L’impact
de la Directive européenne relative à la protection des données à caractère personnel
sur les entreprises européennes et extra-europénnes
Par Garance Mathias
Juriste Thomas & Associés -
Membre de Deloitte & Touche
Doctorante en droit - Membre du CEJEM Paris II
e-mail : gmathias@deloitte.fr
Texte de la Directive sur Eurolex
Réagir à
l'article sur le forum de discussion de Juriscom.net
Introduction
Toutes les entreprises collectent
des informations à caractère personnel concernant tant leurs employés que leurs clients
ou encore leurs potentielles cibles commerciales.
Ces fichiers peuvent être
utilisés à des fins commerciales, de marketing notamment sur le réseau Internet. Par
conséquent, les entreprises doivent être informées et respecter les droits et
obligations fondamentaux en matière de collecte, gestion, traitement et transfert des
données à caractère personnel.
La Directive européenne du 24
octobre 1995 [1] et la loi de 1978 [2] réglementent
la collecte, le traitement et l’échange de ces données personnelles qui constituent
en pratique des opérations indispensables à la gestion des principales fonctions de
l’entreprise.
La loi du 6 janvier 1978 est le
texte fondateur et primordial de la protection des données à caractère personnel.
Toutefois, la Directive européenne du 24 octobre 1995 reprend les grands principes de
cette loi et va plus loin en renforçant notamment le droit des individus [3].
La Directive européenne est
entrée en vigueur dans les Etats membres de l’Union européenne le 24 octobre 1998
[4]. Le texte de cette Directive est directement applicable en France
depuis cette date, c’est-à-dire que n’importe quelle personne qui considère
que des données la concernant sont traitées ou utilisées de manière contraire à la
Directive peut saisir la CNIL (Commission Nationale Informatique et Libertés
[5]) ou porter plainte devant toute juridiction compétente
[6].
Bien que cette Directive fasse
partie de la législation européenne, ses implications concernent non seulement les
entreprises et les citoyens européens mais aussi, d’une manière générale, toutes
les entreprises étrangères qui entretiennent des relations d’affaires avec les
Etats membres de l’Union européenne ou qui échangent des données avec leurs
filiales ou leurs maisons mères européennes.
La Directive prévoit que le
régime de protection des données s’applique à tous les secteurs de
l’industrie et des services. Elle fixe des limites strictes à la collecte et à
l’utilisation des données à caractère personnel et exige la création d’un
organisme national indépendant (tel que la CNIL en France) protégeant ces données
auprès duquel chaque société doit s’inscrire, avant de compiler, copier ou
transférer les informations.
La Directive a aussi un impact
important sur les entreprises non européennes dans le cadre des échanges avec
d’autres entreprises européennes ou avec des filiales établies en Europe.
En d’autres termes, la
réglementation communautaire restreint les transferts de données entre l’Europe et
certains pays tiers tels que les Etats-Unis.
Une des dispositions les plus
controversées de la Directive concerne le transfert de données vers des pays tiers. La
Directive interdit également le transfert de données à caractère personnel vers les
Etats tiers qui ne fournissent pas un niveau de protection " adéquat ",
c’est-à-dire comparable aux dispositions européennes.
Dans ce contexte, tout Etat ou
entreprises échangeant des fichiers contenant des données à caractère personnel avec
un Etat membre ou entreprises de l’Union européenne doit avoir un niveau de
protection adéquat de protection des données personnelles.
A défaut d’une protection,
l’autorité nationale empêchera le transfert des données personnelles à
l’extérieur de l’Union européenne.
L’entreprise, avant tout
transfert de fichiers, doit se poser trois questions fondamentales :
-
quels sont les types, la nature des données
collectées ?
-
les données sont-elles transférées vers
d’autres filiales, d’autres secteurs d’activités de l’entreprise ?
-
vers quel pays (membre ou non de l’Union
européenne) ces données sont-elles transférées ?
Cependant, avant
d’appréhender en détail l’enjeu du transfert des données, il convient
d’exposer une vue d’ensemble des principales dispositions de la Directive.
