Ces exemptions sont prévues dans
l’ordonnance d’application de loi58. Les données peuvent notamment également être
communiquées vers des Etats reconnus adéquat par la Commission européenne ou lorsque
des clauses contractuelles conformes aux contrats type de la Commission européenne sont
utilisées.
D. Rôle des autorités de protection des données
Les tâches des autorités de protection des données en matière de flux transfrontières de
données sont définies dans les lois nationales. A la lumière de l’examen de différentes lois
nationales, nous pouvons recenser les tâches et compétences qui sont celles plus ou moins
de l’ensemble des autorités, à savoir :
-
-
-
-
Examen des notifications ou déclarations de transfert avec dans certains pays
l’enregistrement de la notification dans le registre des traitements, voire la délivrance
d’une autorisation de transfert ;
Investigation sur la conformité aux exigences légales avec le cas échéant exercice des
pouvoirs d’intervention dévolus à l’autorité (recommandation, décision et parfois
sanction ou dénonciation à l’autorité judiciaire compétente) ;
Evaluation du niveau adéquat de protection de cas en cas et/ou de manière générale,
avec dans certains Etats l’établissement d’une liste des Etats dotés d’une législation de
protection des données garantissant ce niveau de protection des données adéquat ;
Examen des clauses contractuelles ou d’autres garanties propres à assurer la protection
des droits des personnes concernées ;
Adoption de recommandations générales ou d’instructions (avec parfois une valeur
normative) ;
Information des personnes concernées sur leurs droits ;
Information des responsables de traitement sur leurs obligations ;
Collaboration avec les autorités de protection des données d’autres Etats, notamment
conformément aux articles 13 et suivants de la Convention 108 et à l’article 1, chiffre 5 du
Protocole additionnel.
Même si la Commission européenne avec la collaboration active du groupe de l’article 29, le
Comité consultatif du Conseil de l’Europe ou la Conférence européenne des commissaires à
57
Art. 35.
Articles 12 et 13 Personal Data Ordinance (1998:1191),
http://justitie.regeringen.se/inenglish/_issues/dataprotection/personal_data_ordinance.pdf
58
18
la protection des données et notamment son groupe de travail sur les plaintes permettent de
renforcer la collaboration internationale et de développer des instruments permettant une
approche commune de la gestion des flux transfrontières de données, l’action des autorités
nationales de protection des données est encore très axée sur une approche nationale des
problèmes. En outre la plupart des autorités nationales de protection des données
concentrent leurs activités sur le traitement des notifications et des plaintes et adoptent en
cela une attitude réactive et par trop juridique de la protection des données.
Cette approche réactive voulue par le législateur permet-elle réellement de garantir le
respect de la vie privée lors du traitement de données personnelles qui est l’objectif de
l’ensemble de nos législations ? La loi, aussi bonne fusse-t-elle, ne permet pas de garantir le
respect de la vie privée. La loi permet de chercher des solutions qui elles garantiront le
respect des droits et des libertés fondamentales lors du traitement de données personnelles.
Or les autorités nationales de protection des données, à l’instar nous semble-t-il de nos
collègues espagnoles, ne devraient-elles pas à l’avenir jouer un rôle pro-actif dans l’exercice
de leurs tâches de surveillance ? En d’autres termes, si le principe selon lequel le transfert
de données à caractère personnel effectué par un responsable de traitement situé dans un
Etat partie à la Convention 108 vers un destinataire dans un Etat tiers ne peut intervenir que
si cet Etat assure un niveau de protection des données adéquat est fondamental et ne doit
pas être remis en question, le rôle des autorités nationales de protection des données ne
devraient pas se limiter à vérifier le respect des conditions légales préalables au transfert
pour permettre de concrétiser ce principe.
En matière de flux transfrontières de données, l’objectif que nous poursuivons dans
l’exercice de nos tâches est d’éviter que les individus se trouvent dépourvus de toute
protection dès le moment où les données à caractère personnel quittent notre territoire et
par conséquent notre sphère de compétences. Cet objectif n’est par contre pas d’empêcher
les échanges d’informations, ce qui dans un monde globalisé serait illusoire. Même si en
l’absence d’une réglementation de protection des données déployant ses effets au-delà du
continent européen, il est possible et nécessaire de trouver un rattachement au territoire
national pour l’ensemble ou du moins une grande majorité des flux transfrontières de
données issus de ce territoire et ainsi de pouvoir sanctionner les violations de nos
59
dispositions légales , il nous paraît tout aussi nécessaire de développer une politique qui
promeut la reconnaissance et le respect universels des principes de la protection des
données qui découlent de la Convention 108 et des Lignes directrices de l’OCDE et qui
permet aux personnes concernées d’exercer effectivement leurs droits.
