Quatrième épisode d’une série sur les droits et obligations de l’entreprise en matière de données personnelles.
Selon la Cnil, il faut entendre par transfert de données vers un pays tiers « toute communication, copie ou déplacement de données par l’intermédiaire d’un réseau, ou toute communication, copie ou déplacement de ces données d’un support à un autre, quel que soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans le pays destinataire ».
Sont ainsi concernées des opérations telles que la centralisation intra-groupe de la base de données de gestion des commandes et de la comptabilité clients, la centralisation intra-groupe de la base de données « ressources humaines », impliquant le transfert des données de l’intégralité du personnel, un transfert vers un prestataire aux fins de saisie informatique de dossier manuels… Cependant, il a été reconnu par un arrêt Lindqvist de la Cour européenne de justice, en date du 6 novembre 2003, que ne constituait pas un tel transfert de données vers un pays tiers, l’inscription de données personnelles relatives à des individus sur une page internet, rendant, de ce fait, ces informations accessibles à des individus dans des pays tiers. De même, l’hypothèse dans laquelle une personne communique, de son propre chef, des informations la concernant à une entité située dans un pays tiers ne suffit pas à caractériser un tel transfert.
De telles opérations ne suivent cependant pas le même régime selon que les données sont transférées vers un pays de l’Union Européenne ou en dehors de l’Union Européenne. Dans le premier cas, la protection des données à caractère personnel ayant été harmonisée à l’échelle européenne par la directive 95/46 du 24 octobre 1995, le transfert de données personnelles, qu’il soit effectué sur le territoire national français, ou vers un Etat membre de l’Union européenne, doit en principe répondre aux mêmes exigences, c’est-à-dire le respect des dispositions de la directive précitée. Le niveau de protection accordé au transfert de telles données est en effet identique pour tous les pays de l’Union européenne. Par conséquent, le transfert n’est pas assujetti à des conditions particulières. Le même régime s’applique aux pays de l’espace économique européen (Lichtenstein, Norvège, Islande).
Dans le cas où le transfert se fait vers un pays hors de l’Union européenne, la règle de base est claire : en vertu de l’article 25 de la directive 95/46/CE, le transfert de données ne peut se faire que si le pays tiers assure un niveau de protection adequat. C’est également la règle énoncée par les articles 68 à 70 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, telle que modifiée par la loi du 6 août 2006 (ci-après « loi informatique et libertés ») qui prévoit qu’ « un responsable de traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection adéquat ou suffisant de la vie privée ou des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet ». Il convient de préciser que ces règles s’appliquent uniquement pour les traitements transférés à partir de la France vers les Etats tiers. En effet, elles n’ont pas vocation à encadrer les transferts issus de pays tiers vers le territoire français. Toutefois, ces dispositions seront applicables si ces données importées sur le territoire français quittent à nouveau la France, à destination d’un Etat tiers.
Ces précisions données, la difficulté consiste donc à déterminer si le pays destinataire, hors Union européenne, dispose bien d’un niveau de protection suffisant et « adéquat » (1). Dans tous les cas, le responsable du traitement concerné par le transfert, devra respecter les formalités préalables qui s’imposent, conformément à la loi « loi informatique et libertés » (2).
Encore faut-il désigner le « responsable du traitement » dans la mesure où le destinataire des données personnelles peut être un simple « sous-traitant ». Une telle qualification emporte des conséquences importantes sur les obligations incombant au destinataire, en matière de protection des données personnelles qu’il est utile de rappeler (3).
1 – Niveau de protection adéquat du pays destinataire.
Confronté à un projet de transfert de données à caractère personnel, le responsable du traitement doit s’assurer que le destinataire offre le niveau de protection « adequat » exigé tant par la directive européenne que par la loi informatique et libertés. A défaut, le transfert est interdit.
Plusieurs solutions existent :
– lorsque le destinataire est localisé dans un pays reconnu par la Commission européenne comme mettant en oeuvre une protection adéquate, en raison de sa législation interne ou d’engagements internationaux. Dans ce cas, les transferts de données dont les destinataires entrent dans le champ d’application de ces décisions dites d’ « adéquation » ne font pas l’objet d’un encadrement spécifique et les traitements de données à caractère personnel ne sont pas soumis à autorisation de la Commission nationale de l’information et des libertés (Cnil). Toutefois, les responsables de traitement ne sont pas exonérés de formalités préalables à la mise en oeuvre du traitement principal dont ces transferts sont issus (voir 2 – ci-après).