1. Les principales
dispositions de la Directive applicables aux entreprises
La Directive concerne " les
données à caractère personnel [7] " c’est-à-dire toute
information concernant une personne physique identifiée ou identifiable.
1.1. Le traitement des
données
Le responsable du traitement
de données personnelles [8] ne pourra traiter ces données que
dans des circonstances particulières. En effet, ces données doivent être traitées
loyalement et licitement, collectées pour des finalités déterminées, explicites et
légitimes. En outre, ces données ne peuvent être collectées que lorsque
l’individu a donné son accord ou si le traitement est nécessaire à
l’exécution du contrat (contrat avec un employé, par exemple). Par ailleurs, il
existe des règles spécifiques concernant les données dites " sensibles "
telles que les données médicales. Le système de traitement doit donc établir des
distinctions entre les données dites ordinaires et les données sensibles.
La Directive pose certains
principes concernant le traitement des données. Les données à caractère personnel
doivent être adéquates, pertinentes et non excessives au regard des finalités de
traitement, elles ne doivent pas être conservées plus longtemps que nécessaire, et
doivent être mises régulièrement à jour. Ainsi, si un employé de l’entreprise a
quitté ses fonctions (licenciement, démission), celle-ci n’a pas le droit, en
principe, de conserver ses données, à moins de justifier d’un intérêt
particulier. Tel est le cas des données à caractère personnel qui sont conservées
" à des fins historiques, statistiques ou scientifiques "[9].
Des procédures adaptées doivent
donc être mises en place au sein de la société afin d’intégrer et de répondre à
ces obligations.
1.2. La procédure
d’accès, de rectification
La Directive accorde certains
droits aux individus dont les données font l’objet d’une collecte, d’un
traitement ou d’un échange. La personne a le droit d’accéder, de rectifier
[10] ses données à intervalles raisonnables et sans qu’il y ait
d’entrave à ce droit, c’est-à-dire sans que la procédure d’accès soit
trop lourde ou fastidieuse.
De la même façon, la personne a
le droit de s’opposer [11] au traitement de données à
caractère personnel notamment lorsque celles-ci sont utilisées à des fins de
prospection.
Par conséquent, des procédures
d’accès, de rectification et d’opposition doivent être instaurées au profit
des personnes concernées, dans le cadre du système de traitement des données stockées
dans des fichiers ou bases de données.
1.3. Les mesures de sécurité
La Directive impose des
obligations de sécurité importantes en ce qui concerne l’accès aux données
afin d’éviter l’intrusion, la perte ou la destruction des données.
L’entreprise devra rapporter la preuve que la base de données répond aux critères
de sécurité. Cette obligation se traduit par le fait que la société doit prévoir des
contrôles stricts pour empêcher l’accès illicite aux données ainsi que la
manipulation illégale de ces informations. Ces contrôles peuvent se présenter sous deux
formes, à savoir des dispositifs techniques (mots de passe, cryptage, etc) et des
instructions données aux employés, dont la violation peut exposer à des mesures
disciplinaires.
1.4. Les sanctions en cas de
non respect de ces dispositions
La Directive [12]
permet, également, aux Etats membres " de prendre les mesures appropriées pour
assurer la pleine application de [ces] dispositions [13] "
telles que des dommages et intérêts sur le plan civil et des sanctions pénales contre
ceux qui violeraient cette obligation.
Ces sanctions peuvent être
particulièrement sévères puisque, lors de la transposition de la Directive, les
différents Etats membres peuvent prévoir des sanctions allant de la simple amende ou
injonction aux sanctions pénales (y compris l’emprisonnement). Toutefois, en
l’absence de transposition de la Directive, les dispositions pénales prévues par la
loi de 1978 demeurent applicables.
Le Code pénal français comporte
déjà un certain nombre d’infractions de nature délictuelle comme le non respect de
l’obligation générale de sécurité des informations (cinq ans
d’emprisonnement et 2 000 000 francs d’amende ), la collecte
d’informations par des moyens frauduleux, déloyal, illicite ou malgré
l’opposition légitime des personnes (cinq ans d’emprisonnement et 2 000 000
francs d’amende), le détournement de la finalité du traitement (cinq ans
d’emprisonnement et 2 000 000 francs d’amende ) et la divulgation des
informations à des tiers non autorisés (un an d’emprisonnement et 100 000 francs
d’amende) [14].