La protection des données est un droit fondamental de l’Homme et une condition du
fonctionnement d’une société démocratique. Elle est une condition essentielle pour
permettre la libre circulation des informations. Dans cette perspective, la collecte et le
traitement des données doit respecter le droit à l’autodétermination en matière
d’informations des personnes. Nos réglementations nationales et internationales de
protection des données contiennent les règles nécessaires à permettre l’exercice de ce droit
à l’autodétermination. Notre rôle en tant qu’autorité de surveillance est de veiller à ce que
ces règles soient respectées et intégrées dans les processus de traitements des données et
les systèmes d’informations, notamment en favorisant le recours aux technologies pour
intégrer les principes de base de la protection des données (PET).
L’action des autorités nationales de protection des données doit ainsi s’attacher à
sensibiliser les personnes concernées et les responsables de traitement aux risques liés aux
flux transfrontières de données. Cela passe par :
- une politique d’information active,
59
Voir à ce sujet notamment M. Pinet, op. cit.
19
-
-
une évaluation des risques et l’élaboration d’ « outils » pour permettre de réaliser les
exigences de la protection des données et diminuer les risques d’atteinte aux droits des
personnes concernées,
un contrôle et le cas échéant la prise de sanctions,
une intensification de la collaboration internationale.
Si nous voulons que la protection des données soit réellement effective, notamment dans le
cadre des flux transfrontières de données, nous ne pouvons pas uniquement nous
concentrer sur le traitement des plaintes. Pour pouvoir répondre aux défis de la
globalisation, nous devons mettre l’accent sur la prévention en axant nos actions sur l’étude
des secteurs à risque avec pour objectif de définir les exigences de protection des données
adapter à ces secteurs et proposer des solutions pour leur permettre de continuer à
fonctionner en tenant compte des exigences de la protection des données. Cette action
préventive doit aussi s’attacher à définir et à promouvoir des outils permettant à l’individu de
protéger sa vie privée. Elle doit encourager les responsables de traitement à prendre leur
responsabilité et à développer et utiliser des instruments, comme l’audit de protection des
données, les incitant à mettre leur organisation et leur processus de traitements en
conformité avec les exigences légales.
L’effectivité de la protection des données passe ensuite par des contrôles a posteriori pour
vérifier le respect des exigences légales et le cas échéant sanctionner les abus.
Cette approche doit être accompagnée d’une politique active d’information, non seulement
pour attirer l’attention sur les risques, mais également pour communiquer les exigences de
protection des données et les moyens de concrétiser ces exigences. Les abus graves doivent
également être dénoncés et faire l’objet d’une publicité adéquate pour éviter les récidives.
Enfin, il faut également faire de la publicité pour les produits ou les systèmes qui sont
conformes à la protection des données. Les « bons élèves » méritent également d’être
signalés.
La définition des exigences et les solutions préconisées nécessitent une concertation avec
tous les acteurs concernés. Ils doivent pouvoir faire valoir leur point de vue et être en
mesure d’eux-mêmes de proposer des solutions de concrétisation des principes de la
protection des données. Il est en effet préférable que les solutions viennent des
responsables de traitement que de leur imposer des exigences qu’ils ne sont pas prêts à
accepter.
Enfin, nous devons renforcer la collaboration internationale entre les autorités de protection
des données et coordonner nos forces, qui pour beaucoup d’entre-nous sont restreintes,
pour œuvrer à améliorer la protection des données en Europe et au-delà. En ce sens, il ne
serait pas inutile que la Conférence européenne des commissaires à la protection des
données puisse se doter d’une structure permanente sous forme d’un secrétariat restreint.
20
RÉSUMÉ
La communication des données en-dehors du champ d’application d’une loi nationale de
protection des données risque d’affaiblir considérablement la protection des données. Cette
communication limite en particulier les droits découlant du respect de la vie privée si le
destinataire n’est pas lui-même soumis à des normes de protection des données suffisantes
découlant notamment des standards de la Convention du Conseil de l’Europe pour la
protection des personnes à l’égard du traitement automatisé des données à caractère
personnel (Convention 108) et de son protocole additionnel sur les autorités de contrôle et
les flux transfrontières de données. Les personnes concernées et les autorités de contrôle se
voient ainsi démunies du fait de la perte de maîtrise sur les données qui échappent lors de
leur transfert aux dispositions nationales de protection des données. Il est dès lors important
que les flux transfrontières de données à caractère personnel soient encadrés et que les
autorités de protection des données soient en mesure de veiller à ce que les principes de la
protection des données soient pris en compte lors de transferts pour garantir le respect de la
vie privée des individus et des droits qui en découlent.