Plusieurs décisions d’adéquation ont ainsi été rendues par la Commission européenne : décision C(2003)1731 du 30 juin 2003 (Argentine), décision 2002/2/EC du 20 décembre 2001 (Canada – toutefois, cette décision autorise uniquement les transferts de données personnelles à destination de sociétés canadiennes pouvant être qualifiées de responsables de traitement et soumises à la loi sur la protection des renseignements personnels et les documents électroniques, du 13 avril 2000. Les cas de sous-traitance ne rentrent pas dans le champ d’application de cette décision et doivent, par conséquent, être encadrés par contrat), décision du 21 novembre 2003 (Guernesey), décision 2004/411/CE du 28 avril 2004 (Ile de Man), décision 2000/518/EC du 26 juillet 2000 (Suisse). Lorsque le transfert s’opère entre un responsable de traitement et un sous-traitant, la Commission européenne a émis une décision, en date du 27 décembre 2001 et lorsque le transfert est effectué entre responsables de traitement, la Commission européenne a adopté deux décisions, la première en date du 15 juin 2001 et la seconde, en date du 7 janvier 2005.
– lorsque le destinataire est localisé aux Etats-Unis et a adhéré aux principes du Safe Harbor (ou sphère de sécurité). Il bénéficie à ce titre de la décision 2000/520/EC du 26 juillet 2000. Le Safe Harbor est un dispositif, mis en place aux Etats-Unis, par lequel les entreprises américaines aux Etats-Unis peuvent volontairement s’auto-certifier comme adhérant aux principes énumérés de protection des données personnelles et de protection de la vie privée, négociés entre les autorités américaines et la Commission Européenne, et publiés par le Ministère du Commerce des Etats-Unis. Les sociétés adhérentes au Safe Harbor doivent toutefois effectuer des démarches supplémentaires afin que les données concernant le personnel des sociétés exportatrices soient couvertes par ce dispositif. Par ailleurs, les responsables de traitement, situés en France, doivent fournir à la Cnil, pour tout transfert de données personnelles, à destination de sociétés américaines adhérentes au Safe Harbor, les extraits pertinents de la « Safe Harbor List ».
– lorsque le destinataire offre les garanties de protection exigées. Cette appréciation peut se faire au regard des éléments énumérés par la loi informatique et libertés, notamment l’examen des dispositions en vigueur dans l’Etat en question, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, ses fins, sa durée, ainsi que la nature l’origine et la destination des données traitées. Le législateur a énuméré les cas dans lequel il est possible d’opérer un transfert de données : « la personne à laquelle se rapportent les données a consenti expressément à leur transfert » ou encore dans le cas où le transfert « est nécessaire à l’une des conditions suivantes » : la sauvegarde de la vie de cette personne ; la sauvegarde de l’intérêt public ; le respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ; la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime. Par ailleurs, au titre des exceptions, le transfert peut être autorisé à condition de conclure avec le destinataire un contrat veillant au respect de mesures de protection essentielles.
A ce titre, la Commission européenne a émis des clauses contractuelles types, lesquelles peuvent servir de référence aux fins d’encadrer un transfert de données personnelles vers un pays n’assurant pas un niveau de protection des données personnelles suffisant. En effet, le recours à ces clauses tend à limiter les blocages et les incertitudes qui pourraient être entraînés par la mise en oeuvre d’une procédure de transfert. Le contenu de ces clauses peut toutefois être aménagé. Dès lors que la protection garantie par ces clauses n’est pas altérée, les modifications mises en oeuvre ne font pas obstacle à l’octroi des avantages résultant de l’utilisation de clauses types. Par ailleurs, s’il n’est pas interdit de recourir à d’autres clauses contractuelles, l’utilisation des clauses contractuelles types, édictées par la Commission européenne, présente certains avantages en termes de sécurité juridique. En effet, dès lors que le transfert de données est considéré comme légitime et que la mise en oeuvre des dites clauses est réalisée de manière satisfaisante, alors les autorités nationales de protection des données personnelles, dans l’Union européenne, reconnaissent que le transfert est assuré dans des conditions de nature à garantir la protection des données. Enfin, dans l’hypothèse où le responsable de traitement souhaite recourir à un contrat alternatif, ne reprenant pas les clauses types, afin d’encadrer un transfert de données personnelles, hors Union Européenne, celui-ci doit néanmoins être soumis à la Cnil, dans le cadre de la procédure d’autorisation.
Dans toutes les hypothèses énumérées ci-dessus, le responsable du traitement a l’obligation de respecter les formalités préalables auprès de la Cnil.
2 – Respect des formalités préalables auprès de la Cnil
La Cnil peut autoriser un transfert de données vers l’étranger lorsque « le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet » ‘L ; inf. et lib., art 69, al. 8). Dans les cas de traitements spécifiques mis en oeuvre pour le compte de l’Etat (tels que les traitements qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales), l’autorisation de transfert de telles données requiert, outre un avis de la Cnil, un décret en Conseil d’Etat.
Comme les autres autorités européennes de protection des données personnelles, la Cnil est tenue d’informer la Commission ainsi que les autres Etats membres des autorisations de transfert qu’elle a accordées. Ceux-ci peuvent, toutefois, y faire opposition, auquel cas la Commission européenne sera seule compétente pour décider de la solution finale.