Actuellement, il n’y a pas
de sanctions civiles ou/et pénales contre ceux qui transféreraient des données à
caractère personnel vers des " pays tiers " dont la protection n’est pas
jugée " adéquate ". En effet, comme nous l’avons déjà souligné, la
Directive n’a pas encore été transposée en droit français.
Toutefois, suite à la
transposition, on peut penser que l’entreprise ou la filiale française sera tenue
responsable du transfert de données à caractère personnel vers des pays tiers.
2. Le transfert des fichiers
contenant des données à caractère personnel entre l’Union européenne et les
Etats-Unis
2.1. L’exemple des
Etats-Unis
Le principal enjeu pour les
entreprises reste le transfert des données à caractère personnel vers des pays hors de
l’Union européenne, notamment les Etats-Unis. Le transfert n’est possible que
si le pays en question offre un niveau de protection " adéquat " [15], lequel est apprécié au cas par cas selon des principes établis
dans la Directive et précisés par un comité composé de membres de la Commission
européenne et des autorités nationales compétentes en matière de protection des
données personnelles [16].
Actuellement, les Etats-Unis ne
sont pas considérés par la Commission européenne comme un pays offrant un niveau de
protection " adéquat ". Le transfert de données en provenance de l’Union
européenne est donc en principe interdit.
Des négociations sont en cours
entre les Etats-Unis et la Commission européenne. Toutefois, aucun accord n’a été
trouvé pour l’instant. Les Etats Unis rappellent que le respect de la vie privée
fait partie de la législation sectorielle, soutenue par des codes de bonne conduite.
Ainsi, les entreprises américaines peuvent être poursuivies en cas de violation de ces
codes et condamnées à de sévères peines.
De la sorte, les Etats-Unis
affirment leur attachement à une politique fondée sur l’autorégulation, la
discipline du marché et leur volonté de continuer les discussions avec les autorités
européennes avec pour objectif de garantir que les critères utilisés pour apprécier le
caractère adéquat du niveau de protection " sont suffisamment flexibles " pour
s’adapter à l’approche américaine.
2.2. Les solutions
contractuelles afin de transférer ce type de fichiers
Nous tenons à attirer
l’attention sur le fait que le traitement et le transfert des données à caractère
personnel est licite en droit français, sous réserve d’effectuer une procédure de
déclaration auprès de la CNIL. En contrepartie, le transfert de ces données vers les
Etats Unis est interdit au regard des dispositions de la Directive de 1995, entrée en
vigueur en octobre 1998.
2.2.1. Le principe
Dans ce contexte, la Directive
envisage la possibilité, même en l’absence d’un niveau de protection
adéquate, qu’un responsable du traitement puisse offrir de manière contractuelle
des garanties suffisantes pour un transfert de données. Les Etats membres peuvent
autoriser le transfert sur la base de clauses contractuelles. Cette décision doit être
notifiée à la Commission.
Par ailleurs, la Commission peut
être amenée à se prononcer, par voie de décision, sur le fait de savoir si certaines
clauses contractuelles types offrent des garanties suffisantes. Ces décisions sont alors
contraignantes pour les Etats membres.
2.2.2. Les dérogations
Toutefois, un certain nombre de
dérogations [17] soumettent le transfert notamment :
-
au consentement de la personne concernée qui a
indubitablement donné son accord au transfert envisagé ;
-
à l’exécution d’un contrat (ou de
mesures pré-contractuelles) entre la personne concernée (ou dans son intérêt) et le
responsable du traitement.
Ces points permettent de
démontrer la nécessité de la mise en place d’un plan ou d’un programme de
mise en conformité au regard des dispositions de la Directive de 1995.