Dans un monde interdépendant et dans lequel l’échange d’informations joue un rôle
fondamental, la recherche de solutions internationales s’est rapidement avérée nécessaire,
notamment pour éviter l’érection de barrières qui loin d’être efficaces pouvaient freiner ou
paralyser certaines activités transfrontières. Le Conseil de l’Europe et l’OCDE allaient dans ce
contexte jouer un rôle phare dans l’élaboration d’une réglementation internationale et dans
l’harmonisation des législations nationales. Avec l’adoption de la directive 95/46/CE relative à
la protection des personnes physiques à l’égard du traitement des données à caractère
personnel et à la libre circulation de ces données, l ‘Union européenne a contribué à
renforcer l’harmonisation des législations nationales des Etats membres et à créer un espace
permettant d’échanger des données sans considération de frontières.
Non seulement l’absence de législation de protection des données, mais également les
différences entre les législations existantes constituent des entraves à la libre circulation des
données. Dès lors, l’harmonisation des législations dont l’objectif est de permettre de
garantir un haut niveau de protection des données dans le respect des systèmes juridiques
existants doit être encouragée. Ainsi, la Convention 108 fixe le plancher minimum de
protection que les législations des Etats parties doivent mettre en place pour garantir le
respect des droits et libertés fondamentales et notamment le droit à la vie privée. Dans ce
cadre là, le flux transfrontière de données doit être exempt d’entraves dues à la protection
des données. La Convention exige le respect d’un standard minimum élevé et à équivalence
de protection, la libre circulation des informations. L’article 12 de la Convention 108 repose
sur le principe selon lequel il ne devrait pas y avoir de communications transfrontières de
données en l’absence d’un niveau de protection des données équivalent à celui du pays
d’exportation des données. Il postule en principe le libre flux entre Etats contractants. Par
contre, il ne régit pas expressément la communication de données vers un Etat n’ayant pas
ratifié la Convention. Le protocole additionnel à la Convention comble cette lacune et tend à
renforcer la mise en œuvre des principes contenus dans la Convention. Ainsi, le transfert de
données à caractère personnel vers un destinataire soumis à la juridiction d’un Etat ou d’une
organisation qui n’est pas Partie à la Convention ne peut, en principe, être effectué que si cet
Etat ou cette organisation assure un niveau de protection adéquat pour le transfert des
données.
La plupart des lois nationales de protection des données des Etats parties à la Convention
108 contiennent des dispositions spécifiques régissant les flux transfrontières de données
soumettant le transfert des données au-delà des frontières nationales au respect de
conditions spécifiques. Ces réglementations nationales ont un point commun : le transfert
est en règle générale possible si le destinataire des données est soumis à un régime de
protection des données assurant un niveau de protection adéquat. Le transfert vers des pays
21
n’assurant pas un niveau de protection adéquat est également possible dans certaines
circonstances et moyennant le respect de conditions déterminées. Le système de la
notification ou de l’autorisation préalable sont encore bien implantés. L’approche
contractuelle est également retenue dans la plupart des législations.
Les tâches des autorités de protection des données en matière de flux transfrontières de
données sont définies dans les lois nationales.
La plupart des autorités nationales de protection des données concentrent leurs activités sur
le traitement des notifications et des plaintes et adoptent en cela une attitude réactive et par
trop juridique de la protection des données. Les tâches de surveillance des autorités de
protection des données devraient évoluer vers une approche pro-active.
L’objectif des autorités de protection des données est d’éviter que les individus se trouvent
dépourvus de toute protection dès le moment où les données à caractère personnel quittent
le territoire national et leur sphère de compétences. Cet objectif n’est par contre pas
d’empêcher les échanges d’informations. Il est nécessaire de développer une politique qui
promeut la reconnaissance et le respect universels des principes de la protection des
données qui découlent de la Convention 108 et des Lignes directrices de l’OCDE et qui
permet aux personnes concernées d’exercer effectivement leurs droits.
Les réglementations nationales et internationales de protection des données contiennent les
règles nécessaires à permettre l’exercice de ce droit à l’autodétermination. Le rôle des
autorités de surveillance est de veiller à ce que ces règles soient respectées et intégrées
dans les processus de traitements des données et les systèmes d’informations, notamment
en favorisant le recours aux technologies pour intégrer les principes de base de la protection
des données (PET).
L’action des autorités nationales de protection des données doit ainsi s’attacher à
sensibiliser les personnes concernées et les responsables de traitement aux risques liés aux
flux transfrontières de données. Cela passe par :
- une politique d’information active,
- une évaluation des risques et l’élaboration d’ « outils » pour permettre de réaliser les
exigences de la protection des données et diminuer les risques d’atteinte aux droits des
personnes concernées,
- un contrôle et le cas échéant la prise de sanctions,
- une intensification de la collaboration internationale.