Le transfert de données à caractère personnel vers un Etat tiers doit être soumis aux exigences requises, en vertu de la loi « informatique et libertés » par le traitement principal dont le transfert est issu. Les formalités préalables à tout traitement doivent ainsi être respectées, qu’il s’agisse d’une déclaration ou d’une autorisation.
Lorsqu’une déclaration ordinaire doit être faite auprès des services de la Cnil, celle-ci doit préciser qu’un transfert de données personnelles, à destination d’un Etat, hors de l’Union Européenne, est opéré.
Lorsque le transfert est basé sur un contrat, ou sur des règles internes, il doit faire l’objet d’une autorisation par la Cnil.
Dans l’hypothèse où le traitement concerné serait exonéré des formalités préalables, en vertu par exemple de la désignation d’un Correspondant informatique et libertés (Cil), la loi prévoit que cette exonération ne bénéficie pas aux autorisations de transfert de données à caractère personnel, à destination d’un Etat, hors Union Européenne. Le transfert doit donc être autorisé par la Cnil. Lorsque le projet de transfert est présenté par un Cil, la Cnil a toutefois pour devoir de l’examiner en priorité.
Tout transfert de données vers l’étranger doit avoir une finalité déterminée, explicite et légitime. Cette exigence doit être, tout particulièrement prise en compte lors du transfert de données relatives aux employés d’une des entreprises d’un groupe, aux fins de centralisation intra-groupe de la base de données « ressources humaines ». A plusieurs reprises, la Cnil a pu constater que bien souvent, ces transferts portaient sur la totalité, ou quasi-totalité des informations nominatives relatives aux employés, ce qui peut poser des problèmes au regard de la finalité du transfert, de la légitimité de celui-ci et de la pertinence des données transférées. D’autre part, il est utile de préciser que le non-respect de ces exigences est susceptible d’engager la responsabilité pénale du responsable de traitement.
Enfin, tout transfert de données personnelles est subordonné à l’information des individus concernés, de l’existence de ce transfert. Doivent notamment être mentionnés la finalité du transfert, le pays d’établissement du destinataire, le destinataire ou les catégories de destinataires de données, et le cas échéant, la nature de la protection assurée aux données transférées. L’article L 432-2-1 du code du travail prévoit également que le comité d’entreprise doit être informé sur les traitements automatisés de gestion du personnel, sur toute modification de ceux-ci, ainsi que sur tout transfert de données relatives au personnel.
Le non-respect des formalités préalables de déclaration ou autorisation est sanctionné par les articles 226-16 et 226-16 A du code pénal qui prévoient jusqu’à 5 ans de prison et 300 000 euros d’amende. Par ailleurs, l’article 226-22-1 du Code pénal prévoit également que « le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l’informatique et des libertés […] est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
3 – Qualification du destinataire : responsable du traitement ou simple sous-traitant ?
Il reste à s’interroger sur la qualification du « responsable du traitement » dans la mesure où le destinataire des données personnelles peut être qualifié de « responsable de traitement » ou de simple « sous-traitant ».
La frontière entre ces deux qualifications s’avère assez ténue. Le critère essentiel de distinction entre ces deux qualifications demeure celui de l’autonomie du destinataire des données quant à l’usage qu’il compte faire des données importées. Alors qu’un responsable de traitement est autonome, dans la mise en place et la gestion du traitement, le sous-traitant a pour mission de traiter les données transférées suivant les consignes du responsable de traitement. L’article 35 de la loi « informatique et libertés » dispose ainsi que « toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi ».
Toutefois, l’autonomie dont bénéficie le responsable de traitement peut être relative. Sont, à ce titre, considérés comme responsables des traitements des filiales d’un groupe multinational, à raison des traitements de données à caractère personnel qu’elles effectuent pour leur propre compte, alors même que la maison mère du groupe détermine seule, en principe, les finalités et modalités d’un traitement dont elle impose la mise en oeuvre à ses filiales. A titre d’illustration, lors de la mise en place d’un système centralisé de gestion de la paie et de gestion des ressources humaines au sein d’un même groupe, à l’initiative de la société mère, les filiales du groupe demeurent responsables des traitements relatifs à la gestion de la paie et des ressources humaines qu’elles effectuent pour leur compte.
La qualification du destinataire emporte différentes conséquences, notamment relatives aux obligations qui s’imposent au destinataire des données. Effectivement, alors qu’un responsable de traitement doit se conformer à l’ensemble des obligations prévues par la loi « informatique et libertés » à son égard, le sous-traitant doit simplement « présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité » prévues par la loi ou par le contrat qui le lie au responsable de traitement. Il ne peut donc agir que sur instructions de celui-ci.