Celui-ci doit se dérouler en
trois étapes :
-
procédure de déclaration ordinaire ou
simplifiée des fichiers auprès de tout organisme habilité (la CNIL pour la France) ;
-
audit juridique interne des procédures de
collecte, gestion et transfert tant des renseignements à caractère personnel que des
fichiers ;
-
élaboration et mise en place d’un programme
de conformité au regard de la réglementation européenne.
2.3. L’exemple d’une
procédure de mise en conformité
Nous détaillerons de façon plus
précise ces deux dernières étapes.
2.3.1 La première étape, est la
mise en place d’un questionnaire d’audit interne qui doit permettre de préciser
les questions suivantes :
-
comment les données sont-elles collectées ? Qui
procède à cette collecte ?
-
quels sont les données collectées par
l’entreprise ?
-
quels types d’activités au sein de
l’entreprise exigent la collecte de données ?
-
qui est responsable de la bonne conduite de la
collecte, du traitement des données ?
-
l’entreprise respecte-t-elle les dispositions
nationales concernant la collecte de données à caractère personne ? Si, oui, Comment
ces procédures sont-elles mises en place ?
2.3.2. La seconde étape consiste
à distinguer les fichiers demeurant à l’intérieur de l’Union européenne de
ceux qui sont transférés hors de l’Union.
A l’intérieur de
l’Union européenne, afin de s’assurer que les transferts des données ou des
fichiers se font exclusivement pour des besoins professionnels entre les différentes
filiales ou entre la société mère et ses sociétés filles, il suffit que la société
ou le groupe rédige un contrat ou une clause contractuelle stipulant l’interdiction
d’exporter, en dehors des frontières de l’Union européenne, ce type de
données et/ou de les revendre ou encore de les réutiliser à des fins commerciales.
Ces dispositions peuvent aussi
être incluses à l’intérieur d’un code de déontologie réglementant plusieurs
secteurs d’une industrie.
A l’extérieur de
l’Union européenne, comme nous l’avons évoqué précédemment, des
stipulations contractuelles spécifiques doivent être instaurées. Ainsi, la plupart des
sociétés s’assureront qu’un contrat a été élaboré ou qu’une
réglementation par secteur d’activités a été adoptée. Actuellement, de nombreux
réseaux commerciaux internationaux (par exemple, concernant les cartes de crédit ou la
réservation aérienne) caractérisés par de multiples transferts de données, le plus
souvent personnelles, ont instauré des groupes de travail chargés d’élaborer des
normes pour tout le secteur de l’industrie.
Par conséquent, tous les
opérateurs d’un marché ou d’une industrie se regroupent et se concertent afin
d’élaborer une solution unique. L’industrie aéronautique utilise cette
méthode.
L’autre solution consiste à
conclure un accord intra-groupe reprenant les principaux droits et obligations de la
Directive. Cet accord entre en vigueur dès que tous les membres du groupe l’ont
signé. Cette solution est celle adoptée par les principaux groupes de conseils
internationaux.
L’inconvénient principal
avec la solution contractuelle est que ces dispositions ne sont valables qu’à
l’intérieur d’un même groupe et sont souvent rédigées par des américains.
Afin de leur conférer une force et une valeur probante aux yeux de la Commission
européenne, cette dernière préconise une procédure d’audit externe de ces
dispositions par un organisme indépendant tels que Online Privacy Alliance, TRUSTe et
BBBOnline aux Etats-Unis. Cet organisme certifiera l’adéquation et la conformité de
ces stipulations avec les principes de la Directive.
Conclusion
Les dispositions de la Directive
"protection des données " et celles de la loi " Informatique et Libertés
" sont strictes et doivent être respectées. En principe, le transfert des données
entre une entreprise membre de l’Union européenne et une entreprise établie dans un
pays n’ayant pas une " protection adéquate " n’est pas autorisée.
Néanmoins, des solutions de nature contractuelles existent. Celles-ci tiennent compte
tant des aspects organisationnels que des aspects structurels de la société.
M.G.
Notes
[1] Directive
95/46/CE du 24.10.1995 relative à la protection des personnes physiques à l’égard
du traitement des données à caractère personnel et à la libre circulation des
données, JOCE 23.11.1995, n°L281/31.
[2] Loi
n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978,
JO du 7 janvier 1978.
[3]
Désormais, ceux-ci peuvent être informés de l’origine des données collectées
directement auprès d’un tiers, par exemple.
[4] Les
dispositions de cette Directive devaient être reprises par chaque Etat dans une loi
nationale de transposition dans un délai de trois ans après la date d’adoption de
la Directive, c’est-à-dire avant le 24.10.98.
[5] La CNIL
est une autorité administrative indépendante et elle ne dispose que d’un pouvoir
réglementaire : elle veille au respect des dispositions de la loi. En revanche, elle
n’a aucun pouvoir de sanction.
[6] Selon,
les principes généraux du droit communautaire, même si la France n’a pas encore
adopté de texte législatif reprenant ces dispositions, si une juridiction est saisie,
elle devra faire primer et appliquer directement les dispositions de la Directive (CJCE, aff.
Marleasing , C-13-106/89 du 13.11.1990 et aff Francovich , C-90-9/90 du
19.11.1990).
Pour l’instant, suite à la
mission de réflexion confiée à M. Braibant (Rapport Braibant, rendu public le 3 mars
1998, Documentation française), le gouvernement n’a indiqué que les grandes
orientations concernant la transposition de la Directive telles que la définition de la
durée de conservation des données, le renforcement des pouvoirs de la CNIL et le
contrôle des données circulant hors d’Europe.
[7] Article 2
de la Directive, " toute information concernant une personne physique identifiée
ou identifiable (...), est réputée identifiable une personne qui peut être identifiée,
directement ou indirectement, notamment par référence à un numéro
d’identification ou à un ou plusieurs éléments spécifiques, propres à son
identité physique, physiologique, culturelle ou sociale (...) ".
[8] Selon les
dispositions de la Directive, le traitement consiste en " toute opération ou
ensemble d’opérations effectuées ou non à l’aide de procédés automatisés
et appliqués à des données à caractère personnel, telles que la collecte,
l’enregistrement, l’organisation, la conservation ou la modification,
l’extraction, la consultation, la communication par transmission, diffusion ou toute
autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que
le verrouillage, l’effacement ou la destruction ".
[9] Article
6-1 de la Directive.
[10] Article
12 de la Directive.
[11] Article
14 de la Directive.
[12] La
Commission n’est pas habilitée à prendre des sanctions pénales.
[13] Article
24, " sanctions ".
[14]
Articles 226-17 à 226-22.
[15] Article
25 de la Directive : " le caractère adéquat du niveau de protection offert par
un pays tiers s’apprécie au regard de toutes les circonstances relatives à un
transfert (...), sont prises en considération la nature des données, la finalité et la
durée du ou des traitements envisagés, les pays d’origine et de destination finale,
les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause,
ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées
".
La Commission européenne
s’est heurtée au fait que les Etats-Unis possèdent une constitution fédérale et
aux disparités existant entre les Etats fédérés. Ainsi, " il semble donc peu
probable que l’on puisse, pour l’heure, considérer que les Etats-Unis offrent
une protection adéquate généralisée ", Groupe de protection des personnes à
l’égard du traitement des données à caractère personnel , J.O.C.E. XV
D/5025/98-FR, 24.07.1998.
[16] Un
système de protection des données est jugé " adéquat " dès lors qu’il
poursuit trois objectifs :
-
assurer un niveau satisfaisant de respect des
règles : en général la qualité d’un système est reconnu par les responsables du
traitement du fait du respect de leurs droits et de leurs obligations. L’existence de
sanctions efficaces et dissuasives est importante pour garantir le respect de ses règles,
de même que les systèmes de vérification directe par les autorités de contrôle ou les
responsables indépendants chargés de la protection des données ;
-
apporter soutien et assistance aux personnes
concernées dans l’exercice de leurs droits. La personne physique doit être en
mesure de faire valoir ses droits rapidement et efficacement sans avoir à subir des
coûts prohibitifs.
-
fournir des voies de recours appropriées à la
partie lésée en cas de non respect de ses règles.
[17] Article
26 de la Directive, " dérogations ".